31.3.11

ФЗ об электронной подписи принят в 3-м чтении

Итак, ФЗ "Об электронной подписи" принят ГосДумой в третьем чтении, а вчера прошел и Совет Федерации. Описание основных моментов тут, а краткий анализ, сделанный Александром Бондаренко т...

30.3.11

Отношение к ИБ в США и России

Находясь в США видишь разницу в отношении к ИБ с Россией. У нас это удел специализированных журналов и выставок, а там ИБ рекламируют для широкой аудитории и не видят в этом ничего зазорного. В аэропорту Лос-Анджелеса или Сан-Хосе висит реклама средств борьбы с угрозами для e-mail. На 101-м шоссе висит неоновая и манящая реклама ИБ-вендоров. Аналогичную ситуацию я наблюдал и в Лондоне.А у нас? Из всех игроков рынка такой способ донесения информации о себе "активно" использует только Касперский, вывешевия по дороге в московские аэропорты рекламу...

29.3.11

Зачем Ethernet в самолете?

Летел сегодня в США Аэрофлотом. Новый 330-й. И на каждом кресле 2 порта - USB и Ethernet. С USB я еще могу понять - зарядка и все такое. Но зачем в самолете Ethernet? Неужели общение по сети - это такая востребованная штука? Но ее можно реализовать и по иному. Например, в Emirates можно просто общаться между местами с помощью сервиса а-ля SMS. Но сеть-то зачем? Доступ в Интернет? Не уверен, что в эконом-классе это востребовано... На обратном пути...

Облачная безопасность RISSPA

3 недели назад в офисе Cisco проходил семинар RISSPA, посвященный облачной безопасности и открытию российского отделения Cloud Security Alliance. Отличный фоторепортаж с мероприятия тут. Там же выложены презентации и ссылка на запись Cisco Webex.- Posted using my iPh...

25.3.11

Длина ключа: какой ей быть?

Интересный анализ опубликован у нас на сайте. В нем проводится исследование того, какие длины ключей для каких криптоалгоритмов являются адекватными на сегодняшний день и на ближайшие 3-4 года. Конечно про ГОСТ там ни слова, но все равно интересно. Хотя хочу заметить, что для большинства приложений DESа по-прежнему хватает за глаза ибо ломать криптографию в лоб мало кому нужно и захочется. Жаль, что ФСБ такого публичного анализа не имеет. - Posted using my iPh...

McAfee покупает Sentrigo

23 марта McAfee, являющаяся частью Intel, объявила о желании купить частную компанию Sentrigo, которая предлагает полный спектр защитных технологий для СУБД - анализ защищенности, мониторинг активности, виртуальные патчинг и т.д. Детали сделки не разглашают...

24.3.11

Защищенный мобильный офис

Во второй день CSO Forum должно было быть мое второе выступление, посвященное защищенному мобильному офису. Так получилось, что у меня было другое выступление и я попросил Мишу Кадера выступить вместо меня. По его словам на последний доклад (а он был именно последним) осталось всего около 20-ти человек и то, многие спали ;-( Поэтому презентацию увидели не все участники CSO Forum. Дабы устранить эту несправедливость, выкладываю ее тут. Secure Mobile Office View more presentations from Alexey Lukatsky. ЗЫ. Вообще CSO Forum в этом году мне категорически...

23.3.11

Безопасность социальных сетей

Сегодня у меня должно было быть выступление на Call Center Forum 2011 с докладом по безопасности социальных сетей. Выступить не удастся по причине участия в другом мероприятии, но презентацию выкладываю. Social network security View more presentations from Alexey Lukats...

22.3.11

Контроль электронной почты создает одни проблемы

Доклад Generation Gmail Report, представленный компанией Mimecast, показал, что компании должны предоставлять гибкие возможности использования электронной почты своим сотрудникам, если они хотят избежать утечки таких данных. В отчете сказано, что сотрудники отделов IT ведут бесполезную борьбу в попытках удержать пользователей от ненадлежащего использования e-mail только с помощью политик ограничения. Было выявлено, что сотрудники хотят использовать корпоративную электронную почту так же свободно, как и личную. Если они не могут работать так,...

21.3.11

Мое выступление на CSO Forum

 Сегодня в 10.40 я выступаю на CSO Forum с презентацией "Что на повестке дня директора ИБ на ближайшие 2 года?" What is CISO schedule for nearest two years? View more presentations from Alexey Lukatsky...

16.3.11

Интересные цифры

Согласно статистике Frost & Sullivan в мире в прошлом году насчитывалось около 2.28 миллионов специалистов по ИБ (к 2015-му их должно быть 4.2 миллиона). Если разделить это число количество узлов в Интернет и число жителей Земли, то получится, что один специалист по ИБ обслуживает 359 узлов и 3029 человек. О к...

15.3.11

Новый сертификат ФСБ на модуль шифрования Cisco

С радостью сообщаю, что модуль NME-RVPN (в исполнении МСМ) для маршрутизаторов ISR и ISR G2 28-го февраля получил новый сертификат ФСБ. Если раньше модуль был сертифицирован по классу защиты КС1, то сейчас уровень защиты повышен до КС2. Основное изменение касается банков, которым стандартом Банка России было предписано применение VPN-решение классом не ниже КС2. Теперь и модуль NME-RVPN и VPN-решение на базе Cisco UCS C-200 сертифицированы по классу К...

10.3.11

Индекс заражения всего мира

В 2009-м году Cisco разработала еще один индекс - Cisco Global ARMS Race Index, созданный по аналогии со шкалой Рихтера по измерению силы землетрясений. Его задача показать уровень заражения сайтов по всему миру вредоносным ПО, управляемым злоумышленниками. В практической деятельности отдельных компаний он малоприменим, но зато полезен в контексте ежегодной оценки тенденций в области угроз ИБ.Вычисляется этот рейтинг, основываясь на размерах текущих...

9.3.11

Бостонская матрица киберпреступников

Есть такая штука как "бостонская матрица" или "матрица BCG" (BCG - Boston Consulting Group), которая применяется в анализе актуальности продуктов/сервисов в бизнесе компании.На основе этой идее эксперты Cisco разработали CROI (Cybercrime ROI) - модель оценки наиболее актуальных с точки зрения прибыльности и распространенности методов, используемых злоумышленниками в своей деятельности. Не новость, но достаточно интересно, - в "звезды" попали Web-уязвимости,...

8.3.11

Запущен сайт АРСИБ

Об АРСИБ я уже как-то писал и вот запущен сайт этой ассоциации - www.aciso.ru. Не буду подробно расписывать, что там есть - просто посмотрите и сами принимайте решение. Из интересного - клуб ветеранов ИБ ...

5.3.11

Голые пароли

Я уже не раз обращался к теме повышения осведомленности пользователей в вопросах ИБ и теме правильного выбора паролей. И вот интересный вариант реализации данной задачи - http://www.nakedpassword.com/ Разработчики из недавно созданной компании Platform45 создали плагин, который достаточно добавить на любой сайт и при вводе пароля пользователи будут визуально видеть сложность своего пароля ;-) Чем сложнее пароль, тем больше одежды снимает девушка по имени Салли ...

4.3.11

Моя презентация с IDC

Завершу эту неделю, прошедшую под знаком Cisco, презентацией, которую я делал на IDC IT Security Roadshow. Кто-то говорит, что я запугал слушателей особенностями действующего законодательства по ввозу криптографии, ее сертификации и т.д. Я считаю, что скорее я открыл глаза ;-) Cisco SecureX in Russia View more presentations from Alexey Lukatsk...

3.3.11

Google покупает Zynamics

1-го марта компания Zynamics из Германии объявила, что ее покупает Google. Причем именно так - не Google объявил, а Zynamics. На сайте Гугла информации об этой покупки нет (!). Ни финансовых деталей, ничего... по всем вопросам просят образаться в PR-службу Google. Сама Zynamics занимается разработкой софта для анализа ПО и бинарников с точки зрения ИБ - поиск уязвимостей, malware и т...

Слайдкаст про западные VPN

Объединив пост вчерашний, понедельничный и от 27 мая 2010 года, был рожден короткий слайдкаст (презентация со звуковым сопровождением). Собственно он повторяет все, что было уже написано, но представлен в иной форме, которая многим удобнее, чем чтение длинных документов и постов в блогах. Также данный ролик выложен на "Facebook" и "ВКонтакте". ЗЫ. Следующим в трилогии будет выложен ролик по нашему совместному решению с С-Терра СиЭсПи – модулю NME-RVPN и VPN на UCS C-200, а финальная часть будет посвящена преимуществам данного решения перед...

2.3.11

Импорт продукции с функцией шифрования

Те, кто читал документ, опубликованный в понедельник, задавали мне вопрос (хотя он задается уже не первый год), а в чем проблема с ввозом западных VPN-продуктов в Россию и почему встраивание туда сертифицированной СКЗИ не решает проблему? Отвечаю - законодательство по использованию СКЗИ и по ввозу СКЗИ - это суть две разные вещи. То, что можно по одному законодательству автоматически не означает разрешение в рамках второго законодательства. И касается это не только (а в последнее время уже и не столько) оборудования Cisco, сколько вообще любого...

1.3.11

Интересный вариант действий оператора ПДн

Сын захотел подписаться на выпуски детской энциклопедии. Читаю купон и поражаюсь тому, как операторы ПДн стали использовать ФЗ-152. Фраза первая: "Ващи персональные данные будут храниться в архиве". Этой фразой оператор уходит из под действия ФЗ. Правда, непонятно, как он будет работать с архивом, если каждые 2 недели должен присылать мне новый выпуск, а значит должен использовать мои ПДн? Фраза вторая - "Внесение изменений в персональные данные или отзыв таковых производится письменно или по телефону не менее чем за 180 дней до даты прекращения...

Универсальная карта победила ФСБ

В августе я уже писал про универсальную электронную карту (УЭК), которая была построена на западном чипе и на западной криптографии. Я предположил, что ФСБ придется поступиться принципами и дать зеленый свет этому проекту, несмотря на все последствия такого решения. За прошедшие полгода однако шла внутриведомственная борьба за то, на базе каких технологий будет построена эта карта. ФСБ стояла за чип отечественной разработки, как и за отечественную криптографию. Совсем недавно, на магнитогорской конференции по банковской ИБ г-н Баранов (8-й Центр...