вторник, 20 сентября 2011 г.

Дайджест ИБ за 12 - 18 сентября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ
  • Статья toxa "Четвертая проблема пентестеров". Антон рассказывает о проблемах заказчиков и исполнителей, связанных с проведением тестов на проникновение, а также рассматривает вопросы разработки качественного отчета по результатам теста.
  • Пост Алексея Лукацкого "Тема DLP вновь на подъеме?! Но готовы ли вы к ней?". Основной частью поста Алексея является перевод поста Стефана Марчевитца "9 причин, по которым вы не готовы к внедрению DLP", в котором приведены 9 вопросов, на которые нужно ответить себе перед планированием внедрения DLP: 1) вы провели оценку рисков (реальную)? 2) знаете ли вы все нормативные требования, которые относятся к вам? 3) знаете ли вы где хранятся данные компании? 4) каков масштаб проекта? 5) есть ли у вас план реагирования на утечки? 6) ваши политики, руководства, планы готовы к DLP? 7) вы классифицировали ваши данные? 8) ваш бюджет учитывает все затраты на внедрение и последующую эксплуатацию DLP? 9) вы готовы управлять программой DLP в рамках цикла PDCA? Внедрение DLP - сложный проект, и если вы не готовы к нему, лучше потратить деньги на что-то еще.
Лучшие посты из англоязычных блогов по ИБ
  • Пост Dejan Kosutic "Как подготовиться к сертификационному аудиту по ISO 27001". Вы ошибаетесь, если думаете, что для получения сертификата по ISO 27001 достаточно написать гору документов по ИБ. Во-первых, ваша документация должна соответствовать ISO 27001. Во-вторых, она должна быть реально внедрена в работу и все ваши действия должны выполняться в соответствии с этими документами и ISO 27001. Но и это еще не все. После разработки и внедрения документов, вам нужно организовать внутренний аудит, анализ СМИБ руководством, а также выполнение корректирующих действий (для устранения выявленных аудитом и руководством недостатков) и превентивных мер (чтобы предотвращать проблемы до того, как они возникнут). Хотя эти шаги выглядят сложными и дорогостоящими, поверьте - они принесут реальную пользу и вы сможете значительно повысить уровень ИБ компании.
  • Пост Douglas Davidson "В современном мире информационные активы компании находятся во многих местах... Все ли вы их знаете?". Дуглас говорит о том, что деятельность по обеспечению ИБ в компаниях часто направлена на защиту данных в сети компании, а также в принадлежащих компании ноутбуках и смартфонах. Но в современном мире этого становится недостаточно. Сотрудники компании могут использовать собственные мобильные устройства для работы с данными компании (кстати, согласно результатам исследования DELL Kace, это уже происходит в подавляющем большинстве американских компаний), отправлять рабочие документы на собственные адреса электронной почты, брать с собой бумажные документы для работы дома, сотрудники могут использовать облачные сервисы для хранения и синхронизации информации (типа Dropbox). Кроме того, информация компании "оседает" у ее партнеров и контрагентов...
  • Пост Idan Aharoni "Мошенники используют сайты банков против них же самих", в котором автор рассказывает о новом методе, используемом злоумышленниками для проверки краденых данных банковских карт, перед их использованием. Метод очень прост и эффективен. Некоторые онлайн-сервисы на банковских сайтах для аутентификации пользователя требуют ввода полного номера карты (а иногда и иных данных карты). Злоумышленники разрабатывают специальные скрипты, которые проходят по имеющейся у них базе данных краденых карт и определяют, какие из карт являются действительными. При правильной организации, эта методика позволяет проверять большое количество карт без риска "засветить" их раньше времени.
Интересные статьи и заметки по менеджменту, коммуникациям
Законодательство
Стандарты, руководства, лучшие практики, исследования
  • Опубликовано интересное исследование разницы в уровне терпимости к риску в разных странах и культурах (на английском). Оказывается, уровень терпимости к риску достаточно высок в странах с низким уровнем доходов (т.е. и в России тоже). Высокий уровень означает нетерпимость и желание снизить риски или переложить их на кого-то. В странах с высоким уровнем доходов, в странах с преимущественно индивидуалистичным стилем жизни, в странах, в которых граждане живут в определенной гармонии с собой и окружащим миром уровень терпимости низкий, а значит граждане более доверчивы, чем, собственно, и пользуются многие мошенники. За краткий перевод результатов исследования спасибо Алексею Лукацкому.
Новости
  • Похоже США подумывает о возможности воспользоваться передовым российским опытом в области защиты персональных данных ;-). После многочисленных утечек, произошедших в этом году, в результате которых были скомпрометированы данные сотен миллионов людей, сенатор Ричард Блюменталь представил новый законопроект, направленный на защиту от утечек ПДн. Законопроект устанавливает обязательные требования для компаний, нарушение которых ведет к значительным штрафам. По всей видимости, одних только санкций за утечки информации уже становится недостаточно...
Инциденты за неделю

2 комментария:

Андрей Абрамов комментирует...

Ссылочка на онлайн сканер Balaji банится nod32 :(

eagle комментирует...

Странно. Касперский молчит, Google Safe Browsing тоже ничего плохого про него не знает. На что ругается NOD?