Начну с предистории: Когда-то лаборатория NSS блистала на рынке сетевой безопасности, предложив независимую оценку и сертификацию средств предотвращения атак. Однако рынок этот достаточно узкий, да и интерес к сетевой безопасности постепенно угасает, сдавая позиции прикладной безопасности, теме compliance, стандартой и т.д. Но зарабатывать как-то надо и поэтому NSS стала расширять спектр своей деятельности - она ввела сертификацию Web Application Firewall, UTM, средств защиты контента.И вот недавно NSS объявила о том, что она будет проверять соответствие...
28.6.08
Fortinet покупает активы IPLocks
Китайская компания Fortinet покупает американские и английские активы частной компании IPLocks, которая работает в области оценки, мониторинга и аудита баз данных с точки зрения безопасности. Финансовые детали сделки не разглашаются.По оценке Canalys 99% всех продаж Fortinet. Поэтому выход на рынок прикладной безопасности, сделанный вслед за Cisco и другими компаниями является вполне логичным и закономерным. Сложно сказать, насколько данный шаг позволит компании занять свое место под солнцем, но китайские методы ведения бизнеса говорят о том, что...
Вы идиот безопасности...
У Антона Чувакина в блоге появился классный мини-тест на тему "Идиот ли вы в области безопасности". Если хотя бы на один вопрос вы отвечаете положительно, то увы...Читать здесь...ЗЫ. А тут очередной укол в сторону CISSP ...
22.6.08
Стандартизация в ИБ - лед сдвинулся
Не раз я писал про то, что уровень стандартизации в области ИБ не так высок, как в других отраслях. В частности у нас отсутствуют стандарты на обмен сигналами тревоги между решениями разных фирм. Когда-то был стандарт RDEP, разработанный Cisco. Потом RDEP был поддержан NFR, ISS, Sourcefire и на его основе родился SDEE. Но и его постигла судьба RDEP - кроме Cisco его никто не использовал. Отчасти потому, что стандарт, разработанный конкретной компанией, мало кто поддерживает из конкурентов (даже если стандарт хорош).Но сейчас ситуация меняется и...
17.6.08
4 документа ФСТЭК: краткий анализ. "Методика определения актуальных угроз"
Итак, не без помощи добрых людей, удалось раздобыть 4 документа ФСТЭК, которые расширяют уже неоднократно упоминаемый мной "приказ трех". Прочтя их, решил поделиться кратким анализом. Итак, документ первый - "Методика определения актуальных угроз".Начну с того, что методика ориентирована в т.ч. и на физлиц, исключая случаи создания информационных систем персональных данных (ИСПДн) для личных и семейных нужд.Угрозой безопасности ПДн называется не только их утечка, но и иные несанкционированные или непреднамеренные воздействия на информацию. С одной...
4.6.08
Классификация информации
По заказу портала bankir.ru сотворил я нечто под названием "Классификация информации: что, зачем, кто, как и с помощью чего?", которая из обычной статьи на 3-4 страницы вылилась в некий "труд" на 18 листов. Мне даже самому понравилось ;-)Постарался учесть различные аспекты данной непростой задачи:- маркировка- жизненный цикл документа в компании- кто должен присваивать класс информации- классификация по разным признакам; не только конфиденциальности- пересмотр класса информации- проблемы классификации- как быть, если на одной странице документа...
Подписаться на:
Сообщения (Atom)
