воскресенье, 19 июня 2011 г.

Дайджест ИБ за 13 - 19 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Законодательство
  • Новости
  • Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ
  • Пост Алексея Волкова "Инцидент менеджмент". Алексей затрагивает тему неправильного понимания термина "инцидент" и неправильного подхода к обработке инцидентов. Действительно, многие инциденты начинают обрабатываться только тогда, когда все плохое уже произошло, а сама обработка инцидента заключается в поиске виновного (крайнего). От такого подхода никакого толка для пострадавшего нет, однако "следователи" гордо приписывают себе очередное достижение. Алексей говорит о том, что при правильной организации СУИБ большинство инцидентов должно обнаруживаться на ранних стадиях подготовки, а в идеале - вообще предотвращаться.
Лучшие посты из англоязычных блогов по ИБ
  • Пост Dejan Kosutic "Возможно ли рассчитать ROSI (возврат инвестиций в безопасность)?". В своем посте Дижен приводит алгоритм рассчета ROSI, но признает, что при этом есть значительный элемент неопределенности, связанный с невозможностью точного определения вероятности/периодичности инцидентов безопасности. Однако, по мнению Дижена, это лучше, чем ничего. С такой же проблемой сталкиваются и другие подразделения в компаниях, например, подразделение маркетинга. Однако они успешно справляются с обоснованием инвестиций в рекламные компании, хотя тоже "додумывают" многие показатели в процессе расчета возврата инвестиций. Также Дижен приводит ссылку на онлайн-калькулятор, который поможет при расчете ROSI.
  • Пост Kees Leune "Лидерство в информационной безопасности", в котором автор говорит о том, что руководитель подразделения ИБ не должен всегда говорить "нет" - он должен быть готов к компромиссам, прислушиваться к проблемам бизнес-подразделений и предлагать оптимальные решения. Только тогда он сможет получить определенное влияние в компании и реально повысить уровень ее безопасности. Когда к вам обратится руководитель бизнес-подразделения, например, с просьбой согласовать внедрение программного продукта (который вы считаете небезопасным), не торопитесь сказать нет. Обсудите с ним, зачем ему понадобился этот продукт, какой именно функционал нужен, почему он понадобился именно сейчас. Вполне вероятно, что после обсуждения проблема решится сама собой. А если нет, вы сможете ответить более мотивированно и предложить альтернативное решение.
Интересные статьи и заметки по менеджменту, коммуникациям
  • Интересная и полезная серия заметок Константина Щеглова "Технический департамент своими руками". Константин делится своим опытом по ряду насущных проблем, которые стоят перед подразделениями ИБ в ничуть не меньшей степени, чем перед подразделениями ИТ. Константин затрагивает такие вопросы, как прием на работу новых сотрудников, собеседования, увольнение, мотивация сотрудников, взаимодействие с другими подразделениями в компании, планирование, контроль выполнения задач, проведении совещаний, документации. Все заметки доступны также в виде PDF и EPUB.
Стандарты, руководства, лучшие практики, исследования
  • Перевод документа SANS "Топ 20 наиболее критичных защитных мер и средств", в котором перечислены самые важные процессы ИБ и дана карта киберугроз, содержащая ключевые элементы, которые присутствуют почти в каждой атаке. Карта позволяет выбрать наилучшие подходы для защиты от различных атак.
  • Компания Credant опубликовала документ "Инсайдерские угрозы" (на английском). В документе рассмотрены основные типы атак внутренних злоумышленников (саботаж, кража или изменение информации для получения финансовой (материальной) выгоды или бизнес-преимуществ) и даны рекомендации по минимизации инсайдерских угроз. Помимо стандартных рекомендаций, типа управления доступом, разделения обязанностей, мониторинга и издания нормативных документов, авторы рекомендуют позаботиться о том, чтобы заранее предвидеть и правильно обрабатывать негативные моменты, возникающие в работе сотрудников, а также контролировать деятельность сотрудников в сети Интернет.
  • Компания Panda Security опубликовала отчет "Вредоносные программы для смартфонов" (на английском). В отчете рассмотрена история, настоящее и будущее вредоносных программ для мобильных устройств, даны простые рекомендации, следование которым снизит риски стать жертвой злоумышленников. По мнению авторов, одной из наиболее важных проблем является очень низкий уровень осведомленности людей о мобильных угрозах.
Законодательство
  • На сайте Гос.Думы наконец-то появился текст поправок в 152-ФЗ "О персональных данных". На 17.06.2011 было запланировано рассмотрение законопроекта с этими поправками во втором чтении, но оно, увы, не состоялось. Однако текст поправок вызывает большой интерес, многие подходы и требования меняются весьма кардинально и, что самое главное, в положительном направлении. Хороший обзор изменений опубликовал в своем блоге Алексей Волков (часть 1, часть 2, часть 3), за что ему большое спасибо. Обратите внимание на комментарии к его постам, там тоже немало полезной информации. Также несколько интересных комментариев есть на форуме Банкир.Ру.
  • Принят во втором и третьем чтениях законопроект "О национальной платежной системе". Согласно этому законопроекту, операторами НПС являются Банк России, Внешэкономбанк и банки, имеющие право на осуществление перевода денежных средств. Надзор и наблюдение в НПС (в том числе по вопросам ИБ) будет осуществляться Банком России. Среди прочего, в законе уточнены понятия электронных денег и перевода электронных денег как новой формы безналичных расчетов. Краткий обзор законопроекта опубликовал в своем блоге Александр Бондаренко.
  • Планируется внесение поправок в Уголовный кодекс. Соответствующий законопроект был на прошлой неделе внесен в Гос.Думу. Изменения затрагивают в том числе и статьи, касающиеся преступлений в компьютерной сфере. К сожалению, изменения довольно неоднозначны, и, как справедливо отметил Николай Федотов (ст.272ст.273, ст.274), вносят дополнительную путаницу, вместо устранения имеющейся...
Новости
  • Международная организация по стандартизации (ISO) открыла свободный доступ к электронной версии журнала ISO Focus+ (включая архив номеров), а также к архиву номеров за 2001-2009 годы журнала ISO Management Systems. За новость спасибо Наталье Храмцовской.
  • Также появились некоторые подробности недавнего взлома сети МВФ. Взлом обнаружили администраторы сети, заметив "подозрительные передачи файлов неизвестным получателям". Причем характер переданных файлов говорит о том, что они вряд ли могли бы заинтересовать индивидуального получателя, скорее всего, злоумышленники действовали в интересах какой-либо страны.
  • На этой неделе вышли большие пакеты обновлений от Microsoft и Adobe. Adobe кроме того изменила функцию автообновления - теперь патчи (по умолчанию) будут ставиться автоматически и без вопросов. Большинство выпущенных патчей устраняют критические уязвимости, поэтому настоятельно рекомендуются к установке.
Инциденты за неделю

5 комментариев:

Анонимный комментирует...

В инциденты за неделю - http://personal-data.livejournal.com/279449.html

Alexey Volkov комментирует...

Мечтал попасть в Ваш дайджест - а тут аж 2 раза, и после неконструктивной критики... Йа Звездец :)

eagle комментирует...

Для дайджеста я выбираю то, что на мой субъективный взгляд имеет практическую пользу. Ваш обзор нововведений в 152-ФЗ был реально хорошим и почти единственным ;) А по поводу инцидентов Вы затронули (имхо) актуальную проблему. Спасибо :)

Alexey Volkov комментирует...

Спасибо Вам :) И потом - я всегда говорю, что не придумано еще в мире вопросов, по которым два профессионала не могли бы найти общий язык :)

eagle комментирует...

:)