Личные блоги Александр Бондаренко
Блог Александра Бондаренко
-
Поиск
01.05.2012
Проверка на "вшивость" или Новые постановления правительства
Вопреки возможным ожиданиям я не буду писать ничего о новых Проектах постановлений правительства, касающихся вопросов защиты персональных данных (в соответствии с последними изменениями 152-ФЗ). По крайней мере пока. Скажу лишь, что я считаю, что они мягко говоря не доработаны. Ряд коллег, уже высказали свои впечатления. Привожу ссылки:Алексей Волков - http://anvolkov.blogspot.com/2012/04/blog-post_27.htmlАртем Аветян - http://avetjan.livejournal.com/23148.htmlРигель - http://xpomob.b...
24.04.2012
Размышления об оценке рисков
В сегодняшнем посте я хотел бы порассуждать на тему такого спорного вопроса как "оценка рисков ИБ ". С одной стороны необходимость проведения такой оценки предписывается практически всеми стандартами/международными практиками. Возьмем самые основные:ISO 27001: Организация должна создать, внедрить, эксплуатировать, осуществлять мониторинг, анализировать, сопровождать и совершенствовать документированную СУИБ в контексте общих бизнес активностей и рисков организации.Организация должна ...
22.04.2012
Законотворческий процесс в действии
Коллеги, еще 13 февраля я писало появлении проекта постановления правительства "Об утверждении Положения о защите информации в национальной платежной системе ". Проект был опубликован на сайте ФСТЭК, а также передан на оценку регулирующего воздействия в МЭР и оценку коррупционгенности в Минюст. Об этих оценках я уже писал ранее.Кстати, интересно было почитать заключение МЭР на этот законопроект. Оно опубликовано здесь. Приведу ключевую для меня выдержку:2. В соответствии с абзацем 2...
17.04.2012
По итогам форума директоров ИБ
Сегодня завершился второй, заключительный день Форума директоров ИБ. Несколько наиболее ярких моментов, которые я лично для себя выделил:1) Представитель ФСБ рассказал, что проект нового Постановления Правительства под 152-ФЗ про уровни защищенности должен быть опубликован в ближайшее время. Если я правильно понял, то переход к уровню защищенности будет через какую-то комбинацию класса системы (по схеме классификации типовых систем) и модели нарушителя. Гадать о том, как нашим регуляторам у...
15.04.2012
Проблематика защиты мобильных устройств (часть 3) - утечка данных
Продолжаем говоритьо вопросах обеспечения информационной безопасности при использовании мобильных устройств.Сегодня мне бы хотелось коснуться такого вопроса как утечка информации. Мобильные устройства в первую очередь предназначены для того, чтобы человек мог всегда иметь доступ к необходимой ему информации и сервисам (почта, скайп, соцсети и проч.) где бы он не находился. Но попытка удовлетворить такую бизнес-потребность приводит к возрастанию следующих рисков:нарушение конфиденциальности инфор...
10.04.2012
Межбанковская конференция "Вопросы обеспечения безопасности НПС"
Для информации, коллеги, 7 июня 2012 года состоится Межбанковская конференция "Вопросы обеспечения безопасности Национальной платежной системы и дистанционного банковского обслуживания». Место проведения: Москва, Конгресс-центр МТУСИ. Обсуждаемые вопросы:Регулятивная функция Банка России в свете выполнения закона "О национальной платежной системе "О документах Банка России по информационной безопасности в рамках закона "О национальной платежной системе "Обеспечение бесперебойности функци...
03.04.2012
Open source в инфобезопасности
Помню на волне кризиса, который начался в 2008 году, шло немало разговоров (в т.ч. на уровне государства) о возможном переходе на СПО (свободно распространяемое программное обеспечение, open source). Я даже в свое время размещал список open source решений, которые могут быть полезны для безопасника. Сейчас эти разговоры поутихли, да и активное развитие облачных и мобильных технологий серьезно повлияло на рынок ПО. В связи с этим у меня возник вопрос к читателям этого блога. А в...
01.04.2012
Всех с днем смеха !
В прошлом году я в этот день устроил небольшой розыгрышна тему принятия поправок в 152-ФЗ. В этом году не буду, т.к. к сожалению мой розыгрыш начинает сбываться.... Поэтому в этот раз просто хочу с вами поделиться одним забавным наблюдением. Дело в том, что в панели управления блогом на сервисе Blogger можно отслеживать статистику посещения блога, а также источники приходящего трафика. И есть там в том числе возможность видеть поисковые фразы, которые вбивали в поисковик Google пользовател...
27.03.2012
Dell покупает SonicWall
Возможно кто-то уже слышал об этом: компания Dell собирается приобрести SonicWall. Думается мне, что это уже становится общей тенденцией: HP некоторое время назад приобрела ArcSight, Intel приобрела McAfee и это только одни из последних примеров. Все это на мой взгляд ведет к тому, что ИБ все больше вливается в ИТ и в перспективе функция безопасности будет встроена в предоставляемые ИТ-сервисы (облачные или какие-либо другие, которые появятся в будущем). И этот процесс будет ускоряться по м...
23.03.2012
Итоги опроса про карьерные предпочтения
Как и обещал, публикую результаты опроса, запущенного в начале этой недели. Всего в опросе приняло участие 237 человек (я был приятно удивлен такой активности). Из них 90 человек - представители интеграторов/консультантов и соответственно 147 - представители служб информационной безопасности. Результаты опроса среди представителей интеграторов можно увидеть ниже. Для большинства проголосовавших текущее место является не первым местом работы и в ближайшее время основная част...
21.03.2012
Проблематика защиты мобильных устройств (часть 2)
Итак, я продолжаю писать на тему безопасности использования мобильных устройств. И сегодня я хочу поговорить о рисках, связанных с программным обеспечением.С подачи компании Apple способом доставки программного обеспечения на мобильные устройства стали разного рода "маркеты ". Это удобно, это просто и это хороший способ снизить пиратство и заработать деньги для разработчиков. Все это привело к взрывному росту рынка программного обеспечения и породило те самые риски, о которых сейчас поговорим. ...
20.03.2012
Свежие публикации
Из полезного: Вышел в свет новый номер журнала (IN)SECURE. Тема номера: прошедшая недавно международная конференция по безопасности - RSA Conference 2012.Скачать номер можно по ссылке.Из формального: На сайте Российской газеты опубликован текст Положения о лицензировании деятельности по технической защите конфиденциальной информации (первая часть, вторая часть). По неофициальным заявлениям представителей ФСТЭК данное положение ничего не меняет в области лицензирования деятельности по ...
19.03.2012
Опрос недели (карьерные предпочтения)
Поздравляю всех с началом трудовой недели ! Мой сегодняшний опрос мне бы хотелось посвятить выяснению того, какие карьерные пожелания превалируют в среде специалистов по информационной безопасности. Опрос для тех, кто сейчас работает в консультанте/интеграторе - ссылка.Опрос для тех, кто сейчас работает в службе информационной безопасности - ссылка.Результаты как всегда опубликую в конце недели.
15.03.2012
Об эффективности ИТ
На недавней конференции, проводимой АНХ, в одном из докладов был представлен проект IT-Value. Несколько слов об этом проекте:Некоммерческий научный проект, финансирующийся из госбюджета из гранта Минобрнауки. В проект привлечены исследователи и практики, имеющие большой опыт работы на российском ИТ рынке. Проект ведется в координации с ведущими научными школами мира в области исследования эффективности ИТ. Сроки реализации проекта: 2010 – 2012 гг.На сайте опубликован ряд интересных материалов, к...
12.03.2012
Компания LETA приглашает на бизнес-завтрак с демонстрацией программного комплекса "Avanpost"
Компания LETA приглашает на бизнес-завтрак, в рамках которого представит уникальный продукт – Программный Комплекс «Avanpost» – единый универсальный механизм защищенного доступа к информационным ресурсам организации и управления учетными данными.Мероприятие состоится 22 марта, 2012 г. Время проведения с 10:00 до 12:30.По соотношению полноты функционала и стоимости ПК «Avanpost» сегодня не имеет аналогов на российском и западном рынках. ПК «Avanpost» разработан ...
11.03.2012
Бесплатный сервис экспресс-оценки соответствия требованиям СТО БР ИББС
Сегодня компания ISM SYSTEMS презентовала свой новый онлайн-сервис для проведения экспресс-оценки соответствия требованиям СТО БР ИББС. Чтобы воспользоваться сервисом необходимо зарегистрироваться, указав адрес своей электронной почты. После этого станет доступен интерфейс, состоящий из двух элементов: перечня итоговых показателей и перечня мероприятий по информационной безопасности. Все что нужно для того, чтобы провести самооценку, это отметить в списке те мероприятия, которые уже реализо...
09.03.2012
Про собеседования
За последние несколько лет мне довелось провести немалое количество собеседований (и сейчас этот процесс продолжается) и могу сказать, что очень многие специалисты (как молодые, так уже и опытные) совершают массу ошибок. В связи с этим позволю себе дать несколько советов относительно того, что на мой взгляд важно при прохождении собеседования (особенно, если вы придете ко мне ):Заранее определитесь, чем вам было бы интересно заниматься, чего вы хотите добиться, что ожидаете от работы в компании...
05.03.2012
Парочка новостей одной строкой
- Опубликована электронная версия 1-го в этому году номера журнала Information Security (ссылка). В журнале помимо всего прочего опубликовано открытое письмо директору ФСТЭК от неизвестного автора (cм. стр. 42). Я очень рад что вопросы (якобы) обязательной сертификации все чаще обсуждаются публично. Пора уже выходить из парадигмы "суровость российских законов компенсируется необязательностью их исполнения " и делать это только за счет попыток устранения необязательности исполнения просто н...
04.03.2012
Отчеты о развитии компьютерных угроз за 2011 г.
В последнее время в сети были опубликованы 2 отчета, касающиеся вирусной активности в 2011 г:Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году (ссылка)McAfee Threats Report: Fourth Quarter 2011 (ссылка)Напрямую пожалуй сравнивать эти два отчета не совсем правильно, т.к. все же они описывают разный временной масштаб, однако я попробую выделить общие тенденции, которые в том числе получат свое развитие в 2012.1. Всплеск хактивизмаТо, что казалось бы никто не ждал в нашем насквозь коммер...
29.02.2012
В нашей блогосфере убыло
Как-то за последнее время стало заметно тише в нашей блогосфере. Давно ничего не появлялось в блоге Дмитрия Орлова (все еще, думаю, помнят его знаменитые дайджесты), заметно сбавили интенсивность публикаций Алексей Волков, Евгений Царев и Игорь Хайров. Блог Евгения Родыгинатоже молчит довольно давно.Коллеги, надеюсь что это связано исключительно с нехваткой свободного времени и вы еще обязательно вернетесь В связи с этим, кстати, у меня возникает еще один вопрос: Г...
27.02.2012
Закон Парето и информационная безопасность
"Закон Парето " как известно гласит что «20 % усилий дают 80 % результата, а остальные 80 % усилий — лишь 20 % результата». Если не придираться конкретно к цифрам, то думаю можно смело утверждать, что эффективность механизмов безопасности различна и в большинстве случаев определенный, ограниченный набор действий позволяет ликвидировать большую часть угроз и обеспечить требуемый уровень безопасности (в т.ч. с учетом требований законодательства). Но что это за набор действий ? Точного ответ...
24.02.2012
Проблематика защиты мобильных устройств (часть 1)
Сегодняшним постом я хочу открыть серию публикаций на (пока еще) относительно новую тему в информационной безопасности, посвященную защите мобильных устройств. Тем что для многих уже успело стать (или совсем скоро станет) серьезной головной болью . Лично мне кажется, что переход пользователей и бизнеса на мобильные устройства практически неизбежен. Более того, усиливающийся интерес к облачным технологиям будет этому только способствовать, т.к. "таблетка " или современный смартфон - это ид...
20.02.2012
Positive Technologies ищет пентестеров
Positive Technologies разместила у себя на сайте вакансию на должность специалиста по проведению тестов на проникновение:Требования к кандидатуОпыт работы в сфере информационной безопасности от 0 до 5 лет. Широкий кругозор в профессиональной отрасли. Способность решать нетривиальные задачи. Навыки программирования. Желание учиться, изучать и самосовершенствоваться.Кандидат должен иметь навыки практической компрометации или защиты систем, как минимум в одной из следующих областей: - сетевая ...
17.02.2012
Краткие итоги IV Межбанковской конференции по информационной безопасности
Сегодня последний день IV межбанковской конференции «Уральский форум: Информационная безопасность банков». Для тех, кто здесь не присутствовал Алексей Лукацкий вел довольно подробную трансляцию в твиттер. Лично я для себя по итогам этого мероприятия вынес 2 ключевых момента, которые надо будет иметь ввиду всем, кто имеет отношение к обеспечению информационной безопасности в кредитных организациях:1) "Узаконивание " обязательности внедрения СТО БР ИББС продолжится, но теперь от писем регул...
15.02.2012
Бесплатные сервисы от Qualys
Наткнулся на интересные (и самое главное, бесплатные ) сервисы от довольно известной на мировом рынке информационной безопасности компании - Qualys. Если кто-то еще не слышал об этой компании, то если коротко, она предоставляет профессиональный сервис по управлению уязвимостями (Vulnerability Management).Так вот, к сервисам:Qualys Free Scan (ссылка). Сервис позволяет бесплатно просканировать любой веб-сайт на наличие уязвимостей как на уровне сети, так и на уровне приложения (хотя т...
13.02.2012
Экспертиза проекта ПП "Об утверждении Положения о защите информации в национальной платежной системе"
Коллеги, кто еще не знает, указанный проект Постановления Правительства на прошлой неделе был размещен на сайте ФСТЭК, а позже и на сайте Департамента оценки регулирующего воздействия (тут).Как я и говорил, поучаствовать в экспертизе этого документа может любой. Самое главное, это подготовить свои комментарии в определенной форме.По моему мнению, документ получился без особых острых углов. Попросту говоря ни о чем, точнее в нем содержатся довольно общие описания того, что нужно делать для обеспе...
09.02.2012
Еще немного про лицензирование
Продолжаю тему, поднятую в предыдущем посте. Думаю, что мы услышим еще немало самых разных мнений. Но вот объяснение моего коллеги, Александра Малявкина, которое мне кажется довольно логичным.1) Под технической защитой конфиденциальной информации понимается выполнение работ и (или) услугпо ее защите....2) В соответствие с Налоговым и Гражданским кодексами «Работойдля целей налогообложения признается деятельность, результаты которой имеют материальное выражение и могут быть реализованы...
08.02.2012
Новое постановление правительства по лицензированию ТЗКИ
Буквально на днях было подписано Постановление Правительства РФ №79 «О лицензировании деятельности по технической защите конфиденциальной информации» (доступно для просмотра тут). Долго все мы ждали этого документа. Я уже ранее писалсвои комментарии относительно проекта этого документа. Посмотрим что же мы имеем в новом документе. Сразу оговорюсь, что многое прояснилось, но (как это обычно бывает) остается поле для трактований и злоупотреблений. Что же теперь должно подвергаться лицен...
07.02.2012
Экспертиза нормативно-правовых актов (продолжаем разговор)...
Итак, коллеги, продолжаю тему, начатую ранее, и связанную с обсуждением того, как мы можем повлиять на законопроекты, влияющие на наше профессиональное поле.Как я сказал, для давления на регуляторов у нас есть 2 абсолютно законных способа. Один из них - антикоррупционная экспертиза проектов документов. Для того, чтобы простой человек вроде меня (или вас) мог в ней участвовать нужно представить в Минюст России по почте или лично следующие документы:1) заявление об аккредитации, составленное в про...
04.02.2012
Отчет DSecRG о безопасности банк-клиентов
Прочитал отчет, подготовленный исследовательской группой компании Digital Security, по теме безопасности систем ДБО. На мой взгляд конечно фабула для этого отчета (цитирую) "Эффект дежавю: безопасность банк-клиентов находится на уровне 90-х годов ", слишком уж сильная. В 90-х дистанционного банкинга вообще не было (поправьте меня если я ошибаюсь).К основным проблемам исследователи DSecRG отнесли:Межсайтовые запросы (CSRF)Межсайтовый скриптинг (XSS)SQL-InjectionПереполнение буфераОш...
03.02.2012
Вышел новый номер журнала (IN)SECURE
33-ий выпуск одного из самых качественных журналов в нашей отрасли уже доступен для скачивания тут.В этом номере:Securing Android: Think outside the boxInterview with Joe Sullivan, CSO at FacebookWhite hat shellcode: Not for exploitsUsing mobile device management for risk mitigation in a heterogeneous environmentMetasploit: The future of penetration testing with HD MooreUsing and extending the Vega open source web security platformNext-generation policies: Managing the human factor in security
01.02.2012
Тестирование на уязвимости веб-приложений
На мой взгляд тестирование веб-приложений - одна из наиболее перспективных тем в области проведения тестов на проникновение. Веб становится универсальным прикладным интерфейсом (взять те же облака и SaaS решения, везде веб-технологии). Практически все системы ДБО - это веб-приложения. При этом в нашей, российской блогосфере как-то не часто поднимаются вопросы безопасности веб-приложений. Странно... Мне тут попалась на глаза интересная подборка методологий, инструментов и тестовых фреймворко...
30.01.2012
Не пора ли коллеги что-то менять ? продолжение...
Как известно: "сказал А, говори Б ". Поэтому не хотелось поднимать в своем блоге другие темы, пока не будет ясности с тем вопросом, который я поднял в предыдущем посте. Итак, делюсь первичной информацией. Что мы имеем ? В ближайшее время мы ожидаем появление постановлений правительства, которые должны разъяснить нам подходы к обеспечению защиты информации, содержащей персональные данные. Наша задача: вовремя обнаружить проект, проанализировать и если он окажется пол...
17.01.2012
Не пора ли, коллеги, что-то менять?!
Одним из топовых постов последних дней в ЖЖ являтся сообщение Татьяны Лазаревой, посвященное ее отношению к тому, что происходит в нашей стране.Сообщение мне лично очень понравилось, приведу несколько купюр:.....То есть, типа, тебя не коснулось лично – и не лезь? Моя хата с краю, можно, я тут еще немножечко поиграю? А не кажется никому, что нас просто тупо приучили к тому, чтобы мы не высовывались? Это уже в хребте нашем, и не только нашем – от бабушек и дедушек, через родителей - живет, укрепля...
16.01.2012
Новые блоги по инфобезопасности
Продолжая тематику повышения активности нашей отрасли лично мне очень отрадно, что за последнее время блогосфера инфобезопасности довольно серьезно расширилась. Вот блоги, которые я добавил в свою ленту за последние несколько месяцев (рекомендую ознакомиться):Обзор актуальных проблем информационной безопасностиЛюблю безопасность до безобразностиИнформационная безопасность - АУДИТ, ОЦЕНКАИБ и БСЗащищаемся вместе и по отдельностиБезопасность - основа уверенностиА кто не знает, довольно обширн...
15.01.2012
Киберпреступность отнесена к одному из ключевых рисков 2012 года
Известная организация The World Economic Forum подготовила доклад под названием Global Risks 2012 (скачать доклад можно здесь). В результате проведенных исследований кибер-атаки были отнесены на 1-е место в групппе технологических рисков:Это, кстати, первый раз за 6 лет (в течение которых публикуются подобные доклады) когда кибер-риски попали в доклад и сразу далеко не на самое последнее место. Причина проста - современный мир все больше и больше зависит от коммуникаций, наличие доступ...
12.01.2012
О пользе общения и обмена опытом
Прочитал тут на днях поств одном англоязычном блоге. Весь его здесь приводить не буду, только фрагмент:We don’t comment anymore. We don’t blog back anymore. People are blogging and putting their 2 cents into the conversation, but no one is repsonding. Oh, maybe they respond on twitter, on but it doesn’t make it into the blog. Blogging has always been and will always be a two way street. A blog should be a multi-party conversation with the blogger putting forth his ideas and others respondin...
09.01.2012
Программное обеспечение для проведения оценки рисков
Продолжая тематику оценки и управления рисками информационной безопасности в этом посте мне бы хотелось поговорить о программном обеспечении, которое может быть использовано для выполнения оценки рисков. Зачем вообще нужно это программное обеспечение ? Дело в том, что как только вы глубоко погрузитесь в этот процесс, то сразу станет понятно, что проведение оценки сопряжено с довольно сложной комбинаторикой. Сочетание разных активов, уязвимостей, угроз, защитных мер рождает сотни, ты...
27.12.2011
Детальное руководство по оценке рисков информационной безопасности из Канады
Разбирая материалы по оценке рисков информационной безопасности наткнулся на руководство по оценке рисков ИБ от канадского агенства CSEC (сайт организации). Документ носит название Harmonized Threat and Risk Assessment Methodology и доступен для скачивания здесь, дополнительные материалы, относящиеся к этому руководству доступны по этой ссылке.Не смотря на то, что материал разработан аж в 2007 году, он все еще не потерял актуальности на мой взгляд. Для тех кто в состоянии читать на английс...
25.12.2011
Итоги года уходящего и прогноз на 2012
Ну вот, коллеги, подходит к концу довольно непростой 2011 год. В этом посте мне бы хотелось оглянуться на те события, которые происходили в этом году, на мой прогноз, который я давал в прошлом году, и немного поразмышлять о прогнозах на год грядущий. Для начала вспомним о том, какие прогнозы я давал в прошлом году и насколько они сбылись:Прогноз 1 (привожу лишь некоторые купюры): "Усилятся (расширятся) регуляторные требования по информационной безопасности. ..... Понятно, что персональные ...
24.12.2011
Перемен, требуют наши сердца ! (В.Цой)
Мы часто видим, как государство принимает неверную позицию относительно развития информационных технологий в России. Пора что-то делать - http://on.fb.me/s6YtU7 !!!P.S. Данный пост не является агитацией, а лишь предназначен для того, чтобы собрать на одной информационной площадке всех, кто не равнодушен к ситуации, которая творится вокруг профессиональной области, которой многие из нас решили посвятить свою жизнь (ну или хотя бы часть жизни).
22.12.2011
Главный по кибер-безопасности
Кибер-война, кибер-шпионаж, защита критичных систем - все эти вопросы волнуют умы наших иностранных коллег, да и мы, собираясь на разного рода мероприятиях, тоже иногда поднимаем эти темы (потом правда опять возвращаемся к насущным вопросам и к надоевшему уже всем 152-ФЗ, тут как в анекдоте: "мыши плакали и кололись, но продолжали есть кактус"). Однако наши зарубежные коллеги помимо слов еще и делом занимаются (чему многие из нас думаю тайно завидуют). И дело ...
19.12.2011
План проверок Роскомнадзора на 2012 год в формате Excel
План проверок РКН на следующий год был опубликован в конце ноября (Алексей Лукацкий уже писал об этом тут). Но не знаю кому как, а лично мне формат данного отчета (MS Word) абсолютно неудобен. Поэтому я перевел план в формат Excel, отфильтровал только те проверки, которые включают в себя вопросы соблюдения законодательства о персональных данных и удалил ряд незначащих (по моему мнению) столбцов. Скачать план проверок можно здесь. Пользуйтесь, коллеги !
13.12.2011
Новый номер журнала (IN)SECURE
Вышел в свет декабрьский номер журнала (IN)SECURE, на мой взгляд одного из лучших изданий в нашей отрасли. В этом номере: 7 questions you always wanted to ask a professional vulnerability researcherInsights on drive-by browser history stealingReview: Kingston DataTraveler 6000RSA Conference Europe 2011PacketFence: Because NAC doesn 't have to be hard!Information security and the threat landscape with Raj SamaniSecurity is a dirty wordSmartphone apps are not that smart: Insecure development pract...
Подписка
Вирусы