понедельник, 11 июля 2011 г.

Дайджест ИБ за 04 - 10 июля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ
  • Пост Сергея Борисова "Аудит ИБ Банков". Сергей прошел обучение по курсу аудита ИБ банков и делится полученной информацией об особенностях проведения аудита по стандарту Банка России СТО БР ИББС-1.0. Есть очень интересные и полезные моменты.
Лучшие посты из англоязычных блогов по ИБ
  •  Пост Rich Mogull "Просто - на самом деле не так и просто". Рич обращает внимание на множество заметок и статей по произошедшим в последнее время взломам и атакам, в которых авторы пишут о том, что инцидент легко было предотвратить с использованием простых и очевидных защитных мер. Достаточно просто обучить разработчиков писать безопасный код, установить последние патчи и следовать лучшим практикам в области обеспечения безопасности. Это остановит всех злоумышленников, за исключением самых решительных и целеустремленных. Ничего сложного, не так ли? На самом деле - не так, говорит Рич. Эта простота очень плохо масштабируется. Очень мало решений по безопасности, которые не требуют квалифицированной поддержки и эксплуатации. Если компания небольшая и в ней работают всего несколько сотрудников, обеспечить ее безопасность действительно не сложно, однако у нее нет достаточных ресурсов для этого. Если компания большая, обеспечение ее безопасности становится очень сложной задачей, даже если она обладает достаточными ресурсами для этого. Просто устранить конкретную уязвимость или недостаток, но сделать это для всех систем и процессов крупной компании - очень сложная задача. Chris Wysopal немного дополнил пост Рича.
  • Пост Rob VandenBrick "Это слишком важно, чтобы ставить патчи". Роб обращает внимание на парадокс - нередко оказывается, что на самые важные и критичные для компании системы патчи не ставятся, а иногда они работают под управлением уже давно не поддерживаемого программного обеспечения или операционных систем. Администраторы таких систем не допускают установку патчей, опасаясь последствий непредсказуемой работы систем после этого.
Интересные статьи и заметки по менеджменту, коммуникациям
Законодательство
Стандарты, руководства, лучшие практики, исследования
Новости
Инциденты за неделю
  • Произведена фишинговая атака на абонентов Билайн. Им рассылались электронные письма, в которых сообщалось о выигрыше приза и предлагалось отправить "бесплатную" SMS на короткий номер... Непонятно только, откуда у мошенников были адреса электронной почты абонентов Билайн? Или они рассылали письма всем подряд?

Комментариев нет: