понедельник, 26 января 2015 г.

Дайджест новостей по ИБ за 16 – 23 января 2015 г.



Блоги:
Сергей Борисов описал, как и в какой форме лучше вписать оценку соответствия в комплекс работ по созданию/модернизации СЗПДн.


Статьи:

Кража учетных записей с помощью имитации легитимной службы.

История о несостоявшейся целевой атаке.

Защита от XSS без правки исходных кодов (англ.).

Анализ спам-рассылки с вашего сайта.


Рекомендации по использованию DLP-систем с юридической точки зрения от компании Infowatch.

Компания SplashData опубликовала рейтинг популярных паролей.

Из ФСКН утекли в свободную продажу секретные базы данных.

Google Webfonts в Wordpress собирает метаданные пользователей.
Журналы:
Pentest Magazine. Journey In The World of The XSS – электронная версия семинара по обнаружению и эксплуатации XSS-уязвимостей (англ.).

eForensic Magazine. Malware Analysis StarterKit - электронная версия семинара по исследованию вредоносных программ (англ.).

Документы:
Перевод третьей части руководства по виртуализации PCI DSS.

Управление киберрисками во взаимосвязанном мире. Основные результаты Глобального исследования по вопросам обеспечения информационной безопасности. Перспективы на 2015 год. Источник: PWC.

Actionable Information for Security Incident Response – практическое руководство по обмену информацией в рамках реагирования на инциденты (англ.). Автор: ENISA.

Информационная безопасность: стандартизированные термины и понятия – собрание официальных (стандартизированных) определений понятий, используемых в области информационной безопасности и защиты информации. Автор: Парошин А. А.


ГОСТ 32321-2013 «Извещатели охранные поверхностные ударно-контактные для блокировки остекленных конструкций в закрытых помещениях. Общие технические требования и методы испытаний».

ГОСТ Р ИСО/МЭК 18045-2013 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий». Стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки по ИСО\МЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСО\МЭК 15408.

ГОСТ Р ИСО/МЭК 19794-6-2014 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза». Стандарт устанавливает требования к форматам обмена данными изображения радужной оболочки глаза (РОГ) для систем, осуществляющих биометрическую регистрацию, верификацию и идентификацию по РОГ.

ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1».

ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности». В стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001:2005.

ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме». Стандарт предоставляет руководство по распространенным ситуациям, возникающим  в процессе обращения со свидетельствами, представленными в цифровой форме, а также содействует организациям в их дисциплинарных процедурах и в облегчении обмена потенциалами свидетельствами, представленными в цифровой форме, между юрисдикциями.

ГОСТ Р ИСО/МЭК 27033-3-2014 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления». В стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями.

Программное обеспечение/сервисы:
Sysmon 2.0 - программа для мониторинга процессов в Windows (см. описание)

Game of Hacks - онлайн-игра, представленная в виде вопросов по знанию уязвимостей OWASP Top-10 2013 и призванная повысить осведомленность сотрудников ИБ (см. обзор).

Вебинары:

Мероприятия:
12 февраля 2015 г. с 11.00 до 17.00 в рамках XX Международного форума «Технологии безопасности» ФСТЭК РФ проводит V Конференцию «Актуальные вопросы защиты информации».

Ресурсы:
Hacker’s List — фриланс-биржа для хакеров.

Бесплатные версии стандартов ISO.

ES6 XSS challenge – задания по поиску и эксплуатации XSS-уязвимостей.

Открытая безопасность – подкаст о построении центров управления ИБ (автоматизация процессов ИБ): часть 1, часть 2.

Комментариев нет:

Отправить комментарий