понедельник, 29 августа 2011 г.

Дайджест ИБ за 22 - 28 августа 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

четверг, 25 августа 2011 г.

Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с утечкой внутренней информации

Переведен еще один документ CERT Societe Generale - Руководство по обработке инцидентов, связанных с утечкой внутренней информации. Авторы документа - Cédric Pernet и David Bizeul. В документе приведены рекомендации по выявлению фактов утечек информации, проведению расследования, а также по действиям, которые нужно предпринять для минимизации воздействия произошедшей утечки информации на компанию.

В документе определены 6 этапов обработки инцидентов, связанных с утечками информации:
  • Подготовка: обеспечение готовности к обработке инцидента
  • Выявление утечки: выявление инцидента
  • Снижение воздействия: минимизация воздействия инцидента
  • Исправление: удаление утекшей информации
  • Восстановление: восстановление скомпрометированных систем, повышение осведомленности
  • Заключительный этап: составление отчета и совершенствование процесса
Далее приведены краткие инструкции для каждого из этапов.


понедельник, 22 августа 2011 г.

Сертификация по ISO 27001 \ Глава 3. Основные концепции и инструменты для СМИБ

В Главе 1 мы познакомились со стандартами безопасности ISO, отметив различия и взаимосвязи стандартов ISO 27001 и ISO 27002. В Главе 2 мы познакомились с Системой менеджмента информационной безопасности (СМИБ), структурой менеджмента безопасности (СМБ) и рядом других понятий, которые устанавливают взаимосвязи между созданием и поддержанием СМИБ для управления соответствием в целом. Эта глава описывает СМБ, а также подходы и инструменты, применяемые при создании, внедрении, функционировании, мониторинге, пересмотре, поддержке и улучшении информационной безопасности и СМИБ.

В этой Главе рассмотрены следующие вопросы:
  • Применение СМБ
  • Руководство по интерпретации

воскресенье, 21 августа 2011 г.

Дайджест ИБ за 15 - 21 августа 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

пятница, 19 августа 2011 г.

Практика ИБ \ Систематизация операционных рисков, связанных с ИБ

Частично перевел документ Software Engineering Institute "Систематизация операционных рисков, связанных с ИБ". Авторы документа - James J. Cebula и Lisa R. Young (Университет Карнеги-Меллон). В документе систематизированы источники операционных рисков, которым подвержены информационные и технологические активы, реализация которых может оказать влияние на конфиденциальность, доступность и целостность этих активов. Все источники рисков разделены на 4 основных класса: 1) действия людей; 2) сбои ПО и оборудования; 3) недостатки внутренних процессов; 4) внешние события. Каждый класс делится на подклассы и отдельные элементы.

Документ может быть полезен при выявлении применимых к компании рисков ИБ. В конце документа приведены таблицы его взаимосвязи с FISMA, NIST SP800-53 Rev.3 и OCTAVE (эти таблицы не переводил, их можно посмотреть в оригинальном документе).

воскресенье, 14 августа 2011 г.

Дайджест ИБ за 8 - 14 августа 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

вторник, 9 августа 2011 г.

Дайджест ИБ за 1 - 7 августа 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

пятница, 5 августа 2011 г.

Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с заражением вредоносной программой Windows-компьютера

Перевел еще один документ CERT Societe Generale - Руководство по обработке инцидентов, связанных с заражением вредоносной программой Windows-компьютера. Автор документа - Cédric Pernet. В документе кратко приведены основные моменты, которыми следует руководствоваться при поиске и удалении вредоносных программ на компьютерах с операционной системой MS Windows.

В документе определены 6 этапов обработки инцидентов, связанных с заражением вредоносной программой Windows-компьютера:
  • Подготовка: обеспечение готовности к обработке инцидента
  • Обнаружение вредоносного ПО: выявление инцидента
  • Локализация и снижение воздействия: минимизация воздействия инцидента
  • Исправление: очистка компьютера от вредоносной программы
  • Восстановление: восстановление нормального состояния
  • Заключительный этап: составление отчета и совершенствование процесса
Далее приведены краткие инструкции для каждого из этапов.

четверг, 4 августа 2011 г.

Влияние закона "О национальной платежной системе" на системы "Банк-Клиент"

Еще пару месяцев назад я представлял себе Национальную платежную систему в образе некоего супернанотехнологического российского аналога системы Visa, который будет построен где-нибудь в Сколково к 2020 году на несколько триллионов долларов из народных денег. И любой банк сможет присоединиться к этой системе, чтобы выдавать своим клиентам удобные и технологичные пластиковые карты со встроенным сертифицированным ФСБ квантовым микрокомпьютером, выполняющим криптографические функции по суперзащищенным алгоритмам ГОСТ Р 34.20-2019, которые уже наверняка разрабатывают в российских НИИ. В результате ни один потенциальный враг не узнает о доходах и платежах наших граждан и все страны, пользующиеся Visa, будут нам завидовать черной завистью... Уж не знаю, почему у меня сложилось такое представление, но, судя по поиску в Интернете, аналогичным образом заблуждались многие, даже Википедия :-)

Но меня ждало глубокое разочарование - реальность оказалась куда прозаичнее... Оказывается, что Национальная платежная система у нас уже есть! И является ей (по определению) просто совокупность банков, платежных агентов и операторов платежных систем уже давно работающих в России и осуществляющих банальное расчетное обслуживание и денежные переводы.
1) национальная платежная система - совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры (субъекты национальной платежной системы);
В силу своего заблуждения, не сильно вникал в закон на этапе его прохождения через Думу, да и после принятия пробежался "по диагонали", ничего не понял и отложил "на потом". Но вот выбрал немного времени и приступил к внимательному изучению Федерального закона "О национальной платежной системе" №161-ФЗ от 27.06.2011 и... охренел...

Очень надеюсь, что все приведенное ниже не имеет ничего общего с действительностью и является плодом больного воображения. Буду безмерно благодарен, если уважаемые читатели укажут, где я ошибаюсь или что неправильно трактую.

Ведь если я не ошибаюсь, то банки, похоже, ждет существенный пересмотр подхода к организации дистанционного банковского обслуживания физических и, в особенности, юридических лиц. И к 01.01.2013 (именно с этой даты закон полностью вступает в силу) эта услуга будет выглядеть совсем иначе. Все дело здесь в статье 9, точнее даже в п.12 этой статьи, который в самом жестком виде устанавливает презумпцию виновности банка в любых спорных ситуациях с клиентами - физическими лицами, использующими ДБО и банковские карты, и требует безоговорочного и (почти) безусловного возмещения всех денежных средств, переведенных со счета клиента "без его согласия". Возможно для банковских карт или интернет-банкинга для физ.лиц с этим можно будет как-то жить - обычно в таких системах устанавливаются лимиты, да и остатки на счетах физ.лиц в среднем не очень высоки. Но как быть с юр.лицами, на счетах которых денег гораздо больше, а реальный лимит для них только один - остаток на счете?! Нужна ли будет банку такая рискованная услуга? Ведь риски только возрастут, т.к. у клиентов вообще не будет ни малейшей мотивации, чтобы обеспечивать безопасность (хотя бы осторожность!) на своей стороне. Какие тарифы на ДБО смогут компенсировать такие риски?.. Или возвращаемся к бумажным платежкам?

Теперь давайте взглянем внимательнее на закон и попробуем проверить "на прочность" мои выводы:

UPD. Без паники! :-))) Оказалось, что я действительно неправильно прочитал п.12 ст.9. К ДБО юридических лиц это не относится! Для них банк обязан возмещать только операции, которые были совершены уже после получение банком уведомления клиента. Сергей, большое спасибо за комментарий! Однако для ДБО физ.лиц и банковских карт вопрос остается актуален, т.к. в п.15 ст.9 указано, что банк возмещает и суммы операций, совершенных ДО получения уведомления клиента - физического лица, если не докажет вину клиента.

вторник, 2 августа 2011 г.

Дайджест ИБ за 25 - 31 июля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю