пятница, 30 мая 2014 г.

Новости ИБ за 16 - 30 мая 2014 года



Блоги:
Дмитрий Бумов затронул тему мнимого чувства защищенности и причины, по которым это происходит.

Алексей Сизов рассказал про способы мошенничеств в ритейле и методах защиты.

Сергей Борисов дал блогерам ИБ советы по написанию новых постов, в случае, если закончились темы.


Статьи:
Обоснование необходимости приобретения систем резервного копирования и восстановления данных.

Microsoft выпустила официальное сообщение, касающееся уловки в системном регистре Windows XP, которая позволяет продолжить получать обновления от другой версии ОС, несмотря на окончание цикла поддержки XP.


Распространенные виды мошенничества с использованием спам-рассылок, посвященных азартным играм, а также рекомендации по выявлению подобных видов мошенничества.

Сайт TrueCrypt сообщает о закрытии проекта и предлагает переходить на BitLocker.

Документы:
Глобальное исследование утечек конфиденциальной информации из компаний среднего и малого бизнеса в 2013 году - отчет об исследовании утечек конфиденциальной информации, произошедших в 2013 году и обнародованных в СМИ, иных источниках. Источник: InfoWatch.

Законодательство:
Приказ Фонда социального страхования Российской Федерации от 21 января 2014 г. N 10 г. Москва «Об утверждении Положения о защите персональных данных работников Фонда социального страхования Российской Федерации, обрабатываемых без использования средств автоматизации»

Майский обзор законопроектов в сфере интернет-регулирования.

Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014)

Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014» (СТО БР ИББС-1.2-2014)

Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (РС БР ИББС-2.5-2014)

Программное обеспечение:
w3af v1.6 - сканер безопасности веб-приложений.

Аналитика:

Спам в апреле 2014. Источник: Лаборатория Касперского.

Мероприятия:
5-6 июня в Казани пройдет IT & Security Forum 2014.

Ресурсы:
Russian Information Security Club (RISC) – товарищество специалистов по информационной безопасности


Тренировочная игра от Google по поиску XSS-уязвимостей

пятница, 16 мая 2014 г.

Новости ИБ за 8 – 16 мая 2014 года



Блоги:
Артём Агеев написал руководство по подготовке организации к проверке Роскомнадзора.


Дмитрий Бумов поделился результатами тестирования на проникновение сайта «Российская газета».

Статьи:

Документы:
информационных технологий и массовых коммуникаций 2013 - отчет о деятельности РКН за 2013 год. Источник: Роскомнадзор.

Безопасность мобильного банкинга: возможность реализации атаки MitM – результаты исследования, в рамках которого рассматриваются ОС Android и iOS. Автор: Дмитрий Евдокимов.

Red Hat Enterprise Linux 6 Benchmark v1.3.0 - руководство по безопасной конфигурации Red Hat Enterprise Linux (RHEL) версий 6.0 – 6.5, установленных на x86 и x64 платформы. Источник: CIS.

Законодательство:
Приказ Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор) от 23 декабря 2013 г. N 964 г. Москва «Об утверждении Положения об обработке и защите персональных данных в Роспотребнадзоре».

Программное обеспечение:
Tor Browser v3.6 -  браузер для анонимного сёрфинга в интернете.

Мероприятия:
17 — 19 мая 2014 г., DEF CON CTF Qualifier 2014.

21 — 22 мая 2014 г. в Москве в Digital October пройдет международный форум по практической безопасности «Positive Hack Days IV».

Ресурсы:
Подкасты о подготовке кадров в области ИБ: Noise Security Bit #6 и Диалоги #поИБэ №7.

Открытая безопасность №11 – подкаст про оценку эффективности проектов по информационной безопасности в компании.

BrowserScan - онлайн-сервис, проверяющий на незащищенность браузеры и все его важные надстройки

http://sms.kaspersky.ru/ - утилиты для расшифровки данных, заблокированных программами-шифровальщиками от Касперского.


Презентация «Лучшие практики по ИБ» от Андрея Прозорова.

четверг, 8 мая 2014 г.

Новости ИБ за 25 апреля – 8 мая 2014 года



Блоги:

Алексей Волков выработал критерии оценки «облачных» провайдеров с точки зрения информационной безопасности.

Михаил Емельянников рекомендует организациям, которые размещают на своём сайте веб-форму для сбора персональных данных, опубликовать политику по обработке персональных данных.

Статьи:

Основные проблемы, связанные со сложностью обеспечения информационной безопасности промышленных систем.

11 причин низкой надежности шифрования как способа защиты.

Журналы:
Pentest Magazine Issue 01/2014 (12) - Step by Step from firewall bypassing to VOIP hacking (англ.).

Security Kaizen Magazine Issue 13 – журнал по информационной безопасности (англ.).



Документы:

2014 Cost of Data Breach Study: Global Analysis - данные об угрозах безопасности и о важности управления непрерывностью бизнеса для организаций. Источник: IBM (англ.).

OUCH! Меня взломали, что делать? – майский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

OUCH! Heartbleed - Why Do I Care? – спецвыпуск ежемесячника по информационной безопасности для пользователей, посвященный уязвимости Heartbleed. Источник: SANS (англ.).

10 Things Every Web Application Firewall Should Provide – список требований, предъявляемых WAF, для надежной защиты веб-приложений. Источник: Imperva (англ.).

The Non-Advanced Persistent Threat – описаны способы проведения целенаправленных атак и методы противодействия. Источник: Imperva (англ.).

AppSensor Guide. Application-Specific Real Time Attack Detection & Response v2.0 – проект определяет концепцию и методологию по автоматизации процесса обнаружения вторжений в существующих приложениях. Источник: OWASP (англ.).

ГОСТ Р ИСО/МЭК 29141-2012 «Информационные технологии. Биометрия. Одновременное получение изображений отпечатков десяти пальцев с помощью БиоАПИ». В настоящем стандарте установлены требования к крупномасштабным СКУД, которые требуют получения изображений отпечатков десяти пальцев с в процессе идентификации или проверки в фоновом режиме.

ГОСТ Р 54411-2011 «Информационные технологии. Биометрия. Мультимодальные и другие мультибиометрические технологии». В настоящем стандарте установлены требования к разработке стандартов на мультибиометрические системы, в частности, на различные типы обеъединения.

ГОСТ Р 55235.3-2012 «Практические аспекты менеджмента непрерывности бизнеса. Применение к информационным и коммуникационным технологиям».

Законодательство:
Федеральный закон Российской Федерации от 5 мая 2014 г. N 99-ФЗ «О внесении изменений в главу 4 части первой Гражданского кодекса Российской Федерации и о признании утратившими силу отдельных положений законодательных актов Российской Федерации». Информация о содержании корпоративного договора, заключенного участниками непубличного общества, не подлежит раскрытию и является конфиденциальной.

Приказ Министерства финансов Российской Федерации (Минфин России) от 30 декабря 2013 г. N 142н г. Москва «О порядке и формах направления до 1 июля 2014 года заказчиками информации и документов в реестр контрактов, заключенных заказчиками, и сведений в реестр контрактов, содержащий сведения, составляющие государственную тайну».

Федеральный закон Российской Федерации от 5 мая 2014 г. N 112-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и отдельные законодательные акты Российской Федерации».

Федеральный закон Российской Федерации от 5 мая 2014 г. N 97-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей». Блогеров с высокой посещаемостью обязали обеспечивать соблюдение законодательства Российской Федерации на своем ресурсе.

Программное обеспечение:
IronWASP - сканер безопасности для веб-приложений.

oclHashcat-plus v1.20 – бесплатная программа для восстановления паролей по хешу.

WPScan v2.4 – сканер уязвимости для WordPress.

Cuckoo Sandbox v1.1 - система для автоматического исследования вредоносного ПО.

Аналитика:
Исследование по различным аспектам безопасности в веб-студиях/агентствах. Источник: Ruward.



Спам в первом квартале 2014. Источник: Лаборатория Касперского.

Мероприятия:
14 мая 11:00 (МСК), тема: «APT атакует!», ведущий: Андрей Арефьев менеджер по продуктам InfoWatch.

8 — 10 мая 2014 г., ASIS CTF Quals 2014.

Ресурсы:

Диалоги #поИБэ - подкаст о высоких технологиях и кибербезопасности от RISSPA.

Видеозапись семинара по персональным данным, который читал Андрей Прозоров в рамках конференции ITForum 2020.

https://malwr.com/ - онлайн-сервис для анализа вредоносных приложений.