Дайджест ИБ за 1 - 7 августа 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• На этой неделе многие эксперты опубликовали заметки по отдельным вопросам, связанным с произошедшими изменениями законодательства по персональным данным. Приведу только самые полезные (на мой взгляд). 
• Алексей Лукацкий сделал обзор и прокомментировал основные изменения закона 152-ФЗ, затронул вопросы аттестации ИСПДн и сделал предположение о причинах произошедших в законе изменений.
• Алексей Волков рассмотрел вопрос - почему не действуют раннее принятые Постановления правительства к 152-ФЗ, вопросы относительно обработки биометрических ПДн (часть 2), вопросы использования сертифицированных СЗИ, лицензирования деятельности по ТЗКИ и аттестации ИСПДн, вопросы обязательности требований, указанных в ст.18.1 152-ФЗ.
• Михаил Емельянников проанализировал недостатки нового закона с точки зрения субъекта ПДн.
• Алексей Лукацкий предлагает всем желающим принять участие в разработке подзаконных актов к новому 152-ФЗ. Хотя шансы оказать позитивное влияние на эти документы у сообщества ИБ не велики, они все же реально есть.
• Между тем проверки организаций по новым требованиям уже начались.

Лучшие посты из англоязычных блогов по ИБ

• Пост Mike Rothman "Определение "риска"". Майк предлагает использовать относительную (условную) стоимость информационных активов при оценке рисков ИБ, поскольку определение денежной стоимости активов в большинстве случаев очень субъективно и не отражает действительности. При оценке относительной стоимости активов Майк предлагает использовать 3-4 категории. Оценка активов производится на основе ответов на следующие вопросы: 1) что произойдет, если оцениваемая система (актив) перестанет работать? 2) кто использует эту систему (какие подразделения, для каких бизнес-процессов)? 3) насколько легко будет заменить систему при необходимости. Такие вопросы будут вполне понятны бизнесу, что позволит получить адекватные ответы и, в результате, даст объективные и воспроизводимые оценки стоимости активов. Майк рекомендует аналогичным образом поступать и при формировании модели угроз. Не нужно усложнять оценку!

• Пост Ben Tomhave "Прославляя глупость". Бен рассуждает о ключевой ошибке специалистов по ИБ, которые винят пользователей за то, что те не следуют безопасным практикам, и пытаются решить проблему обучением и наказаниями, а также жесткими ограничениями. Проблема в том, что у пользователей в большинстве случаев нет никаких стимулов, чтобы делать свою работу "безопасно" - им платят за их работу, а не за безопасность. Этот вопрос в последнее время затрагивают многие, однако Бен предлагает иной способ решения проблемы. По его мнению, для этого нужно сделать три вещи: 1) включить соблюдение требований безопасности в должностные инструкции всех сотрудников; 2) учитывать безопасность при оценке работы сотрудника (например, при расчете премии); 3) применять (адекватные) дисциплинарные меры для всех инцидентов безопасности.

• Статья Joan Goodchild "5 вопросов, которые нужно задать при разработке политики безопасности мобильных устройств", в которой автор дает рекомендации по разработке политики безопасности мобильных устройств. Такая политика должна определять: 1) какие устройства поддерживаются; 2) как осуществляется доступ к информации с мобильных устройств; 3) кто может использовать мобильные устройства и для выполнения каких задач; 4) как обеспечивать готовность к новым запросам пользователей; 5) когда следует сказать "нет".

Интересные статьи и заметки по менеджменту, коммуникациям

• Отличная видеолекция Радислава Гандапаса на темы окружения, общения, лидерства, восприятия мира, бизнеса. За ссылку спасибо Денису Батранкову.

• Пост Елены Степанцовой "Мотивация, ВНД и управление персоналом", в котором Елена обращает внимание, что мотивация - это не только наказания. Если Вы хотите чтобы работник что-то не делал - в этом случае естественно использовать наказания, если хотите чтобы делал - то действия надо поощрять. Если использовать только наказания, получите устойчивую реакцию избегания, перекладывания ответственности и поиск виноватых на всех уровнях деятельности в компании. 

• 50 новых правил работы от Робина Шарма. Они в первую очередь ориентированы на бизнес, но большинство из них не менее актуальны и для сферы ИБ. Вот некоторые из них: 1) Вам платят не просто за работу. Вам платят за причиняемые неудобства и за воплощение проектов, которые пугают вас; 31) Переключитесь с бездумной текучки на действительно полезную деятельность; 33) Работайте не ради аплодисментов, а ради профессиональной гордости; 38) Единственное ваше оправдание — это вы сами; 37) Слова могут вдохновлять и уничтожать, так что подбирайте их тщательно.

Стандарты, руководства, лучшие практики, исследования

• ISO обновила стандарт по управлению рисками информационной безопасности ISO/IEC 27005:2011. Официальный пресс-релиз можно посмотреть на сайте ISO.

• Stay Chen провел сравнительный анализ 60 различных сканеров безопасности веб-приложений (на английском), в число которых вошли как коммерческие, так и бесплатные продукты.

• Перевел на русский еще один документ CERT Societe Generale "Руководство по обработке инцидентов, связанных с заражением вредоносной программой Windows-компьютера". 

• Эксперты компании McAfee зафиксировали самую масштабную в истории серию хакерских атак, которые затронули 72 различных компании, в т.ч. международные организации и правительственные службы ряда стран. В результате атак, длившихся от одного до 28 месяцев, хакерам удалось получить доступ к большому объему конфиденциальной информации. В организации атак снова подозревают Китай. Отчет компании McAfee можно посмотреть здесь (на английском). А здесь можно посмотреть некоторые подробности от Symantec.

• Компания Venafi провела исследование выполнения ключевых практик по обеспечению ИБ (на английском), в котором приняли участие 420 организаций из различных отраслей. Оказалось, что даже достаточно простые вещи, такие как повышение осведомленности сотрудников по вопросам ИБ, использование шифрования, ежегодная смена ключей, большинство организаций реально не выполняют. Здесь можно посмотреть краткий обзор отчета, а здесь - отчет в виде инфографики.

• Компания Cisco опубликовала отчет по угрозам информационной безопасности за 2 квартал 2011 года. В 2011 году доминируют нарушения, связанные с утечкой данных. Также в отчете отмечено значительное увеличение брутфорс-атак и SQL-инъекций, направленных на получение несанкционированного доступа в базы данных. Участились DDoS-атаки. Значительно увеличилось количество уникальных экземпляров вредоносного кода.

Новости

• За последние несколько недель многие распространители фальшивых антивирусов прекратили свою работу, что было вызвано рядом успешных операций правоохранительных органов различных стран и усилиями экспертов по безопасности. Это практически сразу привело к резкому снижению количества новых случаев обнаружения фальшивых антивирусов на компьютерах пользователей.

• А к фальшивому антивирусу MacDefender, похоже, действительно приложила свою руку российская компания ChronoPay. При обыске в офисе компании, произведенном правоохранительными органами после ареста ее ген.директора П.Врублевского, были изъяты документы, содержащие прямые упоминания MacDefender. Более того, после ареста Врублевского и изъятия компьютеров из офиса ChronoPay новые версии программы перестали выходить вообще.

• На конференции Black Hat были обнародованы сведения об уязвимости, которой подвержено большинство современных маршрутизаторов. Уязвимость связана с ошибкой в протоколе OSPF. Она позволяет, в частности, переадресовать трафик компании на узлы злоумышленника.

• Уязвимости в популярной платформе для построения интернет-магазинов osCommerce позволили злоумышленникам внедрить вредоносный код на миллионы веб-страниц.

• Обнаружена XSS-уязвимость на сайте Forbes.com.

Инциденты за неделю

• Cisco 8 месяцев (с декабря 2010 по август 2011) поставляла клиентам прилагающиеся к купленными ими продуктам компакт-диски с гарантийной информацией, которые при автоматическом запуске открывали не локальную приветственную страницу, а внешний сайт в Интернет, являющийся хранилищем вредоносного кода.

• Citigroup снова пострадал от хакеров. На этот раз из японского отделения Citigroup были украдены персональные данные около 90 тысяч клиентов.