Обзор рынка ИБ (выпуск 11)

Аватар пользователя cwZerro
Автор: Коржов Валерий, журнал "Connect. Мир информационных технологий"
(0)
()
Опубликовано в:

Регуляторы. Законодательство.

В России одобрены новые размеры штрафов за несоблюдение требований защиты информации, предусмотренных различными лицензиями. Увеличены штрафы за использование несертифицированных информационных систем, баз данных и средств защиты.

Изменены правила использования простой электронной подписи при оказании государственных услуг. Изменения коснулись выдачи сертификатов для изготовления подписи - заявитель вправе самостоятельно выбрать оператора выдачи ключа.

В техническом комитете 26, который занимается стандартизацией средств криптографической защиты, утверждены правила использования российских алгоритмов шифрования в протоколе IPSec. Теперь есть надежда, что продукты российских разработчиков будут совместимы между собой. 

Новости безопасности

"Яндекс" активно совершенствует свои средства защиты. В частности, недавно компания перевела свою электронную почту на работу по протоколу HTTPS. Кроме того, компания анонсировала возможность пересылать свои "Яндекс.Деньги" по электронной почте прямо из интерфейса почтовой системы. Кроме того, компания Google перешла на использование более длинных 2048-битных ключей шифрования.

В России разрабатывается система защиты всех правительственных сайтов. Принципы, по которым такая система будет функционировать планируется сформулировать в Концепции стратегии кибербезопасности России, которую подготовила комиссия Совета Федерации. На основе этого проекта Совет безопасности должен подготовить стратегию кибербезопасности России. И вот когда она будет утверждена - начнётся разработка комплексной защиты правительственных сайтов.

Инциденты и утечки

Очередная порция документов Эдварда Сноудена показала, что АНБ удалось установить шпионские программы в 50 тыс. компьютерных сетей по всему миру. В частности, был приведен пример взлома бельгийского оператора Belgacom специальным подразделением британского штаба правительственной связи, сотрудничающего с АНБ.

Зафиксирована активность хакеров по воровству криптовалюты bitcoin. За прошедший месяц произошло три крупных инцидента с биржами, в результате которых на чёрный рынок ушло несколько тысяч bitcoin на сумму в несколько млн. долл.

Аналитика и тенденции

Компания FortiGuard Labs опубликовала прогноз тенденций на 2014 год. Компания отмечает, что Android будет внедряться в промышленных системах и "Интернет вещей", что приведёт к усилению угроз в этих отраслях. Кроме того, ожидается расширение использования методов биометрической идентификации, а также атак на неподдерживаемую производителем Windows XP.

Компания InfoWotch провела исследование, в котором анализировалась защищенность российских компаний от внутренних угроз. По оценкам исследователей участники опроса - их было около 900 - научились правильно оценивать ценность той или иной информации, но не научились определять опасность собственных сотрудников. Причём руководство и сотрудники ИТ- и ИБ-отделов вовсе не уверены в эффективности средств защиты против внутренних злоумышленников.

Вокруг света

Компания Avast в своём блоге опубликовала пост, где обсуждались проблемы защиты небольших веб-сайтов. В статье разбирается ситуация, когда небольшой сайт стал жертвой кибератаки, и на его страницах появился вредоносный код. Что в этом случае нужно делать и как защититься от подобных ситуаций. Сейчас именно взломы сайтов становятся основой проблемой Интернет, поэтому любые средства по правильной настройке средств защиты помогают сделать Сеть олее безопасной.

В блоге сайта, посвященного стандарту ISO 27000, опубликована статья, в которой приведены советы по работе с аудиторами, которым нужно проверить систему на соответствие стандарту. Впрочем, советы могут быть полезны всем, кто занимается проверкой систем информационной безопасности на соответствие требованиям различных регуляторов. Впрочем, основные советы предсказуемы: отвечайте на вопросы аудиторов, не лгите им и не тяните время. Есть даже обсуждение этих рекомендации на русском языке и в применении к русской специфике.

Статьи и выступления экспертов

Статья про то, как обнаружить скиммер - устройство для подглядывания за пользователями банкоматов. Часто используемые самим банками антискимминговые устройства очень походы на скиммеры. В подобных случаях рекомендуется обратиться в банк с жалобой на подобное устройство.

Компания "Информзащита" опубликовала статью, в которой содержится список российских удостоверяющих центров, а также ссылки на нормативные документы Минкомсвязи, легитимизирующих деятельность подобных центров. Отдельно есть статья про удостоверяющие центры Республики Беларусь.

Посты в блогах

Пост Игоря Агурьянова, в котором автор делится своим опытом внедрения риск-ориентированного подхода в обеспечении информационной безопасности. Поскольку именно такой подход предполагается использовать для защиты критически важных объектов, то этот опыт можно обобщить и на весь класс подобных систем.

Николай Федотов в своём блоге опубликовал пост в котором сравнил утечки в компаниях с ранами животных, которых преследует хищник. Так вот они совсем не похожи.

Михаил Хромов предлагает безопасникам изучать методы социальной инженерии. Нужно это умение для того, чтобы предотвратить заражение вирусом и заставить собственных сотрудников не поддаваться на социальную инженерию вирусописателей.

Что посетить?

Началась подготовка к PHD IV, которая пройдёт 21 и 22 марта в Digital October - где проходила вторая конференция. Уже можно подавать заявки на доклады, а в декабре уже будут продавать билеты.

Компания "Инфотекс" начала следующий этап своего конкурса научных работ в области защиты информации "Инфоекст Академия". В этом учебном году для аспирантов и научных работников призы победителям будут до 500 тыс. руб., для студентов и аспирантов - до 350 тыс. руб. Кроме того, предусмотрена стипендия для студентов и аспирантов до 100 тыс. руб.

Что почитать?

Андрей Прозоров опубликовал статью про оценку процессов в соответствии с методикой COBIT5. Обсуждаются уровни возможностей процессов и их оценку в соответствии с предложенной методикой самооценки в документе COBIT Self-Assessment Guide: Using COBIT 5.

Сергей Борисов опубликовал в своём блоге модель угроз для мобильных устройств и мобильной связи в целом. Возможно, этот документ пригодится для тех, кто планирует внедрение BYOD - опасность может оказаться больше тех, преимуществ, которые получает компания от использования мобильных устройств пользователей.

Оцените материал:
Total votes: 206
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.