Последние публикации и комментарии Сергей Борисов
Общее. Обзор утилит с Def Con 20

По материалам блога  http://sborisov.blogspot.com/  Пару недель назад прошло крупнейшая мировая конференция по ИБ Def Con 20, на которой собрались лучшие спецы – как в белых, так и в черных шляпах.   В рамках конференции, хакерскими группами было продемонстрировано ряд новых утилит. На сайте конференции они не опубликованы, но в недрах интернета их можно найти. Посмотрим на самые интересные из них,  так как скоро придется защищаться от угроз связанных с большим количеством подобных атак. Subterfuge 4.0 от команды kinozoa. Предназначено для тестирования защищенности от атак типа “человек посередине”…

(подробнее...)
СОИБ. Проектирование. Усиленная аутентификация

По материалам блога http://sborisov.blogspot.com/2012/08/blog-post_8.html   В продолжение одной из предыдущих заметок об усиленной аутентификации.     Допустим, что вы уже осознали всю опасность использования классических паролей, например, прочитав эту заметку, решили внедрять усиленную аутентификацию по сертификатам или однократным паролям, в качестве дополнительного устройства аутентификации выбрали например, eToken или телефон, в качестве системы управления усиленной аутентификацией выбрали например, SafeNet Authentication Manager, SAM (бывший TMS). Достаточно ли этого, чтобы отказаться от…

(подробнее...)
СОИБ. Автоматизация анализа рисков ИБ

По материалам блога http://sborisov.blogspot.com/2012/08/blog-post.html   Оценка рисков ИБ является основой риск-ориентированного подхода к обеспечению ИБ, когда обосновываются и внедряются только те мероприятия по ИБ, которые необходимы уменьшения или нейтрализации неприемлемых рисков ИБ.   Оценка рисков ИБ является обязательным требованием законодательства РФ:   ·        161-ФЗ «О НПС» и подзаконных актов; o   Требования ЦБ РФ; o   Требования PCI DSS; o   Требования других операторов ПС; ·        152-ФЗ «О ПДн» и подзаконных актов (Оценка вреда, моделирование угроз – часть оценки рисков ИБ);…

(подробнее...)
CОИБ. Проектирование. Мобильные рабочие места 2

По материалам блога http://sborisov.blogspot.com/2012/07/2.html Через непродолжительное время после выхода предыдущей статьи про мобильные рабочие места, 19 июля прошел партнерский семинар Застава и Aladdin, на кортом было представлено новое решение на эту тему. Решил написать о нем пару слов и добавить в сравнение.   Решение основано на трех уже существующих и сертифицированных продуктах: ·        Альт Линукс СПТ 6.0 – операционная система, сертифицированная в системе ФСТЭК России на соответствие РД “показатели защиты от НСД” по 4 классу защищенности, на соответствие РД “классификация по отсутствию…

(подробнее...)
СЗПДн. Анализ. Сколько сотрудников необходимо для организации обработки и обеспечения безопасности ПДн

По материалам блога http://sborisov.blogspot.com/2012/07/blog-post_24.html Ни  для кого не секрет, что федеральный закон 152-ФЗ “О персональных данных” и подзаконные акты требуют от Оператора ПДн выполнения определенных мероприятий и соответственно накладывают на него дополнительные затраты: приобретение оборудования, оплата услуг консультантов, зарплата дополнительным сотрудникам. В данной заметке хочу опустить разовые затраты Оператора на разработку первоначального комплекта документов и первоначального внедрения системы защиты персональных данных. Пусть эти работы уже проведены, внедрена СЗПДн,…

(подробнее...)
СОИБ. Анализ. Государственные информационные системы и информационные системы критически важных объектов

По материалам блога http://sborisov.blogspot.com/2012/07/blog-post_16.html   13 июля ФСТЭК России опубликовал на своем сайте Проект федерального закона "О внесении изменений в Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации"   Планируется придать 2 новых толчка обеспечению ИБ (в дополнение к активно развивающейся защите персональных данных и платежных систем): ·        Защита информации в государственных информационных системах (ГИС) ·        Защита информации в информационных системах критически важных объектов (ИСКВО)   1.           В направлении защиты…

(подробнее...)
СОИБ. Проектирование. Виртуальные мобильные рабочие места

По материалам блога http://sborisov.blogspot.com/2012/07/blog-post.html               В сегодняшней заметке хотелось бы уделить внимание решениям типа Защищенные мобильные виртуальные рабочие места на базе съемного USB носителя. Написать данную заметку меня сподвигла статья Андрея Комарова на Хабре, к которой я вернусь ниже.   Для кого защиты, каких объектов могут использоваться такие решения: ·        для сотрудников, которым необходимо поработать с корпоративной защищаемой информацией находясь за пределами контролируемой территории – в командировках, при работе из дома, на площадке партнера/клиента/заказчика…

(подробнее...)
СОИБ. Анализ. Актуальные угрозы непрерывности бизнеса

В продолжение предыдущих заметок на тему непрерывности деятельности Институт Chartered Management Institute провел обследование и недавно опубликовал отчет об угрозах непрерывности бизнеса за 2011 год в Великобритании. Наиболее интересные выводы: ·        План обеспечения непрерывности разработан в 61% опрошенных компаний       ·        Наиболее вероятные угрозы в общем: o   Тяжелые погодные условия o   Нарушение ИТ компонентов o   Потеря (болезнь) ключевых сотрудников o   Нарушение связи o   Митинги и забастовки o   Закрытие и садиков школ o   Нарушение работы транспорта o   Невозможность доступа…

(подробнее...)
СОИБ. Кто защищает платежные системы

В соответствии с со статьей 3  161-ФЗ в область действия НПС попадают: ·        оператор по переводу денежных средств ·        оператор электронных денежных средств ·        платежный агент ·        банковский платежный агент ·        банковский платежный субагент ·        организаций федеральной почтовой связи при оказании ими платежных услуг ·        операторов платежных систем ·        операторов услуг платежной инфраструктуры Все участники НПС обязаны защищать платежную информацию и выполнять требования  ФЗ о НПС и подзаконных актов. И это не только кредитные организации. Попадают под требования…

(подробнее...)
СОИБ. Отчетность о защите информации в ПС

Как Вы наверное знаете, Банк России ведет активную нормотворческую деятельность в области защиты Национальной платежной системы. Недавно были разработан и утвержден ряд документов. Все документы по теме НПС перечислены тут.   Сегодня хотелось бы рассмотреть «УказаниеЦБ РФ 2831-У от 9 июня 2012 года "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств" (зарегистрировано Министерством юстиции Российской Федерации 14 июня 2012 года № 24575, опубликовано…

(подробнее...)
241–250 из 261
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>