понедельник, 6 июня 2011 г.

Дайджест ИБ за 30 мая - 5 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ
Лучшие посты из англоязычных блогов по ИБ
  • Пост Rafal Los "Проблемы безопасности, безрадостные перспективы и надежда", в которой Рафаль говорит о странностях отрасли ИБ. Специалисты по ИБ уже более десятилетия работают, не покладая рук, для защиты различных информационных активов. И что в результате? Много ли вещей стали реально лучше за это время (учитывая уровни угроз тогда и сейчас)? Производители решений по ИБ, консультанты, проекты по ИБ... А может ли кто-нибудь хотя бы просто оценить истинный уровень безопасности компании? По мнению Рафаля, ситуация с ИБ во многом напоминает "холодную" войну, в которой не может быть победителя, и выигрывают от которой только производители различных средств нападения и защиты. ИБ движется по нисходящей спирали: бизнес не видит реальной ценности ИБ, поэтому не расходует больших средств на персонал и проекты по ИБ, не уделяет достаточного внимания управлению рисками ИБ; рано или поздно происходит существенный инцидент безопасности, на устранение которого компания тратит огромные средства; бизнес спрашивает - почему же ИБ компании не смогла этого предотвратить?! это еще больше снижает ценность ИБ в глазах бизнеса... и начинается следующий виток этой спирали. Однако Рафаль считает, что надежда еще есть. Чтобы выйти из этой спирали, специалисты по ИБ должны пересмотреть свои взгляды и защищать компанию не от отдельных (в основном технических) недостатков ИБ, которые специалисты по ИБ считают важными, а вместе с бизнесом стоить защиту бизнес-целей и корпоративных активов компании.
  • Пост "Брайан Сноу об информационной безопасности во враждебной среде", автор рассматривает три подхода к обеспечению безопасности: 1) традиционный подход на основе вероятностной оценки рисков, который хорошо работает в невраждебной среде при наличии большого объема статистической информации; 2) проектирование с учетом безопасности, при котором система создается с таким расчетом, чтобы злоумышленникам было невыгодно атаковать ее; 3) практическая безопасность - наличие собственной команды, которая будет производить атаки на систему, начиная с этапа ее проектирования, а выявленные недостатки будут сразу устраняться. Автор указывает на недостатки и преимущества каждого из подходов.
  • Пост Brian Krebs "Объявление: требуются программисты для разработки вредоносных программ!". Брайан длительное время провел на различных хакерских форумах и собрал немало информации о работе компьютерных злоумышленников. Компьютерная преступность вышла на уровень проведения исследований, инвестирования средств в проекты, постоянного трудоустройства высококвалифицированных программистов. В частности, Брайан нашел массу объявлений о приеме на работу программистов (что примечательно - все объявления на русском языке).
  • Пост "Правильный показатель уровня риска", в котором автор касается проблемы завышенной оценки уровня рисков. Очень сложно обрабатывать результаты оценки рисков, если большинство выявленных рисков имеют "критический" или "высокий" уровень. Автор дает рекомендации по классификации уровня рисков, которая позволит получить более адекватные результаты.
Интересные статьи и заметки по менеджменту, коммуникациям
  • 8 способов гарантировано завалить проект: не общаться с заказчиком по мере выполнения работ; не фиксировать требования вначале проекта; планировать проект в одиночку (вдвоем, втроем); не отслеживать своевременность выполнения работ; работать с рисками в одиночку или вообще их не учитывать; пренебрегать конфликтами или жестко их пресекать; проводить сдачу работ «методом большого взрыва»; делать работу «по уму», забив на контракт без согласования с заказчиком.
Законодательство
Стандарты, руководства, лучшие практики, исследования
  • В честь "Дня защиты детей" Panda и Eset опубликовали рекомендации по защите детей от интернет-угроз.
Новости
Инциденты за неделю
  • Произошел ряд взломов в других крупных компаниях, почти везде были похищены большие объемы персональных данных клиентов. Были взломаны: Acer, Honda, Nintendo, PBS

2 комментария:

Stanislav комментирует...

Отличный дайджест, надеюсь работа по нему не прекратиться.

securityinform комментирует...

Полезно. Прочитал - сразу на вас подписался. Жду новых дигестов.