понедельник, 9 мая 2011 г.

Дайджест ИБ за 2-8 мая 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ
Лучшие посты из англоязычных блогов по ИБ
  • Пост Dejan Kosutic "Означает ли соответствие компании ISO 27001, что информация на 100% защищена?". Дижен рассматривает пример недавнего инцидента с облачным сервисом Amazon Web Services (AWS). AWS сертифицирован по ISO 27001, сертификацию проводила E&Y CertifyPoint. Но инцидент тем не менее произошел. Так что же в действительности означает соответствие компании стандарту? Только то, что компания соответствует стандарту :-) Орган по сертификации не может предсказать всех возможных инцидентов, да это и не его работа. Его работа - это проверка того, что компания сделала все необходимое для соответствия стандарту. Но в чем же тогда смысл соответствия? Соответствие снижает риски и вероятность инцидентов. Но не более того.
  • Статья Jart Armin "Эксфильтрация: Как хакеры выводят данные". После того, как хакеры получают контроль над системой, они не торопятся сразу загружать все данные с нее. Вывод данных может занимать недели, месяцы и даже годы. При этом данные передаются небольшими фрагментами, часто для этого используются скрытые каналы (например, DNS-запросы с внутреннего DNS-сервера компании).
  • Пост Lenny Zeltser "Чувствовать себя в безопасности это совсем не то же самое, что быть в безопасности". В частности, Ленни обращает внимание на важность демонстрации результативности и эффективности безопасности, чтобы у заказчика/руководства/пользователя складывалось чувство безопасности. Например, если CISO построил действительно качественную систему безопасности и компания реально хорошо защищена, но руководство компании не видит ничего, кроме отсутствия инцидентов, оно не будет чувствовать, что компания в безопасности. Соответственно проделанная CISO работа не будет оценена по достоинству.
  • Пост Jarrod Loidl "Ложь управления рисками". Джерод говорит о недостатках процедур оценки и управления рисками ИБ, которые не позволяют им быть действительно эффективными. Он выделяет три ключевых недостатка: невозможность отслеживания и оценки цепочек связанных уязвимостей; невозможность точного объективного расчета реального риска; невозможность эффективного практического использования результатов анализа рисков. Конечно, оценка и управление рисками - лучше, чем ничего. Но не нужно рассчитывать, что это сможет решить ваши проблемы, считает Джерод.
  • Статья Carmi Levy "Мифы удаленного доступа". В настоящее время удаленный доступ руководства и сотрудников компаний к корпоративным ресурсам становится реальной потребностью бизнеса. Однако часто соответствующие проекты откладываются или реализуются в ограниченном объеме из-за опасений, что безопасность таких решений невозможно будет обеспечить. Нередко такие опасения необоснованы и базируются на мифах. Некоторые из таких мифов развенчивает автор статьи. Кстати, недавно у Алексея Лукацкого была интересная презентация по организации защищенного мобильного офиса.
Интересные статьи и заметки по менеджменту, коммуникациям
  • Пост Бориса Вольфсона "Эффект наблюдателя", в котором Борис говорит о влиянии метрик на поведение членов команды. Очень часто введение даже вполне разумных метрик ведет к тому, что люди начинаются подстаиваться под них. Это негативно сказывается на качестве и эффективности работы, хотя значения метрик получаются очень высокими. Необходимо учитывать этот фактор при введении метрик. Очень хорошо на эту тему высказывался Эльдар Мусаев.
  • Пост Славы Панкратов "Книги для менеджера". Слава опубликовал список книг, который он рекомендует на своих тренингах менеджерам и тем, кто хочет ими стать. Подборка очень интересная, большинство книг сопровождается рецензиями.
Стандарты, лучшие практики, исследования
Новости
  • Компания Бифит завершает работы по созданию "Трастскрина", который представляет из себя USB-картридер с экраном. Он показывает пользователю подписываемый документ и направляет документ на подпись в USB-токен или смарт-карту только с согласия пользователя. "Трастскрин" предназначен для обеспечения безопасности пользователей системы ДБО iBank 2. Обсуждение нового устройства ведется на форуме Bankir.ru.
Инциденты за неделю
  • Возможно произошла утечка данных из LastPass (онлайн-менеджер паролей). Специалисты LastPass зафиксировали аномальный сетевой трафик, что могло быть следствием хакерской атаки. Всем пользователям рекомендуется срочно сменить пароли.

Комментариев нет: