понедельник, 30 июня 2014 г.

Новости ИБ за 30 мая – 27 июня 2014 года


Блоги:
Обзор кибератак за 16-31мая, 1-15 июня 2014г. (англ.).

Артем Агеев отметил основные изменения в новом стандарте СТО БР ИББС-1.2-2014, а также обновил excel-таблицу для автоматизации процесса самооценки. В свою очередь Андрей Прозоров рассказал об изменениях в СТО БР ИББС-1.0.



Статьи:
На председателя правления ЗАО завели уголовное дело за распространение и осуществление технического обслуживания системы электронных расчетов ДБО клиентов «Банк-Клиент», защищенной с использованием средства криптографической защиты информации.

Вирусная лаборатория ESET предупреждает о распространении нового банковского трояна Dyre.

Закрываем уязвимость в компоненте VirtueMart для Joomla, позволяющую рассылать спам.




Обзор SIEM-систем на мировом и российском рынке.

Руководство по предотвращению и обработке инцидентов, связанных с заражением вредоносным ПО рабочих станций и ноутбуков.

OSINT. Сбор информации на основе открытых источников.

Журналы:
!Безопасность Деловой Информации выпуск #6 - тема номера: «Целенаправленные атаки - маркетинговый термин или изощренный тип атак?».


(IN)SECURE Magazine Issue 42 (июнь 2014) - тема номера: «Расследование инцидентов, конфиденциальность, SSL» (англ.).

Security Kaizen Magazine Issue 14 – журнал по информационной безопасности (англ.).

Документы:
IBM Security Services 2014 Cyber Security Intelligence Index - отчет основан на данных клиентов о произошедших у них кибератаках и расследовании инцидентов в период с 1 января по 31 декабря 2013 года. Иcтоник: IBM.

OUCH! Утилизация мобильного устройства – июньский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Microsoft Security Intelligence Report Volume 16 – отчет об уязвимостях и вредоносном ПО за второе полугодие 2013 года.

Web Application Penetration Testing for PCI – руководство по выполнению требований пункта 11.3 PCI DSS. Источник: SANS

ГОСТ Р ИСО/МЭК 19794-5-2013 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица» - стандарт определяет формат записи изображения лица в приложениях распознавания лица, требующий обмена данными.

ГОСТ Р ИСО/МЭК 24709-2-2011 «Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 2. Тестовые утверждения для поставщиков биометрических услуг» - стандарт устанавливает ряд тестовых утверждений, написанных на языке, определенном в ИСО/МЭК 24709-1.

ГОСТ Р ИСО/МЭК 24709-3-2013 «Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 3. Тестовые утверждения для инфраструктур БиоАПИ» - стандарт устанавливает ряд тестовых утверждений, написанных на языке, определенном в ИСО/МЭК 24709-1.

ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».

ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».
ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности».

ГОСТ Р ИСО/МЭК 27011-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002».

ГОСТ Р ИСО/МЭК 27031-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса».

ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности» - стандарт предоставляет высокоуровневую структуру для защиты персональной идентификационной информации в пределах системы информационно-телекоммуникационной технологии.

ГОСТ Р ИСО/МЭК 29109-1-2012 «Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенных в комплексе стандартов ИСО/МЭК 19794. Часть 1. Обобщенная методология испытаний на соответствие» - стандарт определяет концепцию, типы испытаний и методики испытаний на соответствие записей для обмена биометрическими данными в соответствии с комплексом стандартов ИСО/МЭК 19794 или вычислительных алгоритмов создания записей для обмена биометрическими данными.

ГОСТ Р ИСО/МЭК 29109-5-2013 «Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенных в комплексе стандартов ИСО/МЭК 19794. Часть 5. Данные изображения лица» - стандарт определяет методологию испытаний для подтверждения соответствия приложений или услуг спецификации базового стандарта ИСО/МЭК 19794-5:2005.

ГОСТ Р 53647.5-2012 «Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам» - стандарт представляет рекомендации в области готовности к опасным ситуациям и инцидентам.

ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных» - стандарт устанавливает требования к системе менеджмента персональной информации.

ГОСТ Р 53647.8-2013 «Менеджмент непрерывности бизнеса. Управление человеческими ресурсами» - в стандарте установлено руководство по планированию  и разработке стратегии и политике управления человеческими ресурсами при возникновении инцидента.

ГОСТ Р 53647.9-2013 «Менеджмент непрерывности бизнеса. Управление организацией в условиях кризиса» - стандарт предоставляет руководящие указания по менеджменту в условиях кризиса, которые помогут высшему руководству организации внедрить и развить способность (готовность) к менеджменту в условиях кризиса.

ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» - стандарт устанавливает содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнение,  содержание и порядок выполнения работ по защите информации о создаваемой (модернизируемой) автоматизированной системе в защищенном исполнении.

Законодательство:
Июньский обзор законопроектов в сфере интернет-регулирования.

Программное обеспечение:
CTO-1.2-2014_bis.xlsmexcel-таблица для автоматизации процесса самооценки по требованиям СТО БР ИББС-1.0-2014 с форума bankir.ru.

Аналитика:



Спам в мае. Источник: Лаборатория Касперского.

Мероприятия:
4-5 июля 2014 г., Pwnium CTF 2014.

Ресурсы:
Запись вебинара «Мобильный банкинг: кража по воздуху» от Digital Security.

Запись семинара RISSPA при поддержке Mail.ru Group «Облачные сервисы: риски и анализ».


Диалоги #поИБэ – подкаст про утечки информации: часть 1, часть 2.

LinkMeUp. Выпуск №16 – подкаст о Pentestit на PHDays IV.

«Открытая безопасность» №13 - подкаст  об истории покупок Cisco.

Материалы с  IT & Security Forum.

четверг, 26 июня 2014 г.

Видео. Enterprise Risk Management - Protect Your Business, Protect Yourself

Smartphone Security: When "Bring Your Own" Brings You Down


Sly Security Breaches: What You Don't Know CAN Hurt You


Multi-Network Security: The Risk Exposure Of A Merger


Data Leaks: Don't Ignore Those Data "Drips"


DDoS Attacks: Don't Get Smoked Out


Email Security: When Good News Goes Bad


Data Security ROI: When Measurements Matter


Social Engineering: Don't Trust Fancy Ties & Polished Lies


Laptop Security: Convenient WiFi Or Rogue Hotspot?


Cloud Security: Don't Get Too Cozy In The Cloud


Security Vs. Compliance: When Regulations Run Things