Дайджест ИБ за 13 - 19 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Стандарты, руководства, лучшие практики, исследования
• Законодательство
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Пост Алексея Волкова "Инцидент менеджмент". Алексей затрагивает тему неправильного понимания термина "инцидент" и неправильного подхода к обработке инцидентов. Действительно, многие инциденты начинают обрабатываться только тогда, когда все плохое уже произошло, а сама обработка инцидента заключается в поиске виновного (крайнего). От такого подхода никакого толка для пострадавшего нет, однако "следователи" гордо приписывают себе очередное достижение. Алексей говорит о том, что при правильной организации СУИБ большинство инцидентов должно обнаруживаться на ранних стадиях подготовки, а в идеале - вообще предотвращаться.

• Новая презентация Алексея Лукацкого "Регулирование криптографии в России", в которой Алексей рассматривает основные сложности, связанные с вопросами регулирования криптографии в России, в частности, он затрагивает проблемы лицензирования, сертификации, эксплуатации СКЗИ, ввоза шифровальных средств.

• Перевод поста Brian Krebs "Структурная схема организации раскрывает связи ChronoPay с сомнительными интернет-проектами". Брайан продолжает свое расследование в отношении деятельности компании российской компании ChronoPay. В своем посте он показывает иерархию и структуру подотчетности "скрытых отделов" этой компании, специализирующихся, по данным Брайана, на торговле нелегальным контентом, обработке платежей в пользу сайтов "для взрослых", платежей за поддельные антивирусы, продвижением нелегальных фармацевтических программ и т.п.

• Статья Владимира Безмалого "Как обнаружить фишинг-сайты и что сделать, чтобы предотвратить обман". Владимир рассказывает о фишинговых атаках и дает практические рекомендации, использование которых снизит риск стать их жертвой.

Лучшие посты из англоязычных блогов по ИБ

• Пост Dejan Kosutic "Возможно ли рассчитать ROSI (возврат инвестиций в безопасность)?". В своем посте Дижен приводит алгоритм рассчета ROSI, но признает, что при этом есть значительный элемент неопределенности, связанный с невозможностью точного определения вероятности/периодичности инцидентов безопасности. Однако, по мнению Дижена, это лучше, чем ничего. С такой же проблемой сталкиваются и другие подразделения в компаниях, например, подразделение маркетинга. Однако они успешно справляются с обоснованием инвестиций в рекламные компании, хотя тоже "додумывают" многие показатели в процессе расчета возврата инвестиций. Также Дижен приводит ссылку на онлайн-калькулятор, который поможет при расчете ROSI.

• Пост Kees Leune "Лидерство в информационной безопасности", в котором автор говорит о том, что руководитель подразделения ИБ не должен всегда говорить "нет" - он должен быть готов к компромиссам, прислушиваться к проблемам бизнес-подразделений и предлагать оптимальные решения. Только тогда он сможет получить определенное влияние в компании и реально повысить уровень ее безопасности. Когда к вам обратится руководитель бизнес-подразделения, например, с просьбой согласовать внедрение программного продукта (который вы считаете небезопасным), не торопитесь сказать нет. Обсудите с ним, зачем ему понадобился этот продукт, какой именно функционал нужен, почему он понадобился именно сейчас. Вполне вероятно, что после обсуждения проблема решится сама собой. А если нет, вы сможете ответить более мотивированно и предложить альтернативное решение.

Интересные статьи и заметки по менеджменту, коммуникациям

• Интересная и полезная серия заметок Константина Щеглова "Технический департамент своими руками". Константин делится своим опытом по ряду насущных проблем, которые стоят перед подразделениями ИБ в ничуть не меньшей степени, чем перед подразделениями ИТ. Константин затрагивает такие вопросы, как прием на работу новых сотрудников, собеседования, увольнение, мотивация сотрудников, взаимодействие с другими подразделениями в компании, планирование, контроль выполнения задач, проведении совещаний, документации. Все заметки доступны также в виде PDF и EPUB.

• Выпуск №46 подкаста "42" на ЛайфХакере "Хочешь изучать английский? Do It!". Отличный выпуск, в котором рассказывается о способах самостоятельного изучения английского языка. Дано множество практических рекомендаций, участники описывают способы, которые они сами использовали и используют для изучения и поддержки своих навыков английского.

Стандарты, руководства, лучшие практики, исследования

• CERT опубликовала еще несколько процедур реагирования на различные инциденты безопасности: Вредоносная активность в сети, Дефейс веб-сайта, Выявление вредоносной программы на Windows-компьютере, Шантаж (на английском).

• PCI Council выпустил документ "Руководство по выполнению требований PCI DSS при использовании виртуализации" (на английском). В руководстве описаны дополнительные риски, которым подвержены виртуальные среды, а также рекомендации по реализации требований PCI DSS в виртуальных средах, смешанных средах и облачных средах. Антон Чувакин опубликовал в своем блоге обзор данного документа (на английском).

• Перевод документа SANS "Топ 20 наиболее критичных защитных мер и средств", в котором перечислены самые важные процессы ИБ и дана карта киберугроз, содержащая ключевые элементы, которые присутствуют почти в каждой атаке. Карта позволяет выбрать наилучшие подходы для защиты от различных атак.

• Компания Credant опубликовала документ "Инсайдерские угрозы" (на английском). В документе рассмотрены основные типы атак внутренних злоумышленников (саботаж, кража или изменение информации для получения финансовой (материальной) выгоды или бизнес-преимуществ) и даны рекомендации по минимизации инсайдерских угроз. Помимо стандартных рекомендаций, типа управления доступом, разделения обязанностей, мониторинга и издания нормативных документов, авторы рекомендуют позаботиться о том, чтобы заранее предвидеть и правильно обрабатывать негативные моменты, возникающие в работе сотрудников, а также контролировать деятельность сотрудников в сети Интернет.

• Компания Panda Security опубликовала отчет "Вредоносные программы для смартфонов" (на английском). В отчете рассмотрена история, настоящее и будущее вредоносных программ для мобильных устройств, даны простые рекомендации, следование которым снизит риски стать жертвой злоумышленников. По мнению авторов, одной из наиболее важных проблем является очень низкий уровень осведомленности людей о мобильных угрозах.

• Пример отчета по результатам анализа инцидента, связанного с хищением денег у клиента банка посредством системы онлайн-банкинга (на английском).

• На сайте TechDays опубликованы два видеодоклада: Александр Заграничнов рассказывает о безопасности браузера Internet Explorer 9, а Андрей Бешков - о методах безопасной разработки клиентских приложений (с использованием методологии SDL).

Законодательство

• На сайте Гос.Думы наконец-то появился текст поправок в 152-ФЗ "О персональных данных". На 17.06.2011 было запланировано рассмотрение законопроекта с этими поправками во втором чтении, но оно, увы, не состоялось. Однако текст поправок вызывает большой интерес, многие подходы и требования меняются весьма кардинально и, что самое главное, в положительном направлении. Хороший обзор изменений опубликовал в своем блоге Алексей Волков (часть 1, часть 2, часть 3), за что ему большое спасибо. Обратите внимание на комментарии к его постам, там тоже немало полезной информации. Также несколько интересных комментариев есть на форуме Банкир.Ру.

• Принят во втором и третьем чтениях законопроект "О национальной платежной системе". Согласно этому законопроекту, операторами НПС являются Банк России, Внешэкономбанк и банки, имеющие право на осуществление перевода денежных средств. Надзор и наблюдение в НПС (в том числе по вопросам ИБ) будет осуществляться Банком России. Среди прочего, в законе уточнены понятия электронных денег и перевода электронных денег как новой формы безналичных расчетов. Краткий обзор законопроекта опубликовал в своем блоге Александр Бондаренко.

• Планируется внесение поправок в Уголовный кодекс. Соответствующий законопроект был на прошлой неделе внесен в Гос.Думу. Изменения затрагивают в том числе и статьи, касающиеся преступлений в компьютерной сфере. К сожалению, изменения довольно неоднозначны, и, как справедливо отметил Николай Федотов (ст.272, ст.273, ст.274), вносят дополнительную путаницу, вместо устранения имеющейся...

• Утверждено Распоряжение Правительства Москвы №376-РП от 12.05.2011 "О базовом регистре информации, необходимой для предоставления гос.услуг в г.Москве". Обзор данного документа, нарушающего все основные требования законодательства по персональным данным, опубликовал в своем блоге Михаил Емельянников. Если коротко, то планируется создать настолько исчерпывающую базу персональных данных о гражданах, которая и в страшном сне присниться не может. Интересно, как скоро после создания она появится в продаже?

Новости

• Международная организация по стандартизации (ISO) открыла свободный доступ к электронной версии журнала ISO Focus+ (включая архив номеров), а также к архиву номеров за 2001-2009 годы журнала ISO Management Systems. За новость спасибо Наталье Храмцовской.

• Токены Рутокен ЭЦП получили сертификат ФСБ. Аналогичный сертификат несколько месяцев назад получили токены eToken ГОСТ.

• Вышел новый номер журнала Information Security (на английском).

• Роскомнадзор начал борьбу с нелегальной продажей государственных баз данных. Это, конечно, хорошо, однако эффективность борьбы со следствием проблемы вместо борьбы с самой проблемой вызывает некоторые сомнения. Почему бы в этой борьбе не сконцентрироваться в первую очередь на государственных учреждениях, из которых происходят постоянные утечки информации?

• Появились подробности недавнего взлома системы дистанционного банковского обслуживания Citibank. Оказывается, что для взлома было достаточно иметь счет в Citibank и некоторое количество свободного времени. Чтобы получить доступ к чужому счету, достаточно было войти в систему, открыть свой счет, а затем просто поменять номер счета в адресной строке браузера! Кстати, выясняется, что в результате атаки были получены данные 360 тысяч клиентов, а не 200 тысяч, как было заявлено ранее.

• Также появились некоторые подробности недавнего взлома сети МВФ. Взлом обнаружили администраторы сети, заметив "подозрительные передачи файлов неизвестным получателям". Причем характер переданных файлов говорит о том, что они вряд ли могли бы заинтересовать индивидуального получателя, скорее всего, злоумышленники действовали в интересах какой-либо страны.

• На этой неделе вышли большие пакеты обновлений от Microsoft и Adobe. Adobe кроме того изменила функцию автообновления - теперь патчи (по умолчанию) будут ставиться автоматически и без вопросов. Большинство выпущенных патчей устраняют критические уязвимости, поэтому настоятельно рекомендуются к установке.

Инциденты за неделю

• Казалось бы, времена хакерских атак ради развлечения и самоутверждения остались в прошлом. Однако группа хакеров Lulz Security, по всей видимости, вознамерилась доказать обратное. За эту неделю они взломали сайты EVE Online, Minecraft, сайт журнала The Escapist, сайт WriterSpace.com, сайт американского сената, провели успешную DDoS-атаку на сайт ЦРУ (по поводу этой атаки есть очень интересная версия - возможно хакеры не использовали для этого бот-сети, а просто написали, что "цель поражена" в твиттере, после чего сотни тысяч желающих проверить это пользователей и "положили" своими запросами сайт ЦРУ). Недавно Lulz Security открыла горячую линию по приему заявок на атаки. Кстати, на своем сайте они публикуют хронологию всех своих атак и ссылки на загрузку украденной информации.

• Хакеры взломали новостной сайт fraud-news.com, чтобы разместить на нем статью, содержащую сфабрикованную историю об аресте известных специалистов по ИБ Микко Хиппонена и Брайана Кребса за продажу 1,5 млн. взломанных аккаунтов. На сайте fraud-news.com опубликовано опровержение. Тут можно посмотреть чуть больше подробностей (на английском).

• Хакер взломал FTP-сервер компании Hewlett Packard и получил полный доступ к размещенным на нем файлам.

• Красноярский хакер, похитивший почти 900 тыс.руб., получил условный срок. А вот хакер из Алтая, неоднократно подключавшийся к Интернету под чужим логином, получил два года вполне реального срока.