воскресенье, 13 ноября 2011 г.

Дайджест ИБ за 07 - 13 ноября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ
  • Алексей Лукацкий опубликовал серию постов на тему взаимодействия ИБ и бизнеса. 
    • "Как донести до руководства важность ИБ?" - для этих целей можно воспользоваться концепцией из стандарта Val IT, направленной на то, чтобы показать значение/ценность ИТ для бизнеса. Далее Алексей приводит список вопросов, интересующий топ-менеджеров и членов совета директоров, ответив на которые мы сможем понять, готовы ли мы выносить тему ИБ на уровень бизнеса.
    • "Карта эмпатии на благо безопасника" - если безопаснику не удалось выйти на уровень топ-менеджмента и "продать" идею ИБ, как бизнес-процесса, он может сконцентрировать свои усилия на отдельном начальнике, помощь которого необходима для достижения поставленных целей. Для этого Алексей предлагает воспользоваться картой эмпатии, чтобы понять потребности этого человека и найти с ним общий язык.
    • "ИБ как раковая опухоль" - чтобы ИБ компании не превратилась в "раковую опухоль", т.е. службу, которая обслуживает только саму себя и поддерживает только свое существование, руководитель ИБ должен понимать, для кого работает компания, кто ее клиенты, каковы их потребности и т.д.
Лучшие посты из англоязычных блогов по ИБ
  • Пост Ben Tomhave "Активы, Черные лебеди и Угрозоцентризм", в котором Бен говорит о необходимости перехода от "угрозоцентризма" к "активоцентризму". Ориентация на угрозы при отсутствии информации об активах бессмысленна, так как лишена контекста. Какой смысл рассматривать угрозы абстрактным активам? К тому же при таком подходе задача обеспечения ИБ будет изначально нерешаема в принципе. По мнению Бена, ориентироваться нужно на активы и рассматривать угрозы только в контексте конкретных активов. Это сделает работу по обеспечению ИБ более осмысленной и значительно упростит ее.
  • Пост Rafal Los "Нечеткая математика ROI". Рафаль считает, что мы часто используем различную статистику, метрики, результаты исследований и опросов только для того, чтобы продемонстрировать что-то, что мы не можем адекватно объяснить иначе. Например, чтобы обосновать необходимость закупки нового продукта или оправдать свое существование. Точно также мы подходим к расчету коэффициента ROI для решений по безопасности. Если руководство, которому мы показываем свои метрики и расчеты, захочет чуть глубже взглянуть на методику, скорее всего сразу всплывут цифры, основанные на необоснованных предположениях, манипуляции фактами и т.п. Проблема тут заключается в том, что мы зачастую рассматриваем безопасность с точки зрения безопасности, а не с точки зрения бизнеса. Чтобы исправить это, мы должны сначала понять, как ваше решение по безопасности повлияет на бизнес компании - возможно оно  позволит компании создать новые продукты или услуги, повысить качество или эффективность существующих, снизить себестоимость, создать дополнительную ценность для акционеров. Что действительно волнует руководство компании? Какие цели ставит компания перед собой? Если вы не знаете, какую ценность ваше решение даст акционерам (или иным заинтересованным сторонам), вероятно вы делаете что-то не то. Если знаете - у вас не будет сложностей с расчетами различных показателей и метрик.
  • Пост Dejan Kosutic "Сколько времени занимает внедрение ISO 27001 / BS 25999". Дижен приводит ориентировочные сроки реализации (этапы Планирование и Выполнение) проекта по внедрению в компании требований стандартов ISO 27001 / BS 25999 (для крупной компании (от 500 сотрудников) сроки обычно составляют 12-15 месяцев) и дает рекомендации, как это время можно сократить.
Законодательство
Стандарты, руководства, лучшие практики, исследования
Новости
  • В операционной системе iOS обнаружена серьезная уязвимость. Дело в том, что встроенный в iOS браузер в последних  версиях операционной системы обрабатывает код JavaScript на более низком системном уровне, что было сделано для повышения производительности. Но это же сняло некоторые ограничения, препятствующие выполнению на устройстве неподписанного кода. Для проверки возможности использования уязвимости, исследователь Чарли Миллер написал вполне безобидно выглядящую утилиту Instastock, которая прошла проверку Apple и была размещена в AppStore. Однако при запуске эта утилита (помимо своего основного функционала) связывалась с компьютером Чарли, который получал при этом полный доступ к устройству пользователя. 
  • Появился специализированный троян Trojan.PWS.Dande, который угрожает фармацевтическим компаниям. Троян предназначен для кражи данных клиентских приложений семейства "Системы электронного заказа", позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. Среди собираемых данных - сведения об установленных на компьютере программах, пароли учетных записей и т.д. Интерес для злоумышленников вероятно представляют данные о ценах и объемах заказа медикаментов. Вся похищенная информация передается на их сервер.
Инциденты за неделю
  • Хакеры взломали популярный игровой веб-сервис Steam, что привело к утечке всей базы данных пользователей сервиса (35 млн.) со всеми их личными данными, включая данные банковских карт (хотя по утверждению Valve (владелец сервиса), номера банковских карт хранятся в базе данных в зашифрованном виде).
  • На веб-сайте Тверского отделения Пенсионного фонда России был по ошибке опубликован в общем доступе файл, содержащий персональные данные клиентов фонда с указанием страховых и накопительных взносов. Доступ к файлу был закрыт примерно через час после обнаружения ошибки, однако он на тот момент уже был проиндексирован Яндексом и сохранился в его кэше.
  • В результате сбоя в работе маршрутизаторов магистрального провайдера Level 3 Communications целый ряд европейских и североамериканских интернет-сервисов и провайдеров остались без доступа в Интернет. В числе пострадавших оказалась компания Research in Motion, в результате чего пользователи устройств BlackBerry снова столкнулись с проблемами доступа к отдельным услугам. Проблемы возникли вследствие программной ошибки маршрутизаторов Juniper серии MX: при определенном стечении обстоятельств устройства "падали" и перезагружались.

Комментариев нет: