Практика ИБ \ Пишите документы по безопасности, которые люди смогут читать!

Недавно увидел очень интересную презентацию Брэда Бимиса (Brad Bemis) "Пишите политики безопасности, которые люди смогут читать!". Брэд в одной презентации объединил лучшие рекомендации, которые позволят сделать нормативные документы по информационной безопасности гораздо более эффективными. Я решил не просто перевести презентацию, а сделать из нее небольшую статью.

Все мы знакомы со стандартным набором требований, предъявляемых к разработке нормативных документов по ИБ, которые (теоретически) должны обеспечить успешность и эффективность этих документов: получение поддержки руководства, распределение ролей и назначение ответственных, учет специфики компании, ее потребностей в обеспечении безопасности, учет результатов оценки рисков, указание четких требований и обеспечение возможностей для их выполнения. И т.д. Безусловно, все это правильно, но...

Сколько в вашей компании сотрудников, которые знают где найти действующие нормативные документы по ИБ? А сколько из них потратили время на ознакомление с этими документами и поняли, что в них написано? Сколько из них помнят указанные в документах требования через месяц после прочтения? Сколько сотрудников стараются соблюдать эти требования и следят за тем, чтобы их коллеги также следовали им? К сожалению, часто в ответе уже на первый вопрос количество сотрудников весьма небольшое, и оно продолжает снижаться при ответе на каждый следующий вопрос...

Практика ИБ \ Классификация данных и выбор стратегии защиты их доступности

Перевел еще один полезный документ. Это руководство компании BakBone по оценке требований бизнеса и классификации данных для организации их защиты (в документе рассматриваются вопросы обеспечения доступности).

Бизнес компании сосредоточен именно на бизнесе, на получении прибыли, а не на ИТ или ИБ. Используемые в компании меры и средства по защите данных должны быть направлены на управление информационными бизнес-активами. Проведение простого анализа данных, в отрыве от их ценности для бизнеса, может дать неадекватные результаты. В настоящем документе рассматривается подход к оценке данных с точки зрения их критичности для бизнеса, а также к выбору эффективной стратегии защиты данных компании.

Дайджест ИБ за 18-24 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, лучшие практики, исследования
• Новости
• Инциденты за неделю

ISSP \ Домен 10. Операционная безопасность. Часть 4

В этой части рассмотрены следующие вопросы:

• Доступность сети и ресурсов
• Среднее время безотказной работы (MTBF)
• Среднее время восстановления (MTTR)
• Единая точка отказа
• Устройства хранения с прямым доступом (DASD)
• RAID-массивы
• Массив с неактивными дисками (MAID)
• Избыточный массив независимых лент (RAIT)
• Сети хранения данных (SAN)
• Кластеризация
• Grid-вычисления
• Резервное копирование
• Иерархическое управление носителями
• Планирование действий на случай непредвиденных ситуаций
• Мейнфреймы

ISSP \ Домен 10. Операционная безопасность. Часть 3

В этой части рассмотрены следующие вопросы:

• Управление конфигурациями
• Процесс управления изменениями
• Документация по управлению изменениями
• Контроль носителей информации
• Утечки данных

Дайджест ИБ за 11-17 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Стандарты, лучшие практики, обзоры
• Новости
• Инциденты за неделю

ISSP \ Домен 10. Операционная безопасность. Часть 2

В этой части рассмотрены следующие вопросы:

• Эксплуатационные обязанности
• Необычные и необъяснимые события
• Отклонения от стандартов
• Внеплановая перезагрузка системы
• Идентификация и управление активами
• Системные защитные меры
• Доверенное восстановление
• Контроль входных и выходных данных
• Укрепление систем
• Безопасность удаленного доступа

Дайджест ИБ за 04-10 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство, судебная практика
• Стандарты, лучшие практики, обзоры
• Новости
• Инциденты за неделю

ISSP \ Домен 10. Операционная безопасность. Часть 1

В этой части рассмотрены следующие вопросы:

• Роль Департамента эксплуатации
• Административное управление
• Администратор безопасности и администратор сети
• Подотчетность
• Уровни отсечения
• Уровень гарантий

Переводы \ Руководство с Марса, Специалисты по ИБ - с Венеры

В последнем номере журнала (IN)SECURE понравилась статья Брайана Хонана (Brian Honan) о взаимодействии специалистов по информационной безопасности с руководством и бизнес-подразделениями компании. Поскольку проблема не теряет своей актуальности, решил перевести статью на русский.

ISSP \ Домен 09. Безопасность приложений. Содержание

Домен 09. Безопасность приложений


1. Важность программного обеспечения

2. Где нужно размещать безопасность?

3. Различные среды имеют различные потребности в обеспечении безопасности

4. Среда и приложения

5. Безопасность и функциональность

6. Типы, форматы и размер данных

7. Проблемы внедрения приложений и использования настроек «по умолчанию»

8. Сбои и ошибки в приложениях

9. Управление базами данных

• 9.1. Программное обеспечение для управления базами данных
• 9.2. Модели баз данных
• 9.3. Интерфейсы программирования баз данных
• 9.4. Компоненты реляционной базы данных
• Словарь данных
• Первичные и внешние ключи
• 9.5. Целостность
• 9.6. Вопросы безопасности баз данных
• Представления базы данных
• Многоэкземплярность
• Обработка транзакций в режиме реального времени
• 9.7. Хранилища и интеллектуальный анализ данных

10. Разработка систем

• 10.1. Управление разработкой
• 10.2. Этапы жизненного цикла
• Инициирование проекта
• Управление рисками
• Анализ рисков
• Функциональное проектирование и планирование
• Техническое задание на разработку системы
• Разработка программного обеспечения
• Установка и внедрение
• Эксплуатация и сопровождение
• Удаление
• Виды тестирования
• Анализ завершенного проекта
• 10.3. Методы разработки программного обеспечения
• 10.4. Средства автоматизированной разработки программного обеспечения (CASE-средства)
• 10.5. Разработка прототипов
• 10.6. Методология безопасного проектирования
• 10.7. Методология безопасной разработки
• 10.8. Проверка на защищенность
• 10.9. Управление изменениями
• 10.10. Модель зрелости процессов разработки программного обеспечения (CMM)
• 10.11. Передача исходного кода программного обеспечения на хранение независимой третьей стороне

11. Методология разработки программного обеспечения

• 11.1. Концепции объектно-ориентированного программирования
• 11.2. Моделирование данных
• 11.3. Архитектура программного обеспечения
• 11.4. Структуры данных
• 11.5. Связность и связанность

12. Распределенные вычисления

• 12.1. CORBA и ORB
• 12.2. COM и DCOM
• 12.3. EJB
• 12.4. OLE
• 12.5. Распределенная вычислительная среда

13. Экспертные системы

14. Искусственные нейронные сети

15. Безопасность веб-приложений

• 15.1. Вандализм
• 15.2. Финансовое мошенничество
• 15.3. Привилегированный доступ
• 15.4. Кража информации о транзакциях
• 15.5. Кража интеллектуальной собственности
• 15.6. Атаки «отказ в обслуживании»
• 15.7. Организация процесса обеспечения качества
• 15.8. Межсетевые экраны для веб-приложений
• 15.9. Системы предотвращения вторжений
• 15.10. Реализация SYN-прокси на межсетевом экране
• 15.11. Специфические угрозы веб-среде
• Сбор информации
• Административные интерфейсы
• Аутентификация и управление доступом
• Управление конфигурациями
• Проверка входных данных
• Провека параметров
• Управление сеансами

16. Мобильный код

• 16.1. Java-апплеты
• 16.2. Элементы управления ActiveX
• 16.3. Вредоносное программное обеспечение
• Вирусы
• Черви
• Троянские программы
• Логические бомбы
• Ботсети
• 16.4. Антивирусное программное обеспечение
• 16.5. Выявление спама
• 16.6. Противодействие вредоносному коду

17. Управление патчами

• 17.1. Методология управления патчами
• 17.2. Проблемы при установке патчей
• 17.3. Лучшие практики
• 17.4. Атаки
• Отказ в обслуживании
• Smurf
• Fraggle
• SYN-флуд
• Teardrop
• Распределенная атака отказ в обслуживании

18. Резюме

19. Тест

ISSP \ Домен 09. Безопасность приложений. Тест

Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.

ISSP \ Домен 09. Безопасность приложений. Часть 10

В этой части рассмотрены следующие вопросы:

• Управление патчами
• Методология управления патчами
• Проблемы при установке патчей
• Лучшие практики
• Атаки
• Отказ в обслуживании
• Smurf
• Fraggle
• SYN-флуд
• Teardrop
• Распределенная атака отказ в обслуживании
• Резюме

ISSP \ Домен 09. Безопасность приложений. Часть 9

В этой части рассмотрены следующие вопросы:

• Мобильный код
• Java-апплеты
• Элементы управления ActiveX
• Вредоносное программное обеспечение
• Вирусы
• Черви
• Троянские программы
• Логические бомбы
• Ботсети
• Антивирусное программное обеспечение
• Выявление спама
• Противодействие вредоносному коду