вторник, 28 декабря 2010 г.

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Часть 8

В этой части рассмотрены следующие вопросы:
  • Что является приемлемым для суда?
  • Наблюдение, обыск и изъятие
  • Проведение опросов и допросов
  • Несколько различных видов мошенничества
  • Этика
  • Институт компьютерной этики
  • Совет по архитектуре Интернета
  • Программа корпоративной этики
  • Резюме

суббота, 18 декабря 2010 г.

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Часть 7

В этой части рассмотрены следующие вопросы:
  • Компьютерная криминалистика и сбор доказательств
  • Международная организация по компьютерным доказательствам
  • Мотивы, возможности и средства
  • Поведение компьютерных преступников
  • Специалисты по расследованию инцидентов
  • Процесс проведения компьютерной экспертизы

четверг, 9 декабря 2010 г.

суббота, 4 декабря 2010 г.

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Часть 4

В этой части рассмотрены следующие вопросы:
  • Неприкосновенность частной жизни
  • Законодательство и требования
  • Закон Сарбейнза-Оксли (SOX)
  • Закон о преемственности страхования и отчетности в области здравоохранения (HIPAA)
  • Закон Грэма-Лича-Блилей (GLBA)
  • Закон о борьбе с компьютерным мошенничеством и злоупотреблениями (CFAA)
  • Закон о защите персональных данных
  • Базель II
  • PCI DSS
  • Закон о компьютерной безопасности
  • Закон об экономическом шпионаже
  • Вопросы неприкосновенности частной жизни сотрудников

воскресенье, 28 ноября 2010 г.

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Часть 3

В этой части рассмотрены следующие вопросы:
  • Законодательство в области интеллектуальной собственности
  • Коммерческая тайна
  • Авторское право
  • Торговая марка
  • Патент
  • Внутренняя защита интеллектуальной собственности
  • Компьютерное пиратство

понедельник, 22 ноября 2010 г.

вторник, 16 ноября 2010 г.

ISSP \ Домен 07. Непрерывность бизнеса и восстановление после аварий. Содержание

Домен 07. Непрерывность бизнеса и восстановление после аварий

1. Непрерывность бизнеса и восстановление после аварий
2. Требования к планированию непрерывности бизнеса
3. Резюме

4. Тест

понедельник, 15 ноября 2010 г.

ISSP \ Домен 07. Непрерывность бизнеса и восстановление после аварий. Тест


Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.

суббота, 13 ноября 2010 г.

среда, 10 ноября 2010 г.

воскресенье, 7 ноября 2010 г.

ISSP \ Домен 07. Непрерывность бизнеса и восстановление после аварий. Часть 5

В этой части рассмотрены следующие вопросы:
  • Варианты резервного копирования данных
  • Средства автоматизированного резервного копирования
  • Выбор здания для хранения резервной информации

пятница, 29 октября 2010 г.

ISSP \ Домен 07. Непрерывность бизнеса и восстановление после аварий. Часть 4

В этой части рассмотрены следующие вопросы:
  • Восстановление технической среды
  • Резервирование оборудования
  • Резервирование программного обеспечения
  • Документация
  • Люди
  • Восстановление пользовательской среды

вторник, 26 октября 2010 г.

ISSP \ Домен 07. Непрерывность бизнеса и восстановление после аварий. Часть 3

В этой части рассмотрены следующие вопросы:
  • Превентивные меры
  • Стратегии восстановления
  • Восстановление бизнес-процессов
  • Восстановление здания
  • Соглашение о взаимной помощи
  • Резервные площадки

четверг, 21 октября 2010 г.

воскресенье, 17 октября 2010 г.

ISSP \ Домен 07. Непрерывность бизнеса и восстановление после аварий. Часть 1

В этой части рассмотрены следующие вопросы:
  • Непрерывность бизнеса и восстановление после аварий
  • Шаги планирования непрерывности бизнеса
  • BCP как часть Политики и Программы безопасности
  • Инициирование проекта

вторник, 12 октября 2010 г.

ISSP \ Домен 06. Криптография. Содержание

Домен 06. Криптография

1. История криптографии

2. Определения и концепции криптографии
3. Типы шифров
4. Методы шифрования
5. Типы симметричных систем
6. Типы асимметричных систем
7. Целостность сообщения
8. Инфраструктура открытых ключей
9. Управление ключами
10. Канальное и сквозное шифрование

11. Стандарты электронной почты
12. Безопасность в сети Интернет
13. Атаки
14. Резюме

15. Тест

воскресенье, 10 октября 2010 г.

ISSP \ Домен 06. Криптография. Тест


Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.

суббота, 9 октября 2010 г.

ISSP \ Домен 06. Криптография. Часть 9

В этой части рассмотрены следующие вопросы:
  • Безопасность в сети Интернет
  • HTTP
  • HTTPS
  • S-HTTP
  • SET
  • Куки
  • SSH
  • IPSec
  • Атаки
  • Атака «Только шифротекст»
  • Атака «Известный открытый текст»
  • Атака «Выбранный открытый текст»
  • Атака «Выбранный шифротекст»
  • Дифференциальный криптоанализ
  • Линейный криптоанализ
  • Атаки с использованием побочных каналов
  • Атаки повтора
  • Алгебраические атаки
  • Аналитические атаки
  • Статистические атаки
  • Резюме

вторник, 28 сентября 2010 г.

суббота, 25 сентября 2010 г.

ISSP \ Домен 06. Криптография. Часть 7

В этой части рассмотрены следующие вопросы:
  • Управление ключами
  • Принципы управления ключами
  • Правила использования ключей и управления ключами
  • Канальное и сквозное шифрование

понедельник, 20 сентября 2010 г.

пятница, 17 сентября 2010 г.

ISSP \ Домен 06. Криптография. Часть 5

В этой части рассмотрены следующие вопросы:
  • Целостность сообщения
  • Односторонний хэш
  • HMAC
  • CBC-MAC
  • Различные алгоритмы хэширования
  • MD2
  • MD4
  • MD5
  • SHA
  • HAVAL
  • Tiger
  • Атаки на односторонние функции хэширования
  • Цифровая подпись
  • Стандарт цифровой подписи

вторник, 14 сентября 2010 г.

К вопросу о полезности пентестов

Полезны ли пентесты? Безусловно! Но... только в определенных ситуациях. Очень хорошая заметка на тему пентестов и аудитов - на каких этапах развития компании они нужны: http://toxa.livejournal.com/487821.html. Автору респект :-)

Действительно, мы слишком часто рассматриваем пентест, как единственное решение проблемы с бюджетом на следующий год. Мы читаем, слушаем, рассказываем про "процессные подходы", "комплексную безопасность", "осознание ИБ бизнесом"... Но ведь это ж все на словах интересно, в теории. А на деле - скукота, рутина и еще не факт, что получится. Вот мы и ищем "волшебные таблетки" - денег заплатил и (о чудо!) все проблемы решены, в чек-листе поставил очередную галочку. Сейчас в моде пентесты, которые могут сразу же перевернуть отношение бизнеса к безопасности. Чуть раньше - это были системы DLP, раз и навсегда решавшие проблемы утечек информации. Ну и, конечно же, популярные во все времена торжественные порки несчастных рядовых пользователей, нарушивших требования ИБ - депремировал парочку и сразу же из курилок начинают доноситься обрывки обсуждений разделов политики информационной безопасности вместо традиционного шоппинга, футбола и погоды.

Вот только почему-то на практике "волшебная таблетка" оказывается не очень приятной на вкус и не такой уж волшебной (хотя, наверное, бывают и исключения). Бизнес все равно почему-то денег не дает и начинает как-то нехорошо коситься на безопасность, обнаруживается куча проблем безопасности, решение которых займет уйму времени, вместо старых "дыр" появляются новые, данные продолжают утекать, а пользователи, даже те, которых еще не пороли, науськивают на безопасность свое начальство... За что боролись... 

Конечно, все перечисленное выше - прекрасные и нужные инструменты. Но они нужны на определенном этапе развития безопасности компании, когда решено множество других проблем. Нужно очень хорошо понимать, зачем нужен каждый из инструментов, как он работает, когда он нужен. Нужно уметь пользоваться инструментом и иметь необходимые для его использования ресурсы - полностью автоматических средств безопасности не бывает... Вот когда все условия соблюдены, тогда инструмент работает результативно и эффективно.

Пентест - отличная штука, на практике подтверждающая успешность огромного объема проделанной ранее работы :-)

суббота, 11 сентября 2010 г.

ISSP \ Домен 06. Криптография. Часть 4

В этой части рассмотрены следующие вопросы:
  • Типы асимметричных систем
  • Алгоритм Диффи-Хеллмана
  • RSA
  • Односторонние функции
  • Эль Гамаль
  • Криптосистемы на основе эллиптических кривых
  • LUC
  • Knapsack
  • Доказательство с нулевым разглашением

вторник, 7 сентября 2010 г.

суббота, 28 августа 2010 г.

ISSP \ Домен 06. Криптография. Часть 2

В этой части рассмотрены следующие вопросы:
  • Типы шифров
  • Шифры подстановки
  • Шифры перестановки
  • Методы шифрования
  • Симметричные и асимметричные алгоритмы
  • Симметричная криптография
  • Асимметричная криптография
  • Блочные и поточные шифры
  • Векторы инициализации
  • Гибридные методы шифрования

четверг, 26 августа 2010 г.

К вопросу о правильной мотивации персонала

Нашел интересную легенду. Можно провести интересные параллели с информационной безопасностью :-)
На самом деле, мы часто боремся с проблемами ИБ усилением контроля, всевозможными ограничениями, запретами, наказаниями и т.п. Это требует много ресурсов, создает неудобства, ведет к враждебности... Во многих случаях можно попытаться просто навязать людям безопасный порядок работы (конечно, для этого нужно сначала сделать его простым, эффективным и понятным), изменить их поведение, дать им понять, что это в их интересах. По сути, это будет реальной борьбой с источником проблемы, а не ее следствиями. Причем иногда это не так сложно, как кажется, хотя и непривычно...

Легенда возникновения денег

- Смотрите, – сказал фараон жрецам – внизу длинные шеренги закованных в цепи рабов несут по одному камню. Их охраняет множество солдат. Чем больше рабов, тем лучше для государства — так мы всегда считали. Но, чем больше рабов, тем более приходится опасаться их бунта. Мы усиливаем охрану. Мы вынуждены хорошо кормить своих рабов, иначе, они не смогут выполнять тяжёлую физическую работу. Но они — всё равно, ленивы и склонны к бунтарству…

- Смотрите, как медленно они двигаются, а обленившаяся стража не погоняет их плетьми и не бьёт, даже здоровых и сильных рабов. Но, они будут двигаться гораздо быстрее. Им не будет нужна стража. Стражники тоже превратятся в рабов. Свершить подобное можно так.

Пусть сегодня, перед закатом, глашатаи разнесут указ фараона, в котором будет сказано:
«С рассветом нового дня, всем рабам даруется полная свобода. За каждый камень, доставленный в город, свободный человек будет получать одну монету.
Монеты можно обменять на еду, одежду, жилище, дворец в городе и сам город. Отныне вы — свободные люди».


Утром следующего дня жрецы и фараон вновь поднялись на площадку искусственной горы. Картина, представшая их взорам, поражала воображение.
Тысячи людей, бывших рабов, наперегонки тащили те же камни, что и раньше.
Обливаясь потом, многие несли по два камня. Другие, у которых было по одному, бежали, поднимая пыль.
Некоторые охранники тоже тащили камни. Люди, посчитавшие себя свободными — ведь с них сняли кандалы, стремились получить, как можно больше вожделенных монет, чтобы построить свою счастливую жизнь.

Кратий ещё несколько месяцев провёл на своей площадке, с удовлетворением наблюдая за происходящим внизу.

А изменения были колоссальными. Часть рабов объединилась в небольшие группы, соорудили тележки и, доверху нагрузив камнями, обливаясь потом, толкали эти тележки.
«Они еще много приспособлений наизобретают, — с удовлетворением думал про себя Кратий, — вот уже и услуги внутренние появились: разносчики воды и пищи…
Скоро выберут себе начальников, судей. Пусть выбирают: они, ведь, считают себя свободными, а суть — не изменилась, они, по-прежнему, таскают камни…»

В. Мегре

суббота, 21 августа 2010 г.

ISSP \ Домен 06. Криптография. Часть 1

В этой части рассмотрены следующие вопросы:
  • История криптографии
  • Определения и концепции криптографии
  • Принцип Керкхофса
  • Стойкость криптосистем
  • Сервисы криптосистем
  • Одноразовый шифровальный блокнот
  • Динамические и скрытые шифры
  • Стеганография

пятница, 13 августа 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Содержание

Домен  05. Телекоммуникационная и сетевая безопасность


1. Эталонная модель взаимодействия открытых систем
2. TCP/IP
3. Типы передачи
4. Организация локальных вычислительных сетей
5. Протоколы маршрутизации

6. Сетевые устройства
7. Сетевые сервисы и Потоколы
8. Интрасети и Экстрасети

9. Городские вычислительные сети (MAN)

10. Глобальные вычислительные сети (WAN)
11. Удаленный доступ
12. Беспроводные технологии
13. Руткиты
14. Резюме

15. Тест

четверг, 12 августа 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Тест


Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.

среда, 11 августа 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 12

В этой части рассмотрены следующие вопросы:
  • WAP
  • i-Mode
  • Безопасность мобильных телефонов
  • Вардрайвинг
  • Спутники
  • Беспроводные коммуникации 3G
  • Руткиты
  • Шпионское и рекламное программное обеспечение
  • Передача мгновенных сообщений
  • Резюме

пятница, 6 августа 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 11

В этой части рассмотрены следующие вопросы:
  • Беспроводные технологии
  • Беспроводные коммуникации
  • Расширение спектра
  • Компоненты WLAN
  • Беспроводные стандарты
  • 802.11b
  • 802.11a
  • 802.11e
  • 802.11f
  • 802.11g
  • 802.11h
  • 802.11i
  • Стандарт безопасности беспроводных технологий
  • 802.11X
  • Динамические ключи и использование Векторов инициализации
  • 802.11j
  • 802.11n
  • 802.16
  • 802.15
  • Bluetooth

суббота, 24 июля 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 10

В этой части рассмотрены следующие вопросы:
  • Удаленный доступ
  • Dial-Up и RAS
  • ISDN
  • DSL
  • Кабельные модемы
  • VPN
  • Протоколы туннелирования
  • PPTP
  • L2TP
  • Протоколы аутентификации
  • Рекомендации по удаленному доступу

среда, 14 июля 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 9

В этой части рассмотрены следующие вопросы:
  • Городские вычислительные сети (MAN)
  • Глобальные вычислительные сети (WAN)
  • Эволюция телекоммуникаций
  • Выделенные линии
  • Цифровые телекоммуникационные системы (T-каналы)
  • Технологии WAN
  • CSU/DSU
  • Коммутация
  • Frame Relay
  • Виртуальные каналы
  • X.25
  • ATM
  • Качество обслуживания (QoS)
  • SMDS
  • SDLC
  • HDLC
  • HSSI
  • Многофункциональные технологии доступа
  • Шлюзы H.323
  • SIP
  • Проблемы IP-телефонии
  • Резюме по технологиям WAN

воскресенье, 4 июля 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 8

В этой части рассмотрены следующие вопросы:
  • Сетевые сервисы и Потоколы
  • Сетевые операционные системы
  • Служба доменных имен (DNS)
  • DNS в Интернет и домены
  • Угрозы DNS
  • NIS
  • Службы каталогов
  • LDAP
  • Трансляция сетевых адресов (NAT)
  • Интрасети и Экстрасети

понедельник, 28 июня 2010 г.

ИТ, ИБ и реалии жизни

Успех - это способность не теряя энтузиазма, 
идти от одной неудачи к другой.

Интересное и очень точное наблюдение в отношении ИТ-аутсорсинга: http://juick.com/101O101/753410. Сам недавно занимался аудитом в довольно крупной компании (около 1500 сотрудников), в которой услуги ИТ-аутсорсинга предоставляла очень крупная именитая и уважаемая иностранная компания и еще кучка мелких - региональных (названий указывать не буду)... Был, мягко говоря, просто поражен реалиями аутсорсинга. При просто космических ценах никто не считал проблемой частые сбои в работе основных систем в рабочее время, ошибки при передаче финансовой информации, реакцию на "критические" проблемы в течении недель и т.п. Про безопасность предоставляемых сервисов вообще речи не было - ее не было в SLA... А уж какие показатели были в SLA!.. Причем, судя по всему, это был далеко не самый плохой вариант.

Увы, для собственного ИТ (да и ИБ тоже) ситуация отличается мало... Конечно, это не в 100% случаев (хочется в это верить), но во многих случаях это, увы, так. Переводя наблюдение из указанной выше ссылки в область ИБ можно сказать, что:
Руководству НЕ нужна полноценная и эффективная ИБ. Ему НЕ нужна гарантированная непрерывность работы, быстрое восстановление бизнес-процессов, безопасность и отказоустойчивость. Руководству нужно чтобы было дешево, прямо сейчас и был четко обозначен виноватый в случае инцидента ИБ или сбоя. При этом убытки компании от сбоев всем "до лампочки", ибо человеко-часы офисного планктона никто не считает.
Инциденты безопасности часто вообще остаются незамеченными, либо считаются неизбежными. А уж если они повлекли реальный ущерб, на который кто-то случайно обратил внимание, то самое главное в этой ситуации - найти "козла отпущения" (которым часто бывает начальник ИБ, если он не подсуетился и не возглавил эти поиски) и объявить ему торжественный выговор (в крайнем случае - депремировать на 10%, в совсем крайнем - уволить)... Все равно убытки компании на бонусах ее менеджеров обычно не сказываются...
Подчеркну, что это относится именно к руководителям, как отдельным личностям. Может бизнесу в целом-то оно и нужно - об этом говорят на совещаниях различных комитетов, правлений и советов директоров... Но почему-то это остается просто словами. Самих руководителей интересует выгода только сиюминутная, мало кто думает о будущем компании больше, чем на полгода вперед. Личные бонусы в конце квартала (года) куда интереснее потенциальной прибыли компании через пять лет...

Нормой жизни является ситуация, когда в компании нет никакой бизнес-стратегии, либо она формальна и в реальной работе не используется. Когда себестоимость бизнес-продуктов никто не считает - в отчетах пишут только доходную часть, полностью или частично опуская расходную. Когда показатели эффективности и планы по прибыли руководители и сотрудники ставят для себя сами. И, конечно же, успешно их достигают. При этом парадокс, что у компании убытки, а все свои показатели достигли, а планы по прибыли даже перевыполнили - никого не удивляет.

Совершенно резонно, что эффективность безопасности при этом часто оценивают по количеству исходящих от подразделения ИБ бумажек и по отсутствию жалоб на подразделение ИБ других подразделений (особенно "зарабатывающих" и "приближенных")... В лучшем случае - по количеству пойманных "врагов", которые сидели на "одноклассниках" или читали анекдоты в рабочее время. Главным достоинством безопасности считается ее дешивизна и отсутствие "помех" для бизнес-подразделений.

А мы при этом пытаемся внедрять "лучшие практики" ИБ и ИТ. И удивляемся, что они почему-то не работают...

среда, 16 июня 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 7

В этой части рассмотрены следующие вопросы:
  • Офисные автоматические телефонные станции (PBX)
  • Межсетевые экраны
  • Межсетевые экраны с фильтрацией пакетов
  • Межсетевые экраны с контролем состояния
  • Прокси
  • Динамическая фильтрация пакетов
  • Прокси уровня ядра
  • Архитектура межсетевых экранов
  • "Обязанности" межсетевых экранов
  • Хост-приманка (honeypot)
  • Разделение и изоляция сетей

суббота, 22 мая 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 4

В этой части рассмотрены следующие вопросы:
  • Кабели
  • Коаксиальный кабель
  • Витая пара
  • Оптоволоконный кабель
  • Проблемы, связанные с кабелями
  • Помехи
  • Затухание
  • Перекрестные помехи
  • Пожарные рейтинги кабелей
  • Методы передачи
  • Технологии доступа к среде
  • Передача маркера
  • CSMA
  • Коллизионные домены
  • Опрос
  • Протоколы LAN
  • ARP
  • DHCP
  • ICMP

четверг, 13 мая 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 3

В этой части рассмотрены следующие вопросы:
  • Организация локальных вычислительных сетей
  • Топология сети
  • Топология "кольцо"
  • Топология "шина"
  • Топология "звезда"
  • Полносвязная топология
  • Технологии доступа к среде LAN
  • Ethernet
  • Token Ring
  • FDDI

воскресенье, 11 апреля 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 2

В этой части рассмотрены следующие вопросы:
  • TCP/IP
  • TCP
  • "Рукопожатие" TCP
  • Структуры данных
  • Адресация IP
  • IPv6
  • Типы передачи
  • Аналоговая и цифровая
  • Асинхронная и синхронная
  • Однополосная и широкополосная

воскресенье, 4 апреля 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 1

В этой части рассмотрены следующие вопросы:
  • Эталонная модель взаимодействия открытых систем
  • Протокол
  • Прикладной уровень
  • Представительский уровень
  • Сеансовый уровень
  • Транспортный уровень
  • Сетевой уровень
  • Канальный уровень
  • Физический уровень
  • Функции и Протоколы модели OSI
  • Совместная работа уровней

воскресенье, 21 марта 2010 г.

Портфель CISO \ Проведение презентаций. Часть 1

Недавно послушал интересную лекцию Елены Чистяковой "Навыки эффективного общения", в которой одна из тем была посвящена проведению презентаций. Хочу поделиться с Вами основными моментами этой лекции, которую я взял за основу данной статьи. Также я добавил полезную информацию по данной тематике, собранную мной за последние несколько лет, а также некоторые вещи из личного опыта.

Здесь представлена первая часть статьи, посвященная процессу подготовки к проведению презентации.

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Содержание

Домен 04. Физическая безопасность и безопасность окружения

1. Введение в Физическую безопасность

2. Процесс планирования
3. Защита активов

4. Внутренние системы поддержки и снабжения
5. Безопасность периметра
6. Резюме

7. Тест

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Тест


Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.

среда, 17 марта 2010 г.

Практика ИБ \ Наиболее распространенные ошибки при построении системы ИБ

Ниже представлены наиболее распространенные ошибки при построении системы информационной безопасности, которые следует избегать. Это переведенная, расширенная и слегка адаптированная "шпаргалка" (How to Suck at Information Security) с сайта Ленни Зельцера.

понедельник, 15 марта 2010 г.

В двух словах \ Проект отраслевой частной модели угроз безопасности ПДн для банков

Графическая версия проекта Отраслевой частной модели угроз безопасности ПДн при их обработке в банковских ИСПДн.

Собственно модель угроз для удобства работы с ней представлена в двух вариантах - в разбивке по уровням инфраструктуры и по источникам угроз.

Скачать можно здесь. В архиве картинка в формате PNG и исходный файл в формате FreeMind 0.9 RC7.

С полной версией документа можно ознакомиться на сайте Ассоциации Российских Банков.

воскресенье, 14 марта 2010 г.

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Часть 5

В этой части рассмотрены следующие вопросы:
  • Механизмы защиты внешних границ
  • Ограждения
  • Освещение
  • Устройства наблюдения
  • Устройства видеозаписи
  • Системы выявления вторжений
  • Патрульные и охранники
  • Собаки
  • Контроль физического доступа
  • Тестирование и тренировки
  • Резюме

пятница, 12 марта 2010 г.

Практика ИБ \ Аудит событий безопасности

Антон Чувакин выложил в своем блоге интересную "шпаргалку", в которой приведены все наиболее важные виды событий, которые нужно собирать и анализировать в рамках текущей деятельности и при разборе инцидентов безопасности. Может очень пригодиться на начальном этапе внедрения практического аудита событий, когда нужно из огромной массы возможных событий выбрать тот разумный минимум, который позволит накапливать всю нужную информацию и при этом не утонуть в море "шума". Особенно актуально при анализе событий полуручными методами.

вторник, 9 марта 2010 г.

Портфель CISO \ Роман об управлении проектами

Давно лежала у меня книжка Тома Демарко "Deadline. Роман об управлении проектами" - все не было времени прочитать. Но на днях дошли руки и до нее.

Оказалось, что книга - просто весчь! Настоятельно рекомендую к прочтению, книга действительно из разряда "must read" для любого руководителя. Хотя в книге речь идет об управлении проектами по разработке программного обеспечения, большинство советов одинаково хорошо подходят для управления любыми другими проектами, в т.ч. проектами по информационной безопасности.

Книга написана очень легким языком, хотя она описывает довольно-таки сложные вещи. Во главу угла в книге ставятся взаимодействия людей, создание команд, мотивация людей для получения максимального результата. По сути, это действительно роман, даже немножко шпионский :).

Ниже приведены несколько наиболее важных цитат, вполне подходящих для управления проектами по информационной безопасности. Некоторые советы вполне можно применить для более эффективного внедрения новых требований по безопасности в организации, в рамках СУИБ, в рамках повышения осведомленности и т.п.

понедельник, 8 марта 2010 г.

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Часть 4

В этой части рассмотрены следующие вопросы:
  • Безопасность периметра
  • Контроль доступа в здание и помещения
  • Замки
  • Контроль доступа персонала

пятница, 5 марта 2010 г.

В двух словах \ Положение ФСТЭК №58 о методах и способах ЗИ в ИСПДн

Сделал графическую версию нового документа ФСТЭК по защите персональных данных "Положение о методах и способах защиты информации в информационных системах персональных данных" (утверждено приказом ФСТЭК №58 от 05.02.2010). Это, конечно, еще не mind map, но работать уже гораздо удобнее, чем с текстовой версией. Представлены все требования без исключений. В приложении для каждого следующего класса (для 3-го класса - для каждого следующего типа системы) показаны добавившиеся требования (синим цветом) и исключенные требования (красным цветом) по сравнению с предыдущим классом (типом).

Скачать можно здесь. В архиве основной документ и приложение к нему - в виде картинок в формате PNG и в виде исходных файлов в формате FreeMind 0.9 RC7.

С полной версией документа можно ознакомиться на сайте Консультант Плюс.

P.S. Использованные сокращения - в комментариях.

понедельник, 1 марта 2010 г.

Переводы / Почему Вы не получите работу CISO

Прочитал недавно интересную статейку, касающуюся отличий в мировоззрении специалистов по ИБ и бизнеса. Статья называется «Почему Вы не получите работу CISO», она является ответом на статью специалиста по ИБ «Нездоровое отсутствие вакансий по ИБ», в которой он описывает проблемы с недостаточным вниманием бизнеса к ИБ и те последствия, к которым это может привести. Переводить всю статью я не стал, т.к. ряд вопросов для нашей российской действительности не актуален. Перевод достаточно вольный и «адаптированный» :)

воскресенье, 28 февраля 2010 г.

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Часть 3

В этой части рассмотрены следующие вопросы:
  • Защита активов
  • Внутренние системы поддержки и снабжения
  • Электроэнергия
  • Защита электроснабжения
  • Проблемы электропитания
  • Проблемы окружения
  • Вентиляция
  • Предотвращение, выявление и тушение пожара
  • Типы пожарных датчиков
  • Тушение пожара
  • Водяные спринклеры

среда, 24 февраля 2010 г.

Обновление блога

Google сделал на Blogger'е несколько весьма полезных дополнительных функций, которыми я воспользовался для некоторого изменения внешнего вида блога.
  1. Теперь вверху под заголовком блога появилась строка со страницами, в которые я перенес ссылки на законодательство, стандарты и полезные сайты. Также в качестве страницы оформлено содержание блога. Надеюсь, так будет удобнее :)
  2. Поиск по блогу теперь работает на движке Google. Но сильно лучше от этого не стало - в поиск по блогу по-прежнему не всегда попадают посты более чем недельной давности, Google так пока и не исправил ошибку :( Ждем-с. Пока можно пользоваться тегами и стандартным поиском гугла по сайтам.
  3. На Blogger'е наконец-то появилась возможность писать краткие сообщений со ссылкой "далее..."! Теперь все длинные посты буду оформлять именно так.
  4. Добавил ссылку и канал с моими избранными закладками. Кстати, сервис закладок diigo.com - классная вещь, рекомендую!
Надеюсь Вам понравятся изменения! :) Хочется сделать блог действительно полезным, поэтому если возникнут хорошие идеи - пишите в комментариях.

вторник, 23 февраля 2010 г.

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Часть 2

В этой части рассмотрены следующие вопросы:
  • Проектирование программы физической безопасности
  • Здание
  • Конструкция
  • Точки входа
  • Двери
  • Окна
  • Внутренние помещения
  • Серверные и кроссовые помещения

суббота, 20 февраля 2010 г.

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Часть 1

В этой части рассмотрены следующие вопросы:
  • Введение в Физическую безопасность
  • Процесс планирования 
  • Предотвращение преступлений посредством проектирования окружения
  • Естественное управление доступом
  • Естественное наблюдение
  • Естественное укрепление территории
Безопасность очень важна для организаций и их инфраструктуры и физическая безопасность – не исключение. Хакинг – не единственный способ компрометации информации и связанных с ней систем. Физическая безопасность учитывает угрозы, уязвимости и риски, отличающиеся от тех, которые мы уже рассматривали ранее. Механизмы физической безопасности включают в себя планирование помещений, компонентов окружения, планирование действий на случай чрезвычайных происшествий, проведение тренингов по выполнению таких планов, контроль доступа, выявление вторжений, защиту систем электроснабжения, противопожарную безопасность. Механизмы физической безопасности защищают людей, данные, оборудование, системы, сооружения и многие другие активы компании.

среда, 17 февраля 2010 г.

Переводы \ Как (не) нужно строить программу безопасности "с нуля"

Нашел два очень интересных поста и решил их перевести (второй является ответом на первый). Очень интересное сравнение теоретического подхода с практическим.
P.S. Оказывается сложности в построении ИБ в Америке не сильно отличаются от наших :)

воскресенье, 14 февраля 2010 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Содержание

Домен 03. Архитектура и модель безопасности

1. Архитектура компьютера
2. Архитектура системы
3. Модели безопасности
4. Режимы безопасности функционирования
5. Методы оценки систем
6. Сертификация vs. Аккредитация
7. Открытые vs. Закрытые системы
8. Корпоративная архитектура

9. Анализ нескольких угроз 
10. Резюме

11. Тест

суббота, 13 февраля 2010 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Тест


Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.

понедельник, 8 февраля 2010 г.

ISSP \ Обновление 2

А вот уже и 5-я редакция книги Shon Harris "CISSP All-In-One Guide" появилась! А мы еще только три домена осилили :-) Будем ускоряться.

Теперь хорошие новости. Литература уже получена и беглый анализ показал отсутствие существенных дополнений и изменений по сравнению с четвертой редакцией. Общий объем возрос менее, чем на 10%, так что ничего страшного. В ближайшее время внесу исправления в посты по первым трем доменам - следите за изменениями (все правки я буду отмечать в комментариях).

Дальше буду уже переводить 5-ю редакцию.

P.S. Кстати, тут на досуге написал маленький скриптик, который реализует возможность отвечать на вопросы тестов и сразу получать результаты. Постепенно преобразую в этот вид вопросы по первым двум доменам, а все остальные сразу буду выкладывать в таком виде. Так что "CISSP" онлайн да еще и на русском может стать реальностью :-) Ну вот только без сертификата... Но кому надо сертификат - велкам!

воскресенье, 7 февраля 2010 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Часть 10

В этой части рассмотрены следующие вопросы:
  • Анализ нескольких угроз
  • Закладки для поддержки
  • Атаки времени проверки / времени использования
  • Переполнение буфера
  • Что такое стек и как он работает?
  • Резюме

суббота, 6 февраля 2010 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Часть 9

В этой части рассмотрены следующие вопросы:
  • Сертификация vs. Аккредитация
  • Сертификация
  • Аккредитация
  • Открытые vs. Закрытые системы
  • Открытые системы
  • Закрытые системы
  • Корпоративная архитектура

суббота, 30 января 2010 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Часть 8

В этой части рассмотрены следующие вопросы:
  • Методы оценки систем
  • Зачем проводить оценку продукта?
  • Оранжевая книга
  • Оранжевая книга и Радужная серия
  • Красная книга
  • ITSEC
  • Общие критерии

среда, 27 января 2010 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Часть 7

В этой части рассмотрены следующие вопросы:
  • Режимы безопасности функционирования
  • Специальный режим безопасности
  • Режим повышенной безопасности системы
  • Раздельный режим безопасности
  • Многоуровневый режим безопасности
  • Охранники
  • Доверие и гарантии

понедельник, 25 января 2010 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Часть 6

В этой части рассмотрены следующие вопросы:
  • Модели безопасности
  • Модель конечных автоматов
  • Модель Bell-LaPadula
  • Модель Biba
  • Модель Clark-Wilson
  • Модель информационных потоков
  • Скрытые каналы
  • Модель невлияния
  • Сетчатая модель
  • Модель Brewer and Nesh
  • Модель Graham-Denning
  • Модель Harrison-Ruzzo-Ullman

четверг, 21 января 2010 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Часть 5

В этой части рассмотрены следующие вопросы:
  • Архитектура системы
  • Определенные подмножества субъектов и объектов
  • Доверенная компьютерная база
  • Периметр безопасности
  • Монитор обращений и ядро безопасности
  • Политика безопасности
  • Принцип наименьших привилегий

воскресенье, 17 января 2010 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Часть 4

В этой части рассмотрены следующие вопросы:
  • Режимы процессора и кольца защиты
  • Архитектура операционной системы
  • Домены
  • Разделение на уровни и скрытие данных
  • Эволюция терминологии
  • Виртуальные машины
  • Дополнительные устройства хранения
  • Управление устройствами ввода/вывода
  • Прерывания

суббота, 9 января 2010 г.

ISSP \ Домен 03. Архитектура и модель безопасности. Часть 3

В этой части рассмотрены следующие вопросы:
  • Управление памятью
  • Типы памяти
  • Память с произвольным доступом
  • Память только для чтения
  • Кэш-память
  • Отображение памяти
  • Утечки памяти
  • Виртуальная память