В статье LETA-IT про риски есть здравая мысль, что вероятность риска ИБ посчитать нереально. А вот дальше делается интересный вывод/предложение - заменить вероятность риска на силу защитных мер. Дословно это звучит следующим образом - "можно порекомендовать подход, основанный на том, что вероятность реализации угрозы напрямую зависит от того, насколько мощными являются защитные меры, применяемые в организации". Зависимость разумеется есть, но она не прямая. Вероятность осуществления риска зависит в первую очередь от того, хочет ли злоумышленник...
27.2.09
CISSP больше не котируется среди специалистов
SANS опубликовал свой ежегодный отчет по зарплатам специалистов по ИБ в Штатах. Из ключевых вещей можно выделить следующие:ИБ - высокооплачиваемая специальностьдля 4/5 специалистов, принимающих на работу безопасников, сертификация по ИБ является полодительным дифференциатором, а для 41% компания - поводом к повышению зарплатыНа 2009 год самыми интересными для обучения являются тесты на проникновение, обнаружение атак и расследование компьютерных преступлений.17,4% всех респондентов опроса (читай специалистов по ИБ) - представительницы прекрасной...
26.2.09
Что будет с безопасностью через 100 лет?!
На Network World опубликована перчая часть статьи про то, что будет в безопасность в 2109 году. Интересное чтение ...
Проводи аудит и возврат финансов составит 10000%
IT Policy Compliance Group провела исследование на тему "Managing Spend on Information Security and Audit for Better Results" (российские СМИ, правда, его называют "Risk-based Performance Budgeting for Information Security and Audit in IT" ;-) Результаты исследования выглядят солидно - 30 с лишним страниц, куча графиков и таблиц... Но вот как ЭТО считали я так и не до пер. Суть отчета простая - проводите аудит и анализ риска и вы не только сэкономите на затратах на ИБ, но и получите возврат финансовых средств. Причем в умопомрачительных масштабах...
25.2.09
Хакеры взломали Symantec
Румынский хакер взломал сайт Symantec, повторив подвиг 1999 года (ответ Symantec). Полутора неделями ранее был взломан сайт американского офиса Лаборатории Касперского (официальный ответ ЛК), а 12-го и 16-го февраля - сайты F-Secure и BitDefender (официальных ответов этих компаний я не нашел).Забавно, что параллельно с этими взломами я отправил в bankir.ru миф про то, что компании, занимающиеся ИБ, не ломают ;-)ЗЫ. Я регулярно читаю портал itoday.ru. Позавчера обнаружил, что при заходе на него, Firefox выдает сообщение, что этот сайт подозрительный...
Мифы 16-18
Наконец-то bankir.ru возобновил публикацию мифов. Очередная тройка:Антивирусы обнаруживают 100% вирусовСлужба ИБ имеет право читать электронную почту своих сотрудниковАнтивирусы умеют обнаруживать неизвестные виру...
24.2.09
AVG купила Sana Security
AVG, антивирусный вендор второго эшелона, купил малоизвестного производителя HIPS - компанию Sana Security, продукция которой была ориентирована на частных пользователей. В России ни тот, ни другой вендор не известны, т.к. работают на рынке SOHO, который в России не разви...
StillSecure покупает ProtectPoint, а TrustWave поглощает Mirage Networks
StillSecure купила компанию ProtectPoint Security, предлагавшую услуги аутсорсинга безопасности (Managed Security Services). Эта сделка лишний раз подтверждает тезис о том, что в условиях кризиса даже небольшие компании могут рассчитывать на приобретение менее удачливых своих коллег, а также тезис о том, что MSS является одним из 6-ти направлений, которые ждет активный процесс консолидации в ближайшее время.В свою очередь TrustWave объявила 17-го февраля о поглощении Mirage Network, разработчика одной из NAC-реализаций. Зачем это TrustWave не совсем...
Инвестиции в информационную безопасность растут
В условиях кризиса возрастает опасность ИТ-саботажа, утечек информации и иных внутренних угроз, а следовательно растет интерес к технологиям безопасности и фирмам, их предлагающим. Это в свою очередб подхлестывает интерес венчурных фондов к инвестициям в это перспективное направление. В частности, начиная с октября этого года, инвестиции в ИБ составили 149 миллионов долларов, которые получили 15 зарубежных небольших компаний, трудящихся на ниве ИБ. Среди них как известные игроки этой отрасли (Palo Alto, Finjan или StillSecure), так и стартапы...
20.2.09
Интересное сравнение подходов к ИБ в России и США
Наткнулся на Компьютерре на интересное сравнение подходов двух вновь избранных президентов США и России к информационной безопасности. И добавить практически нече...
Ролик по ИБ получил награду
Я уже писал о том, что ролик "Inadvertent Disclosure", который создали наши подразделения Cisco Security Programs Organization и Cisco Global Government Solutions Group, получил награду Crystal Award. И вот новая награда - International Film & Video Award. Теперь от New York Festivals 2009.Интересно, что среди финалистов был еще один ролик по безопасности - от Ростелекома. Он был посвящен услуге IP V...
19.2.09
Информзащита создала новую компанию
Информзащита создала новую компанию - "Код безопасности", выведя в нее всех своих разработчиков. Очевидная мотивация простая - "Кесарю кесарево", т.е. каждая компания холдинга должна концентрироваться на своем направлении - сама Информзащита на интеграции, УЦ - на обучении, НАЦ - на аттестации, TrustVerse - на разработке своей ОС, SafeLine - на дистрибуции.Хотя нельзя исключить и более глубинные мотивы. Выделение департамента разработки в отдельную компанию может привести к изменению в лучшую сторону финансовых показателей материнской компании...
18.2.09
Лучшие практики по борьбе с внутренними угрозами
Часто координационный центр CERT воспринимается многими специалистами, как организация, которая анализирует инциденты ИБ и публикует статистику в этой области. Отчасти это так. Но гораздо полезнее материалы, которые публикует CERT по совершенно иным вопросам. В частности недавно CERT опубликовал уже третью редакцию (версия 3.1) своего отчета "Common Sense Guide to Prevention and Detection of Insider Threats".88-тистраничный отчет отвечает на многие интересные вопросы:что такое внутренняя угроза и кто такой инсайдер (в контексте ИБ)?насколько реальна...
17.2.09
ИБ в условиях кризиса
"Желание быстро сократить затраты и отчитаться перед руководством, как и практика равномерного снижения затрат по всем направлениям в компании, неэффективны и часто приводят к тому, что руководители служб ИБ закрывают важные долгосрочные проекты. Кажущиеся мало- или неэффективными проекты, которые могут принести существенную выгоду через год-другой, тоже лучше не сокращать. Это искушение надо побороть, т.к. вы можете оказаться в условиях, когда, вернувшись в нормальное русло, вам придется начинать все с нуля, что потребует еще больших затрат, чем...
16.2.09
Как отечественные компании на практике выполняют закон о ПДн
Infowatch запустил собственный блог. Очень интересные заметки и наблюдения по ситуации с утечками различных видов информации и тайн. Одно из интересных исследований посвящено тому, как выполняются требования нового закона "О персональных данных" в части прав граждан на получение информации. Очень показательное исследование...
Новости про персданные
По последней информации, вторая версия документов по персданным будет доступна в апреле. Из 4-ки коренные преобразования коснулись двух творений - "рекомендаций..." и "основных мероприятий...". Документы будут выложены на сайт ФСТЭК!!! Неслыханное дело. Если они еще проведут их через МинЮст и их подпишет директор ФСТЭК, а не его зам, то наступит хана - они станут обязательными ...
13.2.09
Нестандартный маркетинг по ИБ
Время стандартных маркетинговых & рекламных коммуникаций прошло. Сегодня в моде совершенно иные подходы к рекламе своей продукции. Для Cnews я готовил прошлым летом статью с обзором новых маркетинговых ходов - блоги, игры, фан-клубы, wizard'ы и т.д. Одним из инструментов, которым охотно пользуются компании, является YouTube.
Я уже размещал ролик про Джеймс Бонда. И вот новое творение на YouTube ;-)
А завтра будет еще один прикольный ролик ;...
Новый список сертификатов ФСТЭК
На сайте ФСТЭК опубликовали новый список сертификатов, который не обновлялся с прошлого апреля. Из интересных вещей хочу отметить две:В списке помимо класса сертифицированного изделия теперь стали указывать класс ИСПДн, в которой можно использовать данное средство защиты. Причем это сделано и для уже выданных сертификатов, так что можно сделать вывод, что этот текст врядли повторен и в самом сертификате. Это скорее рекомендация ФСТЭК. Хотя я не до конца понимаю, почему МСЭ 3-го класса рекомендуют использовать в ИСПДн 2-го класса включительно, хотя...
12.2.09
УРСА Банк нарушил закон о ПДн
УРСА Банк нарушил закон 152-ФЗ «О персональных данных». В прокуратуру Новосибирской области направлены материалы по результатам проверки ОАО «УРСА Банк» в сфере обработки персональных данных для решения вопроса о возбуждении дела об административном правонарушении по ст. 13.11 КоАП в отношении указанного юридического лица, а также должностных лиц.Причина такого поворота дел непонятна – то ли сознательный или обиженный гражданин попался, то ли происки конкурентов. Но факт есть фа...
11.2.09
Тест на CISM
На сайте ISACA размещен тест, который позволяет вам проверить себя, насколько вы подходите к сдаче теста на статус CISM (Certified Information Security Manager). Считается, что он, в отличие от CISSP, больше подходит руководителям служб ИБ.Вопросы теста разбиты на 5 частей:Information Security Governance, т.е. ИБ в контексте корпоративного управленияInformation Risk ManagementInformation SecurityProgram DevelopmentInformation SecurityProgram ManagementIncident Management and Response.Сдав тест "с ходу", я заработал 70%. Результаты высветили те...
10.2.09
Концепция аудита ИБ от ФСТЭК
Совершенно случайно наткнулся на сайте ФСТЭК на проект "Концепции аудита ИБ систем информационных технологий и организаций", который разработан НПФ Кристалл (они же основные разработчики стандарта Банка России по ИБ).Дословно я не вчитывался, но беглый просмотр документа показывает, что читать западные стандарты у нас научились. Везде идут отсылки на стандарты BSI (PD 3003, 3004), ISO 17799, CoBIT, ФЗ "Об аудиторской деятельности", стандарты аудита российской коллегии аудиторов, федеральные правила аудиторской деятельности, цикл PDCA и т.п.В общем,...
9.2.09
Безопасность персданных по версии Великобритании
Британский институт стандартов (BSI), известный своими стандартами по управлению ИБ, опубликовал на своем сайте проект стандарта BS 10012 "Specification for the management of personal information in compliance with the Data Protection Act 1998", описывающий рекомендации по защите персональных данных.Этот документ, все пункты которого привязаны к классическому циклу PDCA, в отличие от документов российских регуляторов, не предписывает и не указывает, как конкретно вы должны защищать персональные данные вплоть до используемой длины пароля. Скорее...
4.2.09
Новый журнал по безопасности
В России стал издаваться новый журнал по безопасности - "Директор по безопасности". Вчера открылся их са...
Новый Интернет-ресурс по защите информации ограниченного доступа
В январе 2009 года начал работу специализированный тематический сайт по защите информации ограниченного доступа в рамках корпоративного портала компании "Информзащита". Посетители сайта www.zki.infosec.ru могут получить квалифицированную консультацию специалистов компании «Информзащита», задав свои вопросы Михаилу Емельянникову, ведущему эксперту по теме «защита информации ограниченного доступа», а также техническим специалистам компании, занятым в проектах по созданию защищенных систем, ознакомиться с публикациями и новостями, получить информацию...
3.2.09
Мифы 12-15
Совершенно забыл про эту порцию мифов, опубликованных еще в декабре:Антивирусные компании всегда знают об всех вредоносных программах2 МСЭ лучше, чем один (вызвал очень бурную дискуссию)Сообщениям электронной почты можно доверять конфиденциальную информациюЯ могу без всякого риска открывать почтовые сообщения от известных адреса...
2.2.09
Операторы большой тройки забили болт на регуляторов по персданным
Еще когда только вышел ФЗ-152, а затем и первая версия четверокнижия (сейчас выпущена вторая версия), многие операторы связи (и не только) справедливо возмутились, т.к. для них ФЗ-152 невыполним и надо что-то делать. И вот что-то сделали ;-)В Ведомостях опубликовали статью, согласно которой Инфокоммуникационный союз выбрал разработчика стандарта для всей телекоммуникационной отрасли. Им стала компания ReignVox, созданная осенью 2008 года двумя интеграторами - Bell Integrator и РНТ.Эта очень интересная новость и вот почему:По словам представителя...
1.2.09
Бизнес-модель информационной безопасности
ISACA опубликовала достаточно интересный документ под названием "An Introduction to the Business Model for Information Security", который описывает бизнес-модель информационной безопасности. Всегда восхищался людьми, которые могут графически просто изобразить сложную задачу или процесс. Представленная ISACA (правда они сами ее позаимствовали) модель очень наглядно иллюстрирует различные аспекты ИБ в компании и ее связь с бизнесом.Мы имеем всего 4...
Подписаться на:
Сообщения (Atom)
