воскресенье, 18 декабря 2011 г.

Дайджесты отменяются

В работу блога вносятся изменения. Публикация дайджестов ИБ прекращается, т.к. их подготовка требует слишком много времени, которого, увы, у меня сейчас нет и в ближайшей перспективе не предвидится. Однако, есть и хорошая новость. Все ссылки на интересные и полезные материалы я буду публиковать в твиттере (собственно, уже начал) - подключайтесь! Что касается остальных направлений блога (включая начатые переводы книги по внедрению ISO 27001 и методики анализа рисков FAIR) - все будет продолжаться и актуализироваться, будут появляться новые материалы.

В качестве небольшого бонуса, привожу список избранных интернет-ресурсов, которые я постоянно читаю и с которых, в основном, и бралась информация для дайджестов, а также перечень используемых для чтения программ и сервисов.

вторник, 22 ноября 2011 г.

Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с действиями инсайдеров

Перевел еще один документ CERT Societe Generale - Руководство по обработке инцидентов, связанных с действиями внутренних злоумышленников (инсайдеров). Автор документа - David Bizeul. В документе приведены рекомендации по выявлению фактов инсайдерской деятельности и реагированию на эти факты с целью минимизации последствий для компании.

В документе определены 6 этапов обработки инцидентов, связанных с деятельностью инсайдеров:
  • Подготовка: обеспечение готовности к обработке инцидента
  • Выявление: выявление инцидента
  • Снижение воздействия: минимизация воздействия инцидента
  • Исправление: устранение угрозы
  • Восстановление: восстановление нормальной работы
  • Заключительный этап: составление отчета и совершенствование процесса
Далее приведены краткие инструкции для каждого из этапов.

воскресенье, 20 ноября 2011 г.

Дайджест ИБ за 14 - 20 ноября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

воскресенье, 13 ноября 2011 г.

Дайджест ИБ за 07 - 13 ноября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

среда, 9 ноября 2011 г.

Практика ИБ \ FAIR - методология анализа рисков (Часть 4)

В этой части рассмотрены следующие вопросы:
  • Разложение риска на составляющие элементы
  • Декомпозиция риска
    • Частота событий, приводящих к потерям
    • Частота событий реализации угрозы
    • Контакт
    • Воздействие
    • Уязвимость
    • Возможности угрозы
    • Сила защитных мер

вторник, 8 ноября 2011 г.

Дайджест ИБ за 31 октября - 06 ноября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

среда, 2 ноября 2011 г.

Практика ИБ \ FAIR - методология анализа рисков (Часть 3)

В этой части рассмотрены следующие вопросы:
  • Компоненты ландшафта рисков
  • Угрозы
    • Источники угроз
    • Сообщества угроз
    • Характеристики угрозы
  • Активы
  • Компания
  • Внешняя среда

понедельник, 31 октября 2011 г.

Дайджест ИБ за 24 - 30 октября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

четверг, 27 октября 2011 г.

Практика ИБ \ FAIR - методология анализа рисков (Часть 2)


В этой части рассмотрены следующие вопросы:
  • Риск и анализ рисков
  • Определение риска
  • Цель моделирования риска
    • Ограничения анализа рисков
    • Оценка методов анализа рисков
  • Вероятности и возможности
  • Ошибки
    • Решения ведут к неопределенности
    • Толерантность к риску
  • Резюме

вторник, 25 октября 2011 г.

Практика ИБ \ FAIR - методология анализа рисков (Часть 1)

Начинаю новую серию постов, посвященную переводу введения в методологию анализа информационных рисков FAIR (Factor Analysis of Information Risk - Факторный анализ информационных рисков). Автор методологии FAIR - Jack Jones (основатель Risk Management Insight).

FAIR не является самостоятельной методологией по управлению рисками, зато служит отличным дополнением к почти любой из имеющихся. Дело в том, в большинстве из имеющихся методологий и стандартов основное внимание уделяется построению комплексного процесса управления рисками, а вопросы непосредственной оценки рисков рассматриваются весьма поверхностно. Методология FAIR разработана как раз для устранения этого недостатка. Она  содержит детальную классификацию факторов, обуславливающих возникновение риска, определяет их влияние друг на друга и взаимосвязи между ними. Это позволяет адекватно оценивать частоту реализации рисков и масштабы потерь - именно то, что чаще всего вызывает трудности.

В этой части рассмотрены следующие вопросы:
  • Введение
  • Сценарий "Лысая шина"
  • Анализ сценария
    • Угроза
    • Уязвимость
    • Актив
    • Риск
    • Другие факторы
  • Наука и Искусство

воскресенье, 23 октября 2011 г.

Дайджест ИБ за 17 - 23 октября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

понедельник, 17 октября 2011 г.

Дайджест ИБ за 10 - 16 октября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

суббота, 15 октября 2011 г.

Сертификация по ISO 27001 \ Глава 3. Основные концепции и инструменты для СМИБ (часть 3)

В этой Главе рассмотрены следующие вопросы:
  • Анализ полученных результатов
  • Шаблоны отчетов
  • Первоначальный взгляд на разработку СМИБ
  • Организация стратегического управления
  • Планирование на уровне менеджмента
  • Структура эксплуатации
  • Определение методологии постоянного анализа и улучшения
  • Базовая СМБ – основа ISO 27002
  • СМИБ – политика, стандарт и процедура разработки и контроля функционирования

понедельник, 10 октября 2011 г.

Дайджест ИБ за 3 - 9 октября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

воскресенье, 2 октября 2011 г.

Дайджест ИБ за 26 сентября - 2 октября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

суббота, 1 октября 2011 г.

Сертификация по ISO 27001 \ Глава 3. Основные концепции и инструменты для СМИБ (часть 2)

В этой Главе рассмотрены следующие вопросы:
  • Начальное планирование и внедрение СМИБ
  • Определение текущего состояния управления безопасностью в компании (Процесс оценки)
  • Сбор информации
  • Определение уровня соответствия

четверг, 29 сентября 2011 г.

Практика ИБ \ Бюджет ИБ и Эффект Якоря

Осень. Пора формирования бюджета на следующий год, в том числе бюджета на информационную безопасность. Большинство руководителей Служб ИБ, уже не один раз прошедших через этот малоприятный процесс, хорошо знают, что у руководства всегда нужно просить больше, чем нужно реально, тогда есть шансы получить бюджет, достаточный для реализации основных намеченных задач. Если просить ровно столько, сколько нужно, бюджет на различных этапах согласования будут понемногу сокращать и остатка может не хватить даже на соблюдение обязательств по уже заключенным договорам... Все это приведет к необходимости дополнительных согласований, обоснований, отстаивания каждой копейки... И даже если удастся, то бюджет ИБ в течение года еще "подкорректируют", если дела компании пойдут не так оптимистично, как планировалось.

Именно по этой причине, для получения нужного бюджета и экономии нервов, в первоначальном проекте бюджета имеет смысл предусмотреть дополнительные статьи расходов, от которых можно отказаться, пессимистично учитывать темпы роста цен, курс доллара и т.п., чтобы итоговый бюджет оказался на 30% - 100% выше оптимального (в зависимости от количества этапов согласования и "экономичности" согласующих).

Уверен, что большинство это и так прекрасно знает! Но все ли знают, почему это так? ;-)

вторник, 27 сентября 2011 г.

Дайджест ИБ за 19 - 25 сентября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

вторник, 20 сентября 2011 г.

Дайджест ИБ за 12 - 18 сентября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

воскресенье, 11 сентября 2011 г.

Дайджест ИБ за 5 - 11 сентября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

среда, 7 сентября 2011 г.

Дайджест ИБ за 29 августа - 4 сентября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

понедельник, 29 августа 2011 г.

Дайджест ИБ за 22 - 28 августа 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

четверг, 25 августа 2011 г.

Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с утечкой внутренней информации

Переведен еще один документ CERT Societe Generale - Руководство по обработке инцидентов, связанных с утечкой внутренней информации. Авторы документа - Cédric Pernet и David Bizeul. В документе приведены рекомендации по выявлению фактов утечек информации, проведению расследования, а также по действиям, которые нужно предпринять для минимизации воздействия произошедшей утечки информации на компанию.

В документе определены 6 этапов обработки инцидентов, связанных с утечками информации:
  • Подготовка: обеспечение готовности к обработке инцидента
  • Выявление утечки: выявление инцидента
  • Снижение воздействия: минимизация воздействия инцидента
  • Исправление: удаление утекшей информации
  • Восстановление: восстановление скомпрометированных систем, повышение осведомленности
  • Заключительный этап: составление отчета и совершенствование процесса
Далее приведены краткие инструкции для каждого из этапов.


понедельник, 22 августа 2011 г.

Сертификация по ISO 27001 \ Глава 3. Основные концепции и инструменты для СМИБ

В Главе 1 мы познакомились со стандартами безопасности ISO, отметив различия и взаимосвязи стандартов ISO 27001 и ISO 27002. В Главе 2 мы познакомились с Системой менеджмента информационной безопасности (СМИБ), структурой менеджмента безопасности (СМБ) и рядом других понятий, которые устанавливают взаимосвязи между созданием и поддержанием СМИБ для управления соответствием в целом. Эта глава описывает СМБ, а также подходы и инструменты, применяемые при создании, внедрении, функционировании, мониторинге, пересмотре, поддержке и улучшении информационной безопасности и СМИБ.

В этой Главе рассмотрены следующие вопросы:
  • Применение СМБ
  • Руководство по интерпретации

воскресенье, 21 августа 2011 г.

Дайджест ИБ за 15 - 21 августа 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

пятница, 19 августа 2011 г.

Практика ИБ \ Систематизация операционных рисков, связанных с ИБ

Частично перевел документ Software Engineering Institute "Систематизация операционных рисков, связанных с ИБ". Авторы документа - James J. Cebula и Lisa R. Young (Университет Карнеги-Меллон). В документе систематизированы источники операционных рисков, которым подвержены информационные и технологические активы, реализация которых может оказать влияние на конфиденциальность, доступность и целостность этих активов. Все источники рисков разделены на 4 основных класса: 1) действия людей; 2) сбои ПО и оборудования; 3) недостатки внутренних процессов; 4) внешние события. Каждый класс делится на подклассы и отдельные элементы.

Документ может быть полезен при выявлении применимых к компании рисков ИБ. В конце документа приведены таблицы его взаимосвязи с FISMA, NIST SP800-53 Rev.3 и OCTAVE (эти таблицы не переводил, их можно посмотреть в оригинальном документе).

воскресенье, 14 августа 2011 г.

Дайджест ИБ за 8 - 14 августа 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

вторник, 9 августа 2011 г.

Дайджест ИБ за 1 - 7 августа 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

пятница, 5 августа 2011 г.

Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с заражением вредоносной программой Windows-компьютера

Перевел еще один документ CERT Societe Generale - Руководство по обработке инцидентов, связанных с заражением вредоносной программой Windows-компьютера. Автор документа - Cédric Pernet. В документе кратко приведены основные моменты, которыми следует руководствоваться при поиске и удалении вредоносных программ на компьютерах с операционной системой MS Windows.

В документе определены 6 этапов обработки инцидентов, связанных с заражением вредоносной программой Windows-компьютера:
  • Подготовка: обеспечение готовности к обработке инцидента
  • Обнаружение вредоносного ПО: выявление инцидента
  • Локализация и снижение воздействия: минимизация воздействия инцидента
  • Исправление: очистка компьютера от вредоносной программы
  • Восстановление: восстановление нормального состояния
  • Заключительный этап: составление отчета и совершенствование процесса
Далее приведены краткие инструкции для каждого из этапов.

четверг, 4 августа 2011 г.

Влияние закона "О национальной платежной системе" на системы "Банк-Клиент"

Еще пару месяцев назад я представлял себе Национальную платежную систему в образе некоего супернанотехнологического российского аналога системы Visa, который будет построен где-нибудь в Сколково к 2020 году на несколько триллионов долларов из народных денег. И любой банк сможет присоединиться к этой системе, чтобы выдавать своим клиентам удобные и технологичные пластиковые карты со встроенным сертифицированным ФСБ квантовым микрокомпьютером, выполняющим криптографические функции по суперзащищенным алгоритмам ГОСТ Р 34.20-2019, которые уже наверняка разрабатывают в российских НИИ. В результате ни один потенциальный враг не узнает о доходах и платежах наших граждан и все страны, пользующиеся Visa, будут нам завидовать черной завистью... Уж не знаю, почему у меня сложилось такое представление, но, судя по поиску в Интернете, аналогичным образом заблуждались многие, даже Википедия :-)

Но меня ждало глубокое разочарование - реальность оказалась куда прозаичнее... Оказывается, что Национальная платежная система у нас уже есть! И является ей (по определению) просто совокупность банков, платежных агентов и операторов платежных систем уже давно работающих в России и осуществляющих банальное расчетное обслуживание и денежные переводы.
1) национальная платежная система - совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры (субъекты национальной платежной системы);
В силу своего заблуждения, не сильно вникал в закон на этапе его прохождения через Думу, да и после принятия пробежался "по диагонали", ничего не понял и отложил "на потом". Но вот выбрал немного времени и приступил к внимательному изучению Федерального закона "О национальной платежной системе" №161-ФЗ от 27.06.2011 и... охренел...

Очень надеюсь, что все приведенное ниже не имеет ничего общего с действительностью и является плодом больного воображения. Буду безмерно благодарен, если уважаемые читатели укажут, где я ошибаюсь или что неправильно трактую.

Ведь если я не ошибаюсь, то банки, похоже, ждет существенный пересмотр подхода к организации дистанционного банковского обслуживания физических и, в особенности, юридических лиц. И к 01.01.2013 (именно с этой даты закон полностью вступает в силу) эта услуга будет выглядеть совсем иначе. Все дело здесь в статье 9, точнее даже в п.12 этой статьи, который в самом жестком виде устанавливает презумпцию виновности банка в любых спорных ситуациях с клиентами - физическими лицами, использующими ДБО и банковские карты, и требует безоговорочного и (почти) безусловного возмещения всех денежных средств, переведенных со счета клиента "без его согласия". Возможно для банковских карт или интернет-банкинга для физ.лиц с этим можно будет как-то жить - обычно в таких системах устанавливаются лимиты, да и остатки на счетах физ.лиц в среднем не очень высоки. Но как быть с юр.лицами, на счетах которых денег гораздо больше, а реальный лимит для них только один - остаток на счете?! Нужна ли будет банку такая рискованная услуга? Ведь риски только возрастут, т.к. у клиентов вообще не будет ни малейшей мотивации, чтобы обеспечивать безопасность (хотя бы осторожность!) на своей стороне. Какие тарифы на ДБО смогут компенсировать такие риски?.. Или возвращаемся к бумажным платежкам?

Теперь давайте взглянем внимательнее на закон и попробуем проверить "на прочность" мои выводы:

UPD. Без паники! :-))) Оказалось, что я действительно неправильно прочитал п.12 ст.9. К ДБО юридических лиц это не относится! Для них банк обязан возмещать только операции, которые были совершены уже после получение банком уведомления клиента. Сергей, большое спасибо за комментарий! Однако для ДБО физ.лиц и банковских карт вопрос остается актуален, т.к. в п.15 ст.9 указано, что банк возмещает и суммы операций, совершенных ДО получения уведомления клиента - физического лица, если не докажет вину клиента.

вторник, 2 августа 2011 г.

Дайджест ИБ за 25 - 31 июля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

среда, 27 июля 2011 г.

Изменения в законе о персональных данных

Несмотря ни на что, поправки в закон "О персональных данных" были сегодня подписаны Президентом. Хорошие они, или плохие - теперь уже не так важно. Пора приступать к их анализу и выполнению. Интересные и полезные обсуждения начались (продолжились) в блогах коллег (Алексей Волков, Алексей Лукацкий, Евгений Царев) и на форуме Bankir.Ru.

Для удобства анализа изменений, я сделал сравнительную таблицу.
https://www.sugarsync.com/pf/D6870693_7400982_76562 (в PDF).

Краткая инструкция по использованию таблицы:
- В левой части старая редакция закона, в правой - новая. Пункты, которые не изменились, в таблице не разделены.
- Существенные изменения выделены курсивом и жирным шрифтом, несущественные - просто курсивом. Самые важные, на мой взгляд, выделены красным цветом.
- Несущественные для банков пункты - серые.

UPD. Текст Федерального закона от 25 июля 2011 г. №261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных"" опубликован в Российской газете. Опубликованный текст полностью соответствует тексту третьего чтения, на основе которого сделана приведенная выше таблица. Добавилось только 2 незначительных ошибки (!):
9) в статье 10:
а) в части 2:
пункт 2 изложить в следующей редакции:
"2) персональные данные сделаны общедоступными субъектом персональных;";



16) статью 19 изложить в следующей редакции:
...
7. ... Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласования проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

вторник, 26 июля 2011 г.

Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с DDoS-атаками

Перевел еще один весьма полезный и актуальный документ - Руководство по обработке инцидентов, связанных с DDoS-атаками. Автор документа Vincent Ferran-Lacome (CERT Societe Generale). В документе кратко приведены основные моменты, которые нужно учесть при обеспечении защиты от DDoS-атак, а также при реагировании на соответствующие инциденты.

В документе определены 6 этапов обработки инцидентов, связанных с DDoS-атаками:
  • Подготовка: обеспечение готовности к обработке инцидента
  • Идентификация: выявление инцидента
  • Локализация и снижение воздействия: минимизация воздействия инцидента
  • Исправление: возобновление работы
  • Восстановление: восстановление нормального состояния
  • Заключительный этап: анализ и совершенствование процесса
Далее приведены краткие инструкции для каждого из этапов.

понедельник, 25 июля 2011 г.

Дайджест ИБ за 11 - 24 июля 2011 года

На прошлой неделе устроил себе небольшой отпуск, поэтому не успел подготовить дайджест, извиняюсь ;-). В качестве компенсации, на этой неделе получился просто мегадайджест - за 2 недели появилось много интересных постов, документов, новостей!

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

понедельник, 11 июля 2011 г.

Дайджест ИБ за 04 - 10 июля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

Дайджест ИБ. Итоги 2 квартала 2011 года

Как быстро летит время - вроде бы совсем недавно пришла идея делать обзоры лучшего и наиболее полезного из того, что каждый день появляется в Интернете, а уже прошло 3 месяца. Чтобы информация не потерялась и была под рукой, в этом итоговом выпуске постараюсь выделить и суммировать все самое важное и интересное за 2 квартал.

К сожалению, подготовка дайджестов занимает значительно больше времени, чем я планировал, поэтому обдумываю способы оптимизации. Вы можете помочь мне в этом, если сообщите в комментариях: Полезны ли для Вас дайджесты? Чего не хватает, а что кажется излишним? Периодичность? Имеет ли смысл приводить подробности постов и документов, на которые я ссылаюсь (особенно англоязычных), или достаточно ссылки? Заранее благодарен за обратную связь ;-) 

среда, 6 июля 2011 г.

Открытое письмо Президенту по поводу внесения изменений в ФЗ-152

Вчера Гос.Дума приняла в третьем чтении поправки в закон о персональных данных. Принятая редакция поправок ни в коей мере не приближает закон к соответствию требованиям Конвенции Совета Европы, и не устраняет необоснованные обременения для операторов персональных данных, а только добавляет новые.

Поскольку теперь вся надежда остается только на то, что введение этих поправок не согласует Президент, коллеги Александр Бондаренко, Алексей Волков, Алексей Лукацкий, Александр Токаренко и Евгений Царев написали открытое письмо Президенту и организовали в своих блогах сбор подписей в его поддержку.

Коллеги, если Вас касается тема защиты персональных данных, предлагаю ознакомиться с письмом в любом из указанных блогов. Если Вы согласны с тем, что написано в письме, оставьте в комментариях любого из указанных блогов свое ФИО.

понедельник, 4 июля 2011 г.

Решение проблемы мошенничества в системах интернет-банкинга?

Компания Cronto несколько месяцев назад выпустила очень интересное и, что самое главное, очень практичное решение, которое может решить все проблемы с мошенничеством в системах интернет-банкинга (или ДБО - дистанционного банковского обслуживания). Ну, возможно, не совсем все и не навсегда, но на ближайшие 2-3 года - вполне реально. Останется, разве что, вариант типа APT-атаки :-) Дело в том, что при использовании этого решения, проблема обеспечения доверенной среды на рабочем месте клиента отходит на второй план - даже если компьютер клиента полностью контролируется злоумышленником, он не сможет провести несанкционированный платеж.

Дайджест ИБ за 27 июня - 03 июля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

вторник, 28 июня 2011 г.

Сертификация по ISO 27001 \ Глава 2. Система менеджмента информационной безопасности

В предыдущей главе было рассказано о стандартах безопасности ISO их взаимосвязях друг с другом. ISO 27001 служит руководством по созданию системы менеджмента информационной безопасности (СМИБ) и ссылается на средства управления, описанные в ISO 27002, что позволяет создать и поддерживать СМИБ. Эта глава определяет СМИБ и знакомит с ней читателя. Это необходимо для дальнейшего обсуждения основных концепций и инструментов, необходимых для эффективного построения СМИБ.

В этой Главе рассмотрены следующие вопросы:
  • Введение в СМИБ
  • Введение в структуру менеджмента безопасности
  • Процесс создания СМИБ: «Как должно быть» (To-Be) или PDCA
  • «Как должно быть» (To-Be)
  • «Как есть» (As-Is)
  • План перехода
  • Эксплуатация и сопровождение

Сертификация по ISO 27001 \ Глоссарий

Информационная безопасность требует использования правильной терминологии, чтобы передать все сложности и нюансы этой дисциплины. Использование некорректных терминов ведет к непониманию, применению неверного контекста. Термины и понятия, используемые в этой книге определены ниже.

понедельник, 27 июня 2011 г.

Дайджест ИБ за 20 - 26 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

четверг, 23 июня 2011 г.

Сертификация по ISO 27001 \ Глава 1. Введение в стандарты безопасности ISO

Эта глава предполагает, что читатель хотя бы в общих чертах знаком с предметом информационной безопасности, знает, что это такое и как применяется в компаниях. Предполагается, что читателем движет желание упорядочить свои подходы к обеспечению информационной безопасности, чтобы улучшить процессы планирования, реализации и поддержания информационной безопасности, создать высокоэффективную программу информационной безопасности, которая могла бы быть сертифицирована по стандарту ISO 27001. В начале этой главы приведен обзор стандартов безопасности, она уделяет особое внимание существующим и разрабатываемым стандартам Международной Организации по Стандартизации (ISO – International Standards Organization).

Материал этой главы дает основы для понимания систем менеджмента информационной безопасности (СМИБ), без которых невозможно пройти сертификацию по ISO 27001.

В этой Главе рассмотрены следующие вопросы:
  • Краеугольные камни информационной безопасности
  • История стандартов ISO по информационной безопасности
  • Формирование и нумерация стандартов информационной безопасности
  • Международные стандарты управления безопасностью
  • Другие предложенные стандарты информационной безопасности
  • Введение в стандарт ISO 27001
  • Введение в стандарт ISO 27002
  • Взаимосвязь между ISO 27001 и 27002
  • Взаимосвязь с другими стандартами
  • Перекрестные ссылки между PDCA и стандартами безопасности
  • Стандарты, которые помогут на этапе планирования (PLAN)
  • Стандарты, которые помогут на этапе выполнения (DO)
  • Стандарты, которые помогут на этапе проверки (CHECK)
  • Стандарты, которые помогут на этапе улучшения (ACT)

воскресенье, 19 июня 2011 г.

Дайджест ИБ за 13 - 19 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Законодательство
  • Новости
  • Инциденты за неделю

среда, 15 июня 2011 г.

Практика ИБ \ SANS - Топ 20 наиболее критичных защитных мер и средств

Перевел еще один весьма полезный документ: SANS - Топ 20 наиболее критичных защитных мер и средств. В документе приведены самые важные процессы ИБ, которые следует использовать любой компании для предотвращения несанкционированного доступа злоумышленников к ее системам и сетям, либо минимизации ущерба, который они могут нанести.

Также в документе приведена карта киберугроз, содержащая ключевые элементы, которые присутствуют почти в каждой атаке. Любая атака может быть представлена в виде определенного пути по этой карте. Карта позволяет выбрать наилучшие подходы для защиты от различных атак. В качестве иллюстрации возможного применения карты, на ней показаны три варианта атак: хищение данных банковских карт и финансовой информации, APT-атаки, поисковая оптимизация (SEO).

вторник, 14 июня 2011 г.

Дайджест ИБ за 6 - 12 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

понедельник, 13 июня 2011 г.

Сертификация по ISO 27001 \ Введение

Решил перевести еще одну полезную книгу по ИБ. Это книга Sigurjon Thor Arnason и Keith D. Willett "How to Achieve 27001 Certification" - "Как подготовиться к сертификации по стандарту ISO 27001". Хотя этой книге уже около 3 лет, она остается одной из лучших по теме внедрения стандартов ISO 27002 и 27001, практического подхода к реализации системы менеджмента информационной безопасности (так что будет весьма полезной и при внедрении Стандарта Банка России СТО БР ИББС-1.0), управления соответствием внешним требованиям.

Коллеги Tiger-66 и А.В. Горбунов любезно поделились переводом почти четверти книги, чем существенно облегчили задачу. За это им большое спасибо! :-)

В этой главе рассмотрены следующие вопросы:
  • Введение
  • Стандарты безопасности ISO
  • Сертификация по стандарту ISO
  • Зачем сертифицироваться по ISO 27001?
  • Цели
  • Структура и последовательность
  • Комментарии

понедельник, 6 июня 2011 г.

Дайджест ИБ за 30 мая - 5 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

воскресенье, 29 мая 2011 г.

Дайджест ИБ за 23-29 мая 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

понедельник, 23 мая 2011 г.

Дайджест ИБ за 16-22 мая 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

воскресенье, 15 мая 2011 г.

Дайджест ИБ за 9-15 мая 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

суббота, 14 мая 2011 г.

ISSP \ Полное содержание перевода книги Шон Харрис "CISSP All-In-One Exam Guide"

Сегодня моему блогу исполняется два года :) И как раз сегодня закончена (точнее, почти закончена, но об этом чуть позже) работа по переводу книги Шон Харрис "CISSP All-In-One Exam Guide", онлайн-версию которой я рад представить вам, читателям этого блога :)

Надеюсь, что русский вариант книги поможет лучше понять предмет ИБ начинающим специалистам, которые еще не успели хорошо изучить английский. Для уже состоявшихся специалистов по ИБ книга может послужить хорошим справочником и набором лучших практик при разработке нормативных документов и организации различных процессов ИБ.

Это мой первый серьезный опыт перевода, поэтому прошу сильно не ругать ;) Если при чтении вы найдете ошибки или неточности - буду очень благодарен, если вы сообщите мне о них.

Книга переведена практически полностью, сокращения минимальны. Я не стал переводить только первые две главы, которые, по сути, являются кратким введением. Остальное переведено на 99%. Перевод соответствует самому последнему пятому изданию книги (2010 год).

Сейчас я заканчиваю оформление оффлайн-версии книги и скоро выложу ее в формате PDF. Там даже будет дополнительный материал - ответы на вопросы тестов к каждому Домену.

Ниже представлено полное оглавление онлайн-версии книги.

ISSP \ Домен 10. Операционная безопасность. Содержание

Домен 10. Операционная безопасность


1. Роль Департамента эксплуатации

2. Административное управление
6. Контроль носителей информации

7. Утечки данных

8. Доступность сети и ресурсов
9. Мейнфреймы

10. Безопасность электронной почты
12. Резюме

среда, 11 мая 2011 г.

ISSP \ Домен 10. Операционная безопасность. Тест


Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.

понедельник, 9 мая 2011 г.

Дайджест ИБ за 2-8 мая 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

суббота, 7 мая 2011 г.

ISSP \ Домен 10. Операционная безопасность. Часть 6

В этой части рассмотрены следующие вопросы:
  • Тестирование уязвимостей
  • Тестирование на проникновение
  • Сканирование телефонных номеров
  • Другие виды уязвимостей
  • Что дальше?
  • Резюме

среда, 4 мая 2011 г.

ISSP \ Домен 10. Операционная безопасность. Часть 5

В этой части рассмотрены следующие вопросы:
  • Безопасность электронной почты
  • Как работает электронная почта
  • POP
  • IMAP
  • Ретрансляция сообщений электронной почты
  • Безопасность факсов
  • Методы взлома и атак
  • Браузинг
  • Снифферы
  • Перехват коммуникационного сеанса
  • Loki
  • Взлом паролей
  • Бэкдоры

понедельник, 2 мая 2011 г.

Дайджест ИБ за 25 апреля - 1 мая 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

пятница, 29 апреля 2011 г.

Практика ИБ \ Пишите документы по безопасности, которые люди смогут читать!

Недавно увидел очень интересную презентацию Брэда Бимиса (Brad Bemis) "Пишите политики безопасности, которые люди смогут читать!". Брэд в одной презентации объединил лучшие рекомендации, которые позволят сделать нормативные документы по информационной безопасности гораздо более эффективными. Я решил не просто перевести презентацию, а сделать из нее небольшую статью.


Все мы знакомы со стандартным набором требований, предъявляемых к разработке нормативных документов по ИБ, которые (теоретически) должны обеспечить успешность и эффективность этих документов: получение поддержки руководства, распределение ролей и назначение ответственных, учет специфики компании, ее потребностей в обеспечении безопасности, учет результатов оценки рисков, указание четких требований и обеспечение возможностей для их выполнения. И т.д. Безусловно, все это правильно, но...

Сколько в вашей компании сотрудников, которые знают где найти действующие нормативные документы по ИБ? А сколько из них потратили время на ознакомление с этими документами и поняли, что в них написано? Сколько из них помнят указанные в документах требования через месяц после прочтения? Сколько сотрудников стараются соблюдать эти требования и следят за тем, чтобы их коллеги также следовали им? К сожалению, часто в ответе уже на первый вопрос количество сотрудников весьма небольшое, и оно продолжает снижаться при ответе на каждый следующий вопрос...

вторник, 26 апреля 2011 г.

Практика ИБ \ Классификация данных и выбор стратегии защиты их доступности

Перевел еще один полезный документ. Это руководство компании BakBone по оценке требований бизнеса и классификации данных для организации их защиты (в документе рассматриваются вопросы обеспечения доступности).

Бизнес компании сосредоточен именно на бизнесе, на получении прибыли, а не на ИТ или ИБ. Используемые в компании меры и средства по защите данных должны быть направлены на управление информационными бизнес-активами. Проведение простого анализа данных, в отрыве от их ценности для бизнеса, может дать неадекватные результаты. В настоящем документе рассматривается подход к оценке данных с точки зрения их критичности для бизнеса, а также к выбору эффективной стратегии защиты данных компании.

воскресенье, 24 апреля 2011 г.

Дайджест ИБ за 18-24 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

ISSP \ Домен 10. Операционная безопасность. Часть 4

В этой части рассмотрены следующие вопросы:
  • Доступность сети и ресурсов
  • Среднее время безотказной работы (MTBF)
  • Среднее время восстановления (MTTR)
  • Единая точка отказа
  • Устройства хранения с прямым доступом (DASD)
  • RAID-массивы
  • Массив с неактивными дисками (MAID)
  • Избыточный массив независимых лент (RAIT)
  • Сети хранения данных (SAN)
  • Кластеризация
  • Grid-вычисления
  • Резервное копирование
  • Иерархическое управление носителями
  • Планирование действий на случай непредвиденных ситуаций
  • Мейнфреймы

четверг, 21 апреля 2011 г.

ISSP \ Домен 10. Операционная безопасность. Часть 3

В этой части рассмотрены следующие вопросы:
  • Управление конфигурациями
  • Процесс управления изменениями
  • Документация по управлению изменениями
  • Контроль носителей информации
  • Утечки данных

воскресенье, 17 апреля 2011 г.

Дайджест ИБ за 11-17 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, лучшие практики, обзоры
  • Новости
  • Инциденты за неделю