воскресенье, 10 апреля 2011 г.

Дайджест ИБ за 04-10 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство, судебная практика
  • Стандарты, лучшие практики, обзоры
  • Новости
  • Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ
  • Пост Владимира Матвийчука о том, к чему приводит экономия на специалистах ИБ "Что нам стоит ИБ построить?". К сожалению, Владимир ничего не говорит о том, почему так происходит и почему компании часто стараются сэкономить на ИБ. И не предлагает вариантов решения проблемы (ведь наличие в компании квалифицированного и опытного специалиста по ИБ само по себе, увы, не является гарантией успеха). Зато последствия приема на работу неопытных специалистов по ИБ показаны очень хорошо.
  • Короткая заметка Алексея Лукацкого "И вновь об оценке соответствия" о том, какие существуют способы оценки соответствия средств защиты информации в соответствии с российским законодательством.
  • Перевод статьи Брайана Хонана "Руководство с Марса, Специалисты по ИБ - с Венеры". В статье рассказывается о проблемах взаимодействия специалистов по ИБ с руководителями компаний и даются рекомендации по решению этих проблем и нахождению общего языка.
  • Статья Юрия Лапина "Автоматизация документооборота" в журнале "Системный администратор". Хотя это не пост в блоге, и электронный документооборот больше относится к области ИТ, но статья представляет из себя прекрасный отчет по внедрению нового продукта, который можно использовать в качестве шаблона. Кратко и ясно описаны особенности среды, существующие проблемы, анализ возможных решений, что было сделано в рамках проекта и что это дало в результате. Проведена даже оценка экономической эффективности. 
Лучшие посты из англоязычных блогов по ИБ
  • Пост "Истинные масштабы инсайдерских угроз" по результатам исследования, произведенного компанией LogRhythm в Великобритании (было опрошено 3000 сотрудников компаний). В частности, согласно этого исследования 37% сотрудников делится секретами своих компаний с семьей и друзьями, 21% копируют информацию компании на собственные устройства (ноутбуки, ПК, смартфоны), причем больше половины из них используют эти устройства совместно с другими людьми. В большинстве случаев это не является следствием злого умысла - это просто небрежность. Причем часто это вызвано и недоработками самих компаний, в которых нет соответствующих политик и средств контроля.
  • Пост "Firestarter: Что теперь?" - в нем Rich Mogull рассуждает о том, как сообщество информационной безопасности должно отреагировать на целую серию громких инцидентов, произошедших всего за несколько последних месяцев (RSA, Comodo, Epsilon, Nasdaq). "Мы можем сделать больше и профессионалы по безопасности уверены в том, что мы должны делать больше, но хочет ли мир, чтобы мы делали больше?", спрашивает Рич.
  • Статья технического аналитика EFF Chris Palmer "Неправильные имена в Обсерватории SSL". Крис провел анализ имен, на которые выпущены SSL-сертификаты различными доверенными Центрами сертификации, и обнаружил 37244 действительных сертификата, которые выпущены для недопустимых имен (например, 2201 сертификат для localhost). Он делает вывод, что многие доверенные ЦС вообще не проверяют имена, на которые они выдают сертификаты, что значительно упрощает для злоумышленников проведение MitM-атак.
  • Пост "За и Против "безопасного" доступа по Wi-Fi", в котором Raul Siles дает рекомендации по использованию различных вариантов обеспечения безопасности сетей Wi-Fi для различных ситуаций (общественные точки доступа, домашние или корпоративные).
Интересные статьи и заметки по менеджменту, коммуникациям:
  • Перевод статьи Лео Бабуты "Ваши письма слишком длинные", в котором автор рассказывает о том, почему нужно писать как можно более короткие сообщения по электронной почте и дает рекомендации, как этого достичь. Советы могут быть очень полезны при взаимодействии с руководством (и не только).
  • Пост Олега Гончарова "Управление проблемами - правильное совещание". Олег затрагивает проблемы, которые возникают в любом неорганизованном (неправильно организованном) совещании. Чтобы избежать этих проблем, Олег предлагает "Регламент проведения совещаний", прикладывает шаблоны для уведомления о совещании и протокола совещания.
  • В статье Светланы Кругловой "Домашняя работа" очень хорошо описаны плюсы и минусы удаленной работы с точки зрения сотрудника HR компании PwC. Светлана рассматривает вопросы практической реализации удаленной работы сотрудников, получаемые выгоды (повышается эффективность труда, снижаются затраты), а также недостатки (не все могут эффективно работать из дома) и сложности (нужно кардинально пересматривать подход к оценке персонала).
Законодательство, судебная практика
  • Дело №A41-16043/2010. ОАО "Софрино" успешно оспорило мошеннические платежи на 2 млн.руб., проведенные по системе Банк-Клиент Сбербанка. Суд пришел к выводу, что Сбербанк ненадлежащим образом исполнил свои обязательства по проверке платежных документов (в платежках не было ИНН получателя и КПП плательщика). Кроме того, суд счел, что Сбербанк не обеспечил необходимого уровня защиты своей системы "Клиент-Сбербанк", что позволило получить к ней доступ неуполномоченному лицу. Этот вывод был сделан по результатам экспертизы, проведенной АНО "Независимая экспертиза", эксперт которой сообщил, что "представленный на экспертизу электронный ключ (закрытый ключ ЭЦП) является некачественным средством защиты, что могло послужить причиной несанкционированного доступа к системе, повышению рисков взлома и как следствие – перевод денежных средств" (!!!). И это при том, что в системе "Клиент-Сбербанк" используются сертифицированные СКЗИ "Бикрипт".
Стандарты, лучшие практики, обзоры
  • Агентство ENISA опубликовало всеобъемлющий доклад о том, как оценивать угрозы от ботсетей и как нейтрализовать их. Доклад называется "Botnets: Detection, Measurement, Disinfection and Defence" (на английском).
Новости:
Инциденты за неделю:

4 комментария:

Александр Бондаренко комментирует...

Уважаемый dorlov, приглашаю Вас присоединиться к проекту "Лента инцидентов ИБ". Это группа на сайте LinkedIn, в которой участники размещают и обсуждают актуальную информацию об инцидентах информационной безопасности. Ссылка для присоединения к группе:

http://www.linkedin.com/groups?mostPopular=&gid=3796607

eagle комментирует...

Александр, спасибо Вам за приглашение! Но я уже :) http://www.linkedin.com/pub/dmitry-orlov/30/232/887

Александр Бондаренко комментирует...

Здорово :) тогда я призываю постить туда зафиксированные Вами инциденты, те которые Вы указали в этом посте я уже внес

eagle комментирует...

Ок. Я пока осваиваю работу в LinkedIn - никогда не пользовался раньше :)
Только я, честно говоря, не совсем понял идею этой ленты. Ту же информацию (даже больше) можно получить с лент новостей популярных сайтов типа AntiMalware или SecurityLab:
http://www.anti-malware.ru/intrusion
http://www.anti-malware.ru/leaks
http://www.anti-malware.ru/ddos_attack

http://www.securitylab.ru/news/tags/DDoS/
http://www.securitylab.ru/news/tags/%E2%E7%EB%EE%EC/
http://www.securitylab.ru/news/tags/%E2%F0%E5%E4%EE%ED%EE%F1%ED%EE%E5+%CF%CE/