пятница, 29 апреля 2011 г.

Практика ИБ \ Пишите документы по безопасности, которые люди смогут читать!

Недавно увидел очень интересную презентацию Брэда Бимиса (Brad Bemis) "Пишите политики безопасности, которые люди смогут читать!". Брэд в одной презентации объединил лучшие рекомендации, которые позволят сделать нормативные документы по информационной безопасности гораздо более эффективными. Я решил не просто перевести презентацию, а сделать из нее небольшую статью.


Все мы знакомы со стандартным набором требований, предъявляемых к разработке нормативных документов по ИБ, которые (теоретически) должны обеспечить успешность и эффективность этих документов: получение поддержки руководства, распределение ролей и назначение ответственных, учет специфики компании, ее потребностей в обеспечении безопасности, учет результатов оценки рисков, указание четких требований и обеспечение возможностей для их выполнения. И т.д. Безусловно, все это правильно, но...

Сколько в вашей компании сотрудников, которые знают где найти действующие нормативные документы по ИБ? А сколько из них потратили время на ознакомление с этими документами и поняли, что в них написано? Сколько из них помнят указанные в документах требования через месяц после прочтения? Сколько сотрудников стараются соблюдать эти требования и следят за тем, чтобы их коллеги также следовали им? К сожалению, часто в ответе уже на первый вопрос количество сотрудников весьма небольшое, и оно продолжает снижаться при ответе на каждый следующий вопрос...

вторник, 26 апреля 2011 г.

Практика ИБ \ Классификация данных и выбор стратегии защиты их доступности

Перевел еще один полезный документ. Это руководство компании BakBone по оценке требований бизнеса и классификации данных для организации их защиты (в документе рассматриваются вопросы обеспечения доступности).

Бизнес компании сосредоточен именно на бизнесе, на получении прибыли, а не на ИТ или ИБ. Используемые в компании меры и средства по защите данных должны быть направлены на управление информационными бизнес-активами. Проведение простого анализа данных, в отрыве от их ценности для бизнеса, может дать неадекватные результаты. В настоящем документе рассматривается подход к оценке данных с точки зрения их критичности для бизнеса, а также к выбору эффективной стратегии защиты данных компании.

воскресенье, 24 апреля 2011 г.

Дайджест ИБ за 18-24 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

ISSP \ Домен 10. Операционная безопасность. Часть 4

В этой части рассмотрены следующие вопросы:
  • Доступность сети и ресурсов
  • Среднее время безотказной работы (MTBF)
  • Среднее время восстановления (MTTR)
  • Единая точка отказа
  • Устройства хранения с прямым доступом (DASD)
  • RAID-массивы
  • Массив с неактивными дисками (MAID)
  • Избыточный массив независимых лент (RAIT)
  • Сети хранения данных (SAN)
  • Кластеризация
  • Grid-вычисления
  • Резервное копирование
  • Иерархическое управление носителями
  • Планирование действий на случай непредвиденных ситуаций
  • Мейнфреймы

четверг, 21 апреля 2011 г.

ISSP \ Домен 10. Операционная безопасность. Часть 3

В этой части рассмотрены следующие вопросы:
  • Управление конфигурациями
  • Процесс управления изменениями
  • Документация по управлению изменениями
  • Контроль носителей информации
  • Утечки данных

воскресенье, 17 апреля 2011 г.

Дайджест ИБ за 11-17 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, лучшие практики, обзоры
  • Новости
  • Инциденты за неделю

среда, 13 апреля 2011 г.

ISSP \ Домен 10. Операционная безопасность. Часть 2

В этой части рассмотрены следующие вопросы:
  • Эксплуатационные обязанности
  • Необычные и необъяснимые события
  • Отклонения от стандартов
  • Внеплановая перезагрузка системы
  • Идентификация и управление активами
  • Системные защитные меры
  • Доверенное восстановление
  • Контроль входных и выходных данных
  • Укрепление систем
  • Безопасность удаленного доступа

воскресенье, 10 апреля 2011 г.

Дайджест ИБ за 04-10 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство, судебная практика
  • Стандарты, лучшие практики, обзоры
  • Новости
  • Инциденты за неделю

ISSP \ Домен 10. Операционная безопасность. Часть 1

В этой части рассмотрены следующие вопросы:
  • Роль Департамента эксплуатации
  • Административное управление
  • Администратор безопасности и администратор сети
  • Подотчетность
  • Уровни отсечения
  • Уровень гарантий

четверг, 7 апреля 2011 г.

Переводы \ Руководство с Марса, Специалисты по ИБ - с Венеры

В последнем номере журнала (IN)SECURE понравилась статья Брайана Хонана (Brian Honan) о взаимодействии специалистов по информационной безопасности с руководством и бизнес-подразделениями компании. Поскольку проблема не теряет своей актуальности, решил перевести статью на русский.


среда, 6 апреля 2011 г.

ISSP \ Домен 09. Безопасность приложений. Содержание

Домен 09. Безопасность приложений


1. Важность программного обеспечения








10. Разработка систем
11. Методология разработки программного обеспечения
12. Распределенные вычисления
13. Экспертные системы

14. Искусственные нейронные сети

15. Безопасность веб-приложений
16. Мобильный код
17. Управление патчами
18. Резюме

вторник, 5 апреля 2011 г.

ISSP \ Домен 09. Безопасность приложений. Тест


Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.

воскресенье, 3 апреля 2011 г.

ISSP \ Домен 09. Безопасность приложений. Часть 10

В этой части рассмотрены следующие вопросы:
  • Управление патчами
  • Методология управления патчами
  • Проблемы при установке патчей
  • Лучшие практики
  • Атаки
  • Отказ в обслуживании
  • Smurf
  • Fraggle
  • SYN-флуд
  • Teardrop
  • Распределенная атака отказ в обслуживании
  • Резюме

пятница, 1 апреля 2011 г.

ISSP \ Домен 09. Безопасность приложений. Часть 9

В этой части рассмотрены следующие вопросы:
  • Мобильный код
  • Java-апплеты
  • Элементы управления ActiveX
  • Вредоносное программное обеспечение
  • Вирусы
  • Черви
  • Троянские программы
  • Логические бомбы
  • Ботсети
  • Антивирусное программное обеспечение
  • Выявление спама
  • Противодействие вредоносному коду