понедельник, 31 октября 2011 г.

Дайджест ИБ за 24 - 30 октября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ
Лучшие посты из англоязычных блогов по ИБ
  • Пост Stephen Marchewitz "Шесть видов оценки ИБ, которые вы никогда не выполняли (хотя следовало бы)". Все знакомы с классическими видами оценки ИБ, такими как пентесты, аудиты защищенности, аудиты на соответствие. Но не все знакомы с другими видами оценки, которые могут быть не менее ценны для обеспечения безопасности компании. Стефан выделяет следующие 6 видов таких оценок: 1) Анализ социальных сетей (что пишут о компании, нет ли в свободном доступе критичной информации компании); 2) Комплексный анализ защиты хостов (host interrogation) в DMZ (выявление неправильных настроек, уязвимостей, отсутствия или некорректной работы защитных механизмов); 3) Оценка подверженности атакам социальной инженерии  (попытка убедить сотрудников раскрыть критичную информацию); 4) Оценка безопасности работы на дому (насколько защищены системы, с которых сотрудник подключается удаленно к сети компании и/или работает с ее документами); 5) Оценка недостатков плана реагирования на инциденты (насколько компания готова к тому, чтобы во время хаоса, вызванного инцидентом, собрать необходимые ресурсы и упорядоченно обработать инцидент); 6) Оценка защиты персональных данных (насколько хорошо в компании защищены персональные данные? соблюдаются ли требования законодательства в этой области?).
  • Пост George Silowash "Вывод данных - неучтенные угрозы", в котором Джордж рассматривает на реальных примерах различные варианты утечки информации  через устройства, про которые часто забывают при проектировании системы защиты: сканеры, копиры, принтеры, факсы.
  • Пост Brent Huston "Почему карта потоков данных сделает вашу жизнь легче?". Вы не можете защитить то, о чем вы не знаете. Поэтому вам нужно идентифицировать все системы компании и определить связи между ними. Когда у вас перед глазами будет вся картина, вам значительно проще будет спроектировать систему защиты, правильно расставив приоритеты и не забыв при этом ни об одном из компонентов. Кроме того, в случае инцидента вы сможете быстро оценить ситуацию и определить компоненты, подверженные его влиянию. Брент приводит пример карты потоков данных для простой операции оплаты банковской картой в торговой точке. 
  • Серия постов SANS с пояснениями и практическими рекомендациями по реализации наиболее критичных защитных мер и средств из перечня SANS Top-20 (1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20). Кстати, перевод на русский самого этого перечня SANS можно посмотреть здесь.

Интересные статьи и заметки по менеджменту, коммуникациям
Законодательство
  • Опубликовано интервью с Романом Шерединым (зам. руководителя Роскомнадзора). Роскомнадзор активно работает над вопросами ужесточения ответственности операторов ПДн за нарушение требований законодательства. В частности, Роскомнадзор хочет получить полномочия по возбуждению административных дел по нарушениям законодательства по ПДн, а также увеличить штрафы до суммы, сравнимой с единовременными затратами оператора на обеспечение адекватной защиты.
  • Банк России издал Указание № 2683-У от 2 сентября 2011 года, вносящее изменения в Указание № 2346-У от 25 ноября 2009 года «О хранении в кредитной организации в электронном виде отдельных документов, связанных с оформлением бухгалтерских, расчетных и кассовых операций при организации работ по ведению бухгалтерского учета». Теперь в банках должно быть назначено лицо, ответственное «за организацию и проведение работ с единицами хранения (ЕХ) в фонде EX», т.е. персональная ответственность за хранение электронных документов должна быть официально возложена на конкретных сотрудников организации. За ссылку спасибо Наталье Храмцовской.
Стандарты, руководства, лучшие практики, исследования
  • Опубликован отчет Software Engineering Institute по исследованию инцидентов, связанных с утечкой информации (на английском). Исследователи проанализировали информацию Центра инсайдерских угроз CERT, содержащую сведения о более чем 600 утечках. По результатам исследования был, в частности, сделан вывод, что в большинстве случаев сотрудники крадут информацию непосредственно перед увольнением из компании (в пределах 30 дней до даты увольнения). При этом чаще всего для хищения информации они используют корпоративную электронную почту.
Новости
  • Появился новый троян под MacOS X, который умеет следить за пользователем, воровать пароли, а также использовать зараженный компьютер для добычи Bitcoin. Троян распространяется через файлообменные сети в виде "добавки" к скачиваемым программам. Кроме того, на MacOS X был портирован Linux-троян Tsunami, который создает из зараженных компьютеров ботсеть, выполняющую DDoS-атаки.
Инциденты за неделю

Комментариев нет: