В пятницу я выступал на отличном мероприятии в Казани - IT & Security Forum. Тема презентации была посвящена вновь измерению эффективности ИБ. По сути только сейчас удалось создать некую рамочную модель любого измерения в ИБ. Достаточно определить четыре ключевых элемента - что такое ИБ, что такое эффективность, что такое измерение и какие цели ИБ мы хотим достичь. Ответив на эти 4 вопроса, мы получаем возможность измерить практически все, что угодно в области ИБ, включая и многие финансовые вопросы. Вот этой рамочной модели и была посвящена...
28.5.10
Новости ФСТЭК
3 июня планируется совещание во ФСТЭК с участием представителей органов по сертификации, на котором планируется представить проекты двух новых руководящих документов - по антивирусам и по системам обнаружения атак.
Не прошло и десяти лет, как говорится. Проект РД по антивирусам был уже давно и вот только сейчас его решили выпустить в свет. Ну а по IDS/IPS давно был профиль защиты. Но видимо идея перехода на Общие критерии в России умерла, не родившись, и ФСТЭК снова вернулся к практике выработки РД.
Ждемс...
Человек заразился компьютерным вирусом...
По словам профессора из университета Ридинга, он заразил себя сам, вживив себе под кожу чип, содержащий вредоносную программу.
В ходе испытаний Марк Гассон доказал, что он может передавать вирус на компьютеры, оснащенные системами внешнего ввода информации. В частности, профессору удалось взломать двери, запертые с помощью электронного звонка, и передать вирус на свой мобильник.
Профессор отмечает, что его исследование может быть важным в области медицины, передает Би-би-си. Доктор Гассон заявил, что кардиостимуляторы и другие электронные имплантанты...
27.5.10
О так называемой поддержке ГОСТа в западных криптосредствах
Честно говоря, не хотел я поднимать эту тему - ну прошелся по ней в мифах один раз, ну и ладно. Оказалось нет, не ладно. Слишком много в последнее время пошло злоупотреблений на эту тему. Да и потребители стали воспринимать за чистую монету рекламу многих компаний, реализовавших ГОСТы в своей продукции. Чтоже на самом деле?
Как поступает большинство вендоров (преимущественно западных, но и российские не брезгуют этим подходом)? Они встраивают в свои решения поддержку отечественных криптоалгоритмов. Сделано это с помощью сертифицированных в ФСБ...
26.5.10
McAfee покупает Trust Digital
25-го мая McAfee объявила о приобретении компании Trust Digital, специализирующейся на защите и управлении мобильных устройств. McAfee рассчитывает усилить свои позиции на рынке защиты iPhone, Android, Symbian и Windows Mobile. Детали сделки не разглашаю...
Признаем ли мы сертификаты других стран?
4 мая Президент направил в ГосДуму законопроект № 368896-5 "О ратификации Соглашения о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия".Текст законопроект краток: "Ратифицировать Соглашение о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия, подписанное в городе Санкт-Петербурге...
25.5.10
О ПДн авиапассажиров
В Госдуму поступил законопроект № 373481-5 "О внесении изменения в статью 85-1 Воздушного кодекса Российской Федерации (об уточнении порядка передачи персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных)".
Текст изменения "В целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной...
24.5.10
Oracle покупает Secerno
20 мая компания Oracle объявила о покупке компании Secerno, специализирующейся на безопасности баз данных. Точнее Secerno разработала межсетевой экран для Oracle и других баз данных. Детали сделки не разглашают...
21.5.10
Symantec покупает бизнес VeriSign
Не прошло и месяца с покупки Symantec'ом компаний PGP и GuardianEdge, как желтый гигант купил бизнес Verisign по аутентификации и идентификации, который включает сервис Secure Sockets Layer (SSL) Certificate, сервис Public Key Infrastructure (PKI), сервис VeriSign Trust и сервис VeriSign Identity Protection (VIP) Authentication. Сумма сделки - 1,28 миллиарда наличны...
20.5.10
Обновление курса по моделированию угроз
Как показал опыт, выкладывание курса по моделированию угроз в свободный доступ, не сделало поток желающих прослушать его меньше. Вчера я читал его в Институте банковского дела АРБ, а в начале июня - будет курс в Екатеринбурге. Также есть запросы на него из Нижнего и Перми.
Я все время поддерживаю курс в актуальном состоянии и недавно вышла версия 1.4, которая пополнилась описанием моделей угроз и подходов по моделированию угроз РС БР ИББС-2.4, НИР "Тритон" (а также модели угроз РНТ) и методика моделирования (и сами модели) Минздравсоцразвития.
ЗЫ....
19.5.10
Как разработать отраслевой стандарт по ПДн?
Вчера выступал на одном мероприятии, где рассказывал об опыте создания отраслевых стандартов по защите персональных данных.
Vertical approaches for personal data standartization
View more presentations from Alexey Lukats...
18.5.10
Мифы 76-78
Новые мифы:
Операционная система Linux не может быть заражена вирусами
Наша система <имярек> не подвержена вирусам
В сертифицированных системах шифрования есть лазейки для ФС...
17.5.10
Как регулировать рынок ПДн в Интернет?
В четверг выступал на российском форуме по управлению Интернетом (RIGF 2010) с обзором подходов к управлению privacy (включая ПДн) в Интернете. За основу взял исследование Университета Гарварда.
Privacy approaches
View more presentations from Alexey Lukats...
15.5.10
14.5.10
Не используешь пароль - плати штраф. Таков вердикт Верховного Суда
Немецкий Верховный Суд постановил, что в Интернет пользователи обязаны использовать защищенные беспроводные соединения. В противном случае нарушитель может быть оштрафован на сумму до 100 ев...
13.5.10
Можно ли при годовом доходе в 1,3М рублей купить Infiniti FX 35?
Повинуясь Указу Президента Российской Федерации от 18 мая 2009 г. № 561, ФСТЭК разместила на своем сайте сведения о доходах, об имуществе и обязательствах имущественного характера федеральных государственных своих служащих, а также их супругов и несовершеннолетних детей за период с 1 января 2009 г. по 31 декабря 2009 г.
Все, аки агнцы ;-) Живут на зарплату, ездят на отечественных ВАЗах и ГАЗах, большими участками не владеют, квартир по одной и то в долевой собственности с супругой. Приятно смотреть, если честно. Самый крупный доход - 1,8 миллиона...
12.5.10
Sophos продал контрольный пакет акций
Известный антивирусный вендор, компания Sophos, договорилась в начале мая о продаже контрольного пакета акций компании Apax Partners. Детали сделки не разглашают...
11.5.10
Мифы 73-75
Новые мифы:
Zero Day атаки являются основной проблемой для служб ИБ
Вирусы и вредоносное ПО - самый опасный бич сетей
Одно устройство, включающее все функции безопасности, выгоднее чем несколько устройст...
7.5.10
Huawei опять подозревают в шпионаже
Правительство Индии запретило местным телекоммуникационным компаниям покупать произведенное в Китае оборудование. В число пострадавших попали такие крупные китайские производители, как Huawei и ZTE, чьим оборудованием пользуются также и российские сотовые операторы. Впрочем, запрещать ввоз российские власти пока, судя по всему, не собираются.
Причем это уже не первый случай подозрений китайской компании в шпионаже. Пару лет назад австралийское правительство сделало аналогичное заявления. А до этого американский Конгресс проводил расследование...
6.5.10
Резниковский законопроект по ПДн - зеленый свет дан. Часть II
Итак законопроект Резника, о котором мы недавно дисскутировали, принят в первом чтении. В тридцатидневный срок со дня принятия постановления должны быть представлены поправки к законопроекту.
Также по теме ПДн был внесен законопроект "О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения правовых оснований обработки персональных данных при проведении переписи населения, а также уточнения порядка заполнения переписных листов...
4.5.10
Украли ключи ЭЦП? Пусть платит банк!
Достаточно интересный поворот в развитии презентации по заблуждениям банковской безопасности. Сначала на банкир.ру была дискуссия с разработчиком одной системы АБС/ДБО о несанкционированном переводе средств и токенах с неизвлекаемыми ключами ЭЦП. Так и не пришли мы к взаимопонимаю о том, кто же виноват в том, что деньги сняли со счета клиента - сам клиент, банк или разработчик системы ДБО.
Но вот масла в огонь подлил Василий Окулесский, руководитель службы ИБ Банка Москвы, на конференции Visa и МНУЦИБ, где привел интересную статью из ГК, согласно...
Подписаться на:
Сообщения (Atom)
