30.1.10

Анекдот (баян, но про ИБ)

1. Одна человеческая клетка содержит 75Мб генетической информации. 2. Один сперматозоид содержит 37.5Мб. 3. В одном миллилитре содержится около 100 млн сперматозоидов. 4. В среднем, эякуляция длится 5 секунд и составляет 2.25 мл спермы. 5. Таким образом, пропускная способность мужского члена будет равна (37.5Мб x 100M x 2.25)/5 = (37 500 000 байт/сперматозоид x 100 000 000 сперматозоид/мл x 2.25 мл) / 5 секунд = 1 687 500 000 000 000 байт/секунду = 1,6875 Терабайт/с Получается, что женская яйцеклетка выдерживает эту DDoS-атаку на полтора терабайта...

29.1.10

О рекомендациях ЦБ/АРБ по персданным

Меня часто спрашивают, а где те рекомендации ЦБ/АРБ, о которых я часто упоминал и которые должны были быть готовы в декабре 2009-го года? Думаю, пора ответить всем ;-) Из преамбулы: с целью выработки конкретных рекомендаций по выполнению требований ФЗ "О персональных данных" и требований ФСБ России, ФСТЭК России и Роскомнадзора, а также с целью устранения типовых ошибок организаций банковской системы РФ, допускаемых при реализации законодательства в области персональных данных, Банком России и Ассоциацией российских банков разработан и согласован...

28.1.10

Рекомендации по ПДн для операторов связи (НИР "Тритон")

Вчера мы рассмотрели "рекомендации" Leta-IT по линии персданных. Сегодня пришел черед для рекомендаций Инфокоммуникационного союза, который некоторое время назад инициировал проект "Тритон", целью которого было разработать Концепцию защиты персональных данных в информационных системах персональных данных операторов связи. Я год назад писал про этот проект и вот сейчас появилась определенная ясность в результатах его работы. Пока эта работа не финализирована и идет согласование с регуляторами (ими были высказаны некоторые замечания к подготовленным...

27.1.10

Рекомендации по ПДн имени Леты

Наверное уже все видели/слышали про 80-тистраничные рекомендации компании Leta-IT по выполнению требований ФЗ-152. Если не брать в расчет несоблюдение федерального закона об использовании государственной символики, то данные рекомендации направлены на описание 11-ти шагов, которые должен пройти оператор ПДн для выполнения требований ФЗ-152: Шаг 1. Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн  Шаг 2. Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения...

26.1.10

Очередной "клуб" специалистов по ИБ

Создалось некое некоммерческое партнерство специалистов ИБ.  Как написано на сайте "на сегодняшний день - это сообщество профессионалов, формирующих видение и профессиональное мнение по различным проблемным вопросам в сфере информационной безопасности, а также клуб для общения и обмена опытом между специалистами в области ИБ". Как-то ни о чем ;-( Даже не отстаивание своего мнения, а просто формирование... Пока на сайте партнерства есть только очередной клуб специалистов ИБ в форме форума. Для чего, зачем все это затеяно непонятно. У нас...

25.1.10

Минкомсвязи обеспокоено...

Минкомсвязи России обеспокоено ростом числа случаев незаконного использования сетей операторов подвижной радиотелефонной связи для рассылки недобросовестной рекламы и сообщений мошеннического характера.   Так что жалуйтесь оператору...

За разглашение гостайны - предупреждение, а сертификационные лаборатории - это фикция

20-го числа министр связи и массовых коммуникаций отчитывался перед депутатами об отрасли связи. Из интересных цитат: "В 2009 году за распространение запретной информации, представляющей государственную тайну было вынесено 23 предупредения". А раньше за это сажали или расстреливали... А наш Президент высказался о большинстве сертификационных центрах в России (по разным направлениям сертификации) следующим образом: "Большинство сертификационных центров - фиктивные конторы. Они имеют договоры с лабораториями, а эти лаборатории часто просто не существуют...

23.1.10

Взлом систем управления мостом, управления трафика, Порша и т.п.

Правда это или вымысел? ...

22.1.10

Вы попали... в сводный план проверок на 2010 год?

Я уже писал про приказ Генпрокуратуры и сводном плане проверок. И вот теперь стали известны результаты сведения всех заявок от всех регуляторов в единый план. С момента, как заработал Федеральный закон "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля", прокуроры рассмотрели больше 37 тысяч обращений всевозможных контролирующих органов федерального, регионального и муниципального уровней. Все обращения касались прописанного в законе согласования на проведение...

21.1.10

Заметки о стартапах по безопасности: почему их мало и почему они не всегда выживают

Я уже не раз писал, что в России за последнее время поднялось немало стартапов по информационной безопасности, которые создаются бывшими сотрудниками интеграторов (чаще всего) и производителей (реже) ИБ. Но далеко не все из этих стартапов выживают или выходят на нормальные бизнес-показатели. Почему? Ответ на это дан в блоге "Записки стартаперов". Рекомендую всем, кто задумался или уже влез в авантюру под названием "свой бизнес" ;-) Недавно мне задали вопрос: а почему ты не создашь свой бизнес. Наверняка, народ пойдет. Наверное. Тем более, что...

20.1.10

Symantec покупает Gideon, а TrustWave покупает BitArmor

Я уже писал о технологических стандартах ИБ, продвигаемых NIST и MITRE, и ориентированных на различные аспекты управления уязвимостями. За это время появились различные программные средства, автоматизирующие этот процесс. Одно из них предлагала компания Gideon Technologies (в России неизвестна). И вот 12-го января компания Symantec объявила о покупке Gideon. Условия сделки не разглашаются. Также 12-го января известная западная консалтинговая компания TrustWave, объявила о покупке BitArmor, известной на Западе своими решениями в области шифрования...

19.1.10

Всех с Крещением

Праздник Крещения ряд сотрудников Cisco (особенно причастных к безопасности во всех ее проявлениях в нашей компании), и я в том числе, решили отметить православное Крещение традиционно - купанием в проруби! Всех с праздником...

Информационная безопасность: надо ли защищать не информацию?

Информационная безопасность, защита информации... казалось бы очевидно, что эти дисциплины ориентированы на обеспечение сохранности информации. Но надо ли нам защищать не информацию? Вопрос не праздный. На него натолкнула меня вчерашняя тема и начавшаяся дискуссия на bankir.ru. Возьмем к примеру установку на компьютере пользователя компании ботнет-клиента, который ничего не крадет, а используется для рассылки спама или генерации DDoS-атак. Он не имеет доступа ни к какой информации, но это не значит, что мы не должны защищаться от этой проблемы....

18.1.10

В ГосДуму внесен новый законопроект "Об электронной подписи"

20-го января в ГосДуме будет рассматриваться новый законопроект "Об электронной подписи", внесенный в ГД 25-го декабря 2009 года. Комитет по финансовым рынкам рекомендовал ФЗ принять к рассмотрению. Параллельно с этим законопроектом в ГД также внесен законопроект № 305604-5 "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "Об электронной подпис...

Что защищает ИБ или сколько стоит информация?

На банкире началось (тут и тут) дискуссия о том, что же такое информационная безопасность. Не знаю, куда она заведет, но я решил пойти еще дальше и подумать, а что же мы защищаем и почему? Что? Понятно - информацию. Зачем? Тоже понятно - потому, что она стоит денег и с ее помощью мы получаем какие-то преимущества, блага и т.п. Но почему мы должны защищать именно эту информацию, а не другую? И сколько тратить на ее защиту? Ведь классический принцип "защита не должны стоить дороже защищаемой информации" не подвергается сомнению никем, но и никем...

16.1.10

О порно, люминесценции и безопасности

Все уже наверное слышали про порно, демонстрируемое на рекламном экране, установленном на Садовом кольце. Запись сего действия сразу же появилась в Интернете. Версий произошедшего две. Первая - банальные хакерские проделки. Вторая - дележ рекламного рынка. Такого рода акции могут негативно сказаться на репутации рекламного агентства, что может повлиять на расценки на рекламу. Такие прецеденты уже были в прошлом году. Параллельно с этим стало известно о том, что 14 января 2010 года терминал автобуса, следующего по маршруту № 36 в Липецке, выдавал...

15.1.10

Мифы 61-63

Новые мифы: Сервер управления IP-телефонией можно перегрузить большим числом звонков К IP-телефонам можно осуществить несанкционированный доступ На эксплуатацию средств шифрования требуется лицензия ЗЫ. На bankir'е произошли некоторые изменения и ввиду роста авторов, желающих там публиковаться, bankir.ru было принято решение о снижении частоты публикации "мифов". Сейчас там вывешен 63-й миф, а отдано уже далеко за 80. По этой же причине нами совместно было принято решение о снижении числа мифов до 10...

14.1.10

ITSM по-крупному (русскоязычная версия)

Публикую русскоязычную версию опубликованного вчера документа. За помощь в переводе благодарю Василия Томилина. ITSM Best Practices (Rus)                                                                                        ...

13.1.10

ITSM по-крупному

Нашел интересный документ - обзор практически всех составных частей ITSM. Безопасность там занимает тоже немалое место. ITSM Best Practices ...

12.1.10

Новый отечественный сайт по безопасности VMware

По адресу: http://www.vmwaresecuritygroup.ru/ запущен новый отечественный сайт по безопасности VMware. UPDATE: Сайт поменял свой адрес на VirtualizationSecurityGroup.Ru...

EMC покупает Archer

4-го января компания EMC анонсировала покупку канзасскую компанию Archer Technologies, известную на Западе своим IT GRC-решением. Это решение дополнит SIEM-решение RSA, подразделения E...

11.1.10

Неприятная тенденция - от безопасников избавляются

Два неприятных инцидента, которые показывают, что безопасность - это сложное и опасное занятие. В одном случае за правду уволили сотрудника ИБ КАМАЗа, в другом - руководителя ОТЗИ ГУ БР по Ленинградской облас...