8 Мая, 2014

Новости ИБ за 25 апреля – 8 мая 2014 года

Сергей Сторчак


Блоги:

Алексей Волков выработал критерии оценки «облачных» провайдеров с точки зрения информационной безопасности.

Михаил Емельянников рекомендует организациям, которые размещают на своём сайте веб-форму для сбора персональных данных , опубликовать политику по обработке персональных данных.

Статьи:

Основные проблемы, связанные со сложностью обеспечения информационной безопасности промышленных систем .

11 причин низкой надежности шифрования как способа защиты.

Журналы:
Pentest Magazine Issue 01/2014 (12) - Step by Step from firewall bypassing to VOIP hacking (англ.).

SecurityKaizenMagazineIssue13 – журнал по информационной безопасности (англ.).



Документы:

2014 Cost of DataBreachStudy: GlobalAnalysis - данные обугрозах безопасности и о важности управления непрерывностью бизнеса для организаций. Источник: IBM (англ.).

OUCH! Меня взломали, что делать? – майский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

OUCH! Heartbleed - Why Do I Care? – спецвыпуск ежемесячника по информационной безопасности для пользователей, посвященный уязвимости Heartbleed. Источник: SANS (англ.).

10 ThingsEveryWebApplicationFirewallShouldProvide – список требований, предъявляемых WAF, для надежной защиты веб-приложений. Источник: Imperva (англ.).

TheNon-AdvancedPersistentThreat – описаны способы проведения целенаправленных атак и методы противодействия. Источник: Imperva (англ.).

AppSensorGuide. Application-SpecificRealTimeAttackDetection& Responsev2.0 – проект определяетконцепцию и методологию по автоматизации процесса обнаружения вторженийв существующих приложениях. Источник: OWASP (англ.).

ГОСТ Р ИСО/МЭК 29141-2012 «Информационные технологии. Биометрия. Одновременное получение изображений отпечатков десяти пальцев с помощью БиоАПИ». В настоящем стандарте установлены требования к крупномасштабным СКУД, которые требуют получения изображений отпечатков десяти пальцев с в процессе идентификации или проверки в фоновом режиме.

ГОСТ Р 54411-2011 «Информационные технологии. Биометрия. Мультимодальные и другие мультибиометрические технологии». В настоящем стандарте установлены требования к разработке стандартов на мультибиометрические системы, в частности, на различные типы обеъединения.

ГОСТ Р 55235.3-2012 «Практические аспекты менеджмента непрерывности бизнеса. Применение к информационным и коммуникационным технологиям».

Законодательство:
Федеральный закон Российской Федерации от 5 мая 2014 г. N 99-ФЗ «О внесении изменений в главу 4 части первой Гражданского кодекса Российской Федерации и о признании утратившими силу отдельных положений законодательных актов Российской Федерации». Информация о содержании корпоративного договора, заключенного участниками непубличного общества, не подлежит раскрытию и является конфиденциальной.

Приказ Министерства финансов Российской Федерации (Минфин России) от 30 декабря 2013 г. N 142н г. Москва «О порядке и формах направления до 1 июля 2014 года заказчиками информации и документов в реестр контрактов, заключенных заказчиками, и сведений в реестр контрактов, содержащий сведения, составляющие государственную тайну».

Федеральный закон Российской Федерации от 5 мая 2014 г. N 112-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и отдельные законодательные акты Российской Федерации».

Федеральный закон Российской Федерации от 5 мая 2014 г. N 97-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей». Блогеров с высокой посещаемостью обязали обеспечивать соблюдение законодательства Российской Федерации на своем ресурсе.

Программное обеспечение:
IronWASP - сканер безопасности для веб-приложений.

oclHashcat-plus v1.20 – бесплатная программа для восстановления паролей по хешу.

WPScan v2.4 – сканер уязвимости для WordPress.

Cuckoo Sandbox v1.1 - система для автоматического исследования вредоносного ПО.

Аналитика:
Исследование по различным аспектам безопасности в веб-студиях/агентствах . Источник: Ruward.



Спам в первом квартале 2014 . Источник: Лаборатория Касперского.

Мероприятия:
14 мая 11:00 (МСК), тема: « APT атакует! », ведущий: Андрей Арефьев менеджер по продуктам InfoWatch.

8 — 10 мая 2014 г., ASIS CTF Quals 2014.

Ресурсы:

Диалоги #поИБэ - подкаст о высоких технологиях и кибербезопасности от RISSPA.

Видеозапись семинара по персональным данным , который читал Андрей Прозоров в рамках конференции ITForum 2020.

https://malwr.com/ - онлайн-сервис для анализа вредоносных приложений.