Новости ИБ за 30 мая – 27 июня 2014 года

Блоги:

Обзор кибератак за 16-31мая, 1-15 июня 2014г. (англ.).

Артем Агеев отметил основные изменения в новом стандарте СТО БР ИББС-1.2-2014, а также обновил excel-таблицу для автоматизации процесса самооценки. В свою очередь Андрей Прозоров рассказал об изменениях в СТО БР ИББС-1.0.

Алексей Лукацкий создал чеклист для ИБ-стартапера; развел дискуссию об этике пентестера/аудиторе ИБ.

Обзор подкастов по информационной безопасности от Андрея Прозорова.

Статьи:

На председателя правления ЗАО завели уголовное дело за распространение и осуществление технического обслуживания системы электронных расчетов ДБО клиентов «Банк-Клиент», защищенной с использованием средства криптографической защиты информации.

Вирусная лаборатория ESET предупреждает о распространении нового банковского трояна Dyre.

Закрываем уязвимость в компоненте VirtueMart для Joomla, позволяющую рассылать спам.

Поиск человека по адресу электронной почты.

Основные аспекты безопасности и локальных сетей.

Безопасная работа по FTP.

Обзор SIEM-систем на мировом и российском рынке.

Руководство по предотвращению и обработке инцидентов, связанных с заражением вредоносным ПО рабочих станций и ноутбуков.

OSINT. Сбор информации на основе открытых источников.

Журналы:

!Безопасность Деловой Информации выпуск #6 - тема номера: «Целенаправленные атаки - маркетинговый термин или изощренный тип атак?».

Information Security/Информационная безопасность #3/2014.

(IN)SECURE Magazine Issue 42 (июнь 2014) - тема номера: «Расследование инцидентов, конфиденциальность, SSL» (англ.).

Security Kaizen Magazine Issue 14 – журнал по информационной безопасности (англ.).

Документы:

IBM Security Services 2014 Cyber Security Intelligence Index - отчет основан на данных клиентов о произошедших у них кибератаках и расследовании инцидентов в период с 1 января по 31 декабря 2013 года. Иcтоник: IBM.

OUCH! Утилизация мобильного устройства – июньский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Microsoft Security Intelligence Report Volume 16 – отчет об уязвимостях и вредоносном ПО за второе полугодие 2013 года.

Web Application Penetration Testing for PCI – руководство по выполнению требований пункта 11.3 PCI DSS. Источник: SANS

ГОСТ Р ИСО/МЭК 19794-5-2013 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица» - стандарт определяет формат записи изображения лица в приложениях распознавания лица, требующий обмена данными.

ГОСТ Р ИСО/МЭК 24709-2-2011 «Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 2. Тестовые утверждения для поставщиков биометрических услуг» - стандарт устанавливает ряд тестовых утверждений, написанных на языке, определенном в ИСО/МЭК 24709-1.

ГОСТ Р ИСО/МЭК 24709-3-2013 «Информационные технологии. Биометрия. Испытания на соответствие биометрическому программному интерфейсу (БиоАПИ). Часть 3. Тестовые утверждения для инфраструктур БиоАПИ» - стандарт устанавливает ряд тестовых утверждений, написанных на языке, определенном в ИСО/МЭК 24709-1.

ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».

ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».

ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности».

ГОСТ Р ИСО/МЭК 27011-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002».

ГОСТ Р ИСО/МЭК 27031-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса».

ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности» - стандарт предоставляет высокоуровневую структуру для защиты персональной идентификационной информации в пределах системы информационно-телекоммуникационной технологии.

ГОСТ Р ИСО/МЭК 29109-1-2012 «Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенных в комплексе стандартов ИСО/МЭК 19794. Часть 1. Обобщенная методология испытаний на соответствие» - стандарт определяет концепцию, типы испытаний и методики испытаний на соответствие записей для обмена биометрическими данными в соответствии с комплексом стандартов ИСО/МЭК 19794 или вычислительных алгоритмов создания записей для обмена биометрическими данными.

ГОСТ Р ИСО/МЭК 29109-5-2013 «Информационные технологии. Биометрия. Методология испытаний на соответствие форматам обмена биометрическими данными, определенных в комплексе стандартов ИСО/МЭК 19794. Часть 5. Данные изображения лица» - стандарт определяет методологию испытаний для подтверждения соответствия приложений или услуг спецификации базового стандарта ИСО/МЭК 19794-5:2005.

ГОСТ Р 53647.5-2012 «Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам» - стандарт представляет рекомендации в области готовности к опасным ситуациям и инцидентам.

ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных» - стандарт устанавливает требования к системе менеджмента персональной информации.

ГОСТ Р 53647.8-2013 «Менеджмент непрерывности бизнеса. Управление человеческими ресурсами» - в стандарте установлено руководство по планированию  и разработке стратегии и политике управления человеческими ресурсами при возникновении инцидента.

ГОСТ Р 53647.9-2013 «Менеджмент непрерывности бизнеса. Управление организацией в условиях кризиса» - стандарт предоставляет руководящие указания по менеджменту в условиях кризиса, которые помогут высшему руководству организации внедрить и развить способность (готовность) к менеджменту в условиях кризиса.

ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» - стандарт устанавливает содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнение,  содержание и порядок выполнения работ по защите информации о создаваемой (модернизируемой) автоматизированной системе в защищенном исполнении.

Законодательство:

Июньский обзор законопроектов в сфере интернет-регулирования.

Программное обеспечение:

CTO-1.2-2014_bis.xlsm – excel-таблица для автоматизации процесса самооценки по требованиям СТО БР ИББС-1.0-2014 с форума bankir.ru.

Аналитика:

Обзор вирусной активности в мае 2014 года. Источник:Dr.Web.

Мобильные угрозы в мае 2014 года. Источник:Dr.Web.

Статистика кибератак за май 2014. Источник: Hackmageddon.com

Спам в мае. Источник: Лаборатория Касперского.

Мероприятия:

4-5 июля 2014 г., Pwnium CTF 2014.

Ресурсы:

Запись вебинара «Мобильный банкинг: кража по воздуху» от Digital Security.

Запись семинара RISSPA при поддержке Mail.ru Group «Облачные сервисы: риски и анализ».

Диалоги #поИБэ – подкаст о перспективах развития Национальной Платежной Системы.

Диалоги #поИБэ – подкаст про утечки информации: часть 1, часть 2.

LinkMeUp. Выпуск №16 – подкаст о Pentestit на PHDays IV.

«Открытая безопасность» №13 - подкаст  об истории покупок Cisco.

Материалы с  IT & Security Forum.