воскресенье, 24 апреля 2011 г.

Дайджест ИБ за 18-24 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ
  • Пост Владимира Стырана "Когда управление рисками не работает". Владимир говорит о том, что традиционные методы управления рисками хорошо работают в отношении естественных или неумышленных угроз, но они не очень эффективны для умышленных угроз (атак). Для атак решением является проработка их сценариев и методов защиты от них на этапе проектирования систем, а также проведение тестов на проникновение для уже работающих систем. Т.е. нужно анализировать системы с позиции предполагаемого злоумышленника.
  • Статья Олега Седова "Расследование инцидентов". Олег подробно рассматривает проблемы реагирования и расследования компьютерных преступлений в российских коммерческих компаниях, а также сложности судебного преследования злоумышленников и возмещения ущерба.
Лучшие посты из англоязычных блогов по ИБ
  • Презентация Dan Guido "Исследование эксплуатации уязвимостей", в которой Дэн показывает, что упор на уязвимости и недостаточное внимание к угрозам ведет к ошибкам при управлении рисками. При том огромном числе уязвимостей, постоянно выявляемых в современных приложениях, нужно больше внимания уделять оценке угроз и сосредотачивать свои усилия на защите от наиболее вероятных атак.
  • Статья Jerod Brennan "ЧТО вы хотите подключить к сети?!". Джерод затрагивает вопрос подключения сотрудниками компаний собственных мобильных устройств к корпоративной сети. Они делают это, не спрашивая разрешения у подразделения ИБ, поскольку ожидают получить в ответ категорическое "нет!". Джерод считает такой подход специалистов по ИБ неправильным - если у бизнеса действительно есть такая потребность, специалисты по ИБ должны не запрещать ее, а помочь бизнесу безопасно реализовать нужные ему возможности.
  • Пост "Большинство сотрудников крадут конфиденциальную информацию компании" по результатам исследования, проведенного Cyber-Ark. Исследование показало, что большинство (66% опрошенных) специалистов ИТ и топ-менеджеров берут с собой конфиденциальную информацию компании при увольнении. Чаще всего увольняющиеся сотрудники уносят клиентские базы данных, списки паролей привелигированных учетных записей, планы по слияниям и поглощениям.
Интересные статьи и заметки по менеджменту, коммуникациям
  • Пост Николая Лумпова "Правила работы с возражениями". Хотя пост Николая ориентирован в первую очередь на продажи, описанные им правила достаточно универсальны и применимы при взаимодействии специалистов по ИБ с руководством и представителями бизнес-подразделений. Мы ведь тоже время от времени "продаем" свои идеи и решения бизнесу.
Законодательство
  • Выпущен документ "Стратегия развития банковского сектора РФ на период до 2015 года". В п.7 этого документа, в качестве одной из мер по снижению административной нагрузки на кредитные организации, предусмотрено: "решить вопрос об устранении чрезмерных обременений при обработке кредитными организациями ... ПДн, полученных от клиентов (контрагентов) и кредитных организаций - корреспондентов, при осуществлении банковских операций и деятельности, предшествующей заключению договоров с клиентами (контрагентами) и кредитными организациями - корреспондентами ...". За новость спасибо Наталье Храмцовской.
Стандарты, лучшие практики, исследования
  • Ponemon Institute провел исследование динамики соответствия PCI DSS (на английском) в американских компаниях. Исследование показывает, что соблюдение требований PCI DSS действительно позволяет снизить число инцидентов, связанных с нарушением безопасности. Также достаточно интересен анализ выбора средств безопасности для выполнения требований. Здесь можно посмотреть обзор этого исследования (на английском).
  • Verizon выпустила отчет по результатам исследования утечек данных за 2010 год (на английском). В отчете представлена очень интересная статистика: количество инцидентов, связанных с утечкой данных, в 2010 году возросло более, чем в 5 раз, однако количество утекших записей сократилось в 36 раз! В 92% случаев злоумышленники были внешними. Здесь можно посмотреть обзор этого исследования (на английском).
  • Veracode опубликовала отчет о текущем состоянии обеспечения безопасности в веб-приложениях (на английском). Компания протестировала 4,8 тыс. веб-приложений на соответствие требованиям ИБ. Оказалось, что безопасность 58% приложений является неприемлемой, а 80% приложений содержат уязвимости из списка OWASP Top 10. Здесь и здесь можно посмотреть краткие обзоры отчета на русском.
Новости
Инциденты за неделю
  • Взлом Системы управления личными финансами EasyFinance.ru (?). Пользователи EasyFinance получили от взломщиков (или обиженного сотрудника?) по электронной почте предложение закрыть свой аккаунт, а администрации сайта предложено свернуть проект. Для подтверждения факта взлома в открытый доступ выложен список пользователей и их счета.

    Комментариев нет: