Блоги:
Сергей Борисов описал, как и в какой форме лучше вписать оценку соответствия в комплекс работ по созданию/модернизации СЗПДн.
Сергей Гордейчик развеял мифы о свободном программном обеспечении.
Статьи:
Кража учетных записей с помощью имитации легитимной службы.
История о несостоявшейся целевой атаке.
Защита от XSS без правки исходных кодов (англ.).
Анализ спам-рассылки с вашего сайта.
Рекомендации по использованию DLP-систем с юридической точки зрения от компании Infowatch.
Компания SplashData опубликовала рейтинг популярных паролей.
Из ФСКН утекли в свободную продажу секретные базы данных.
Журналы:
PentestMagazine. JourneyInTheWorldofTheXSS – электронная версия семинара по обнаружению и эксплуатации XSS-уязвимостей (англ.).
eForensic Magazine. Malware Analysis StarterKit - электронная версия семинара по исследованию вредоносных программ (англ.).
Документы:
Перевод третьей части руководства по виртуализации PCI DSS.
Управление киберрисками во взаимосвязанном мире. Основные результаты Глобального исследования по вопросам обеспечения информационной безопасности. Перспективы на 2015 год. Источник: PWC.
ActionableInformationforSecurityIncidentResponse– практическое руководство по обмену информацией в рамках реагирования на инциденты (англ.). Автор: ENISA.
Информационная безопасность: стандартизированные термины и понятия– собрание официальных (стандартизированных) определений понятий, используемых в области информационной безопасности и защиты информации. Автор: Парошин А. А.
Краткий обзор годового отчета Cisco по информационной безопасности (см. полный отчет). Источник: Cisco
ГОСТ 32321-2013«Извещатели охранные поверхностные ударно-контактные для блокировки остекленных конструкций в закрытых помещениях. Общие технические требования и методы испытаний».
ГОСТ Р ИСО/МЭК 18045-2013«Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий». Стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки по ИСОМЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСОМЭК 15408.
ГОСТ Р ИСО/МЭК 19794-6-2014«Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза». Стандарт устанавливает требования к форматам обмена данными изображения радужной оболочки глаза (РОГ) для систем, осуществляющих биометрическую регистрацию, верификацию и идентификацию по РОГ.
ГОСТ Р ИСО/МЭК 27013-2014«Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1».
ГОСТ Р ИСО/МЭК 27003-2012«Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности». В стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001:2005.
ГОСТ Р ИСО/МЭК 27037-2014«Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме». Стандарт предоставляет руководство по распространенным ситуациям, возникающим в процессе обращения со свидетельствами, представленными в цифровой форме, а также содействует организациям в их дисциплинарных процедурах и в облегчении обмена потенциалами свидетельствами, представленными в цифровой форме, между юрисдикциями.
ГОСТ Р ИСО/МЭК 27033-3-2014«Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления». В стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями.
Программное обеспечение/сервисы:
Sysmon 2.0- программа для мониторинга процессов в Windows (см. описание)
Game of Hacks - онлайн-игра, представленная в виде вопросов по знанию уязвимостей OWASP Top-10 2013 и призванная повысить осведомленность сотрудников ИБ (см. обзор).
Вебинары:
6 февраля, 11:00, « Как надежно защитить систему ДБО от кражи денежных средств киберприступниками», компания «Аладдин Р.Д.».
Мероприятия:
12 февраля 2015 г. с 11.00 до 17.00 в рамках XX Международного форума «Технологии безопасности» ФСТЭК РФ проводит V Конференцию « Актуальные вопросы защиты информации».
Ресурсы:
Hacker’s List— фриланс-биржа для хакеров.
Бесплатные версии стандартов ISO.
ES6 XSS challenge– задания по поиску и эксплуатации XSS-уязвимостей.
