Дайджест новостей по ИБ за 19 – 26 июня 2015 г.

Блоги:

Андрей Прозоров сформировал список нормативных документов по персональным данным.

Алексей Лукацкий искал ответы на вопросы «можно ли считать Snort отечественной системой обнаружения атак и может ли он защищать гостайну?»

Сергей Борисов попытался найти удобную иерархию документов ИБ, основанную на лучших практиках.

Андрей Петухов рассказал о том, как выбрать сканер уязвимостей веб-приложений.

Ленни Зельцер (Lenny Zeltser) поделился шаблоном отчета по реагированию на инциденты и дал описание структуры документа (англ.).

Статьи:

Преступления в банковской сфере 18 - 24 июня 2015.

Выбор защищенного сетевого оборудования для дома и малого бизнеса.

Использование ментальных карт и тегов в документах по ИБ.

TOP-5 книг о Kali Linux по версии hackw0rm.net (англ.).

Подборка книг по ИБ от iViZ Blog (англ.).

Шпионская история: жучки в копировальных аппаратах СССР.

Социальная инженерия как часть тестирования на проникновение.

Тестирование фитнес-браслетов с точки зрения безопасности (англ.).

Нетехнические методы противодействия инсайдерским угрозам.

Походная аптечка сисадмина: Autoruns, Process Explorer, Unlocker, AVZ.

Спецслужбы взламывали антивирусный софт с 2008 года.

HP Zero Day Initiative опубликовала эксплоиты для незакрытых багов IE.

Взлом сайтов через резервные копии баз данных (англ.).

Обзор стандарта безопасности промышленных систем управления NIST SP 800-82 Rev.2.

Отчет о конференции RSA Conference 2015.

Аббревиатуры против вирмейкеров: WIM, CSRSS, EMET, CCMP, EFS, SEHOP, ASLR, KPP, UAC, DEP и еще кое-что.

Разбор заданий конкурса «MiTM Mobile» на PHDays V. 

Создание программы по борьбе с внутренними угрозами в организации: фреймворк внутренних угроз (часть 16, англ.).

Журналы:

!Безопасность Деловой Информации выпуск #10 - тема номера: «Как измерить эффективность ИБ?».

Документы:
Обзор о несанкционированных переводах денежных средств - в обзоре приведены данные о количестве и объеме несанкционированных операций, совершенных с использованием электронных средств платежа, а также об инцидентах, произошедших вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств за 2014 год. Источник: ЦБ РФ.

Тестирование парольных политик веб-сервисов – результаты исследования 80 распространенных сервисов на предмет присутствия в них парольных политик. Источник: Digital Security.

Информационное сообщение ФСТЭК России от 19 июня 2015 г. N 240/24/2497 «О применении сертифицированных по требованиям безопасности информации операционных систем Windows Server 2003 И Windows Server 2003 R2 в условиях прекращения их поддержки разработчиком». Источник: ФСТЭК России.

Программное обеспечение/сервисы:

Malware Information Sharing Project (MISP) – бесплатная платформа для хранения информации об угрозах ИБ и вредоносном ПО.

PentestBox - портативный набор утилит для тестирования на проникновение под Windows-среду (см. краткий обзор).

IRMA - платформа с открытым исходным кодом для обнаружения и исследования вредоносных файлов.

Вебинары:

3 июля в 20:00 состоится бесплатный вебинар «Тестирование на проникновение: легальный хакинг».

Мероприятия:

2 июля в Санкт-Петербурге пройдет NeoQUEST-2015.

3 июля в офисе Mail.Ru Group состоится девятая встреча Defcon Moscow.

24 июля в московском офисе Яндекса состоится семинар «Криптография в России: проблемы применения».

Ресурсы:

Постер «20 Critical Security Controls».

Презентации с конференции «Информационная безопасность банков. PCI DSS Russia 2015».

TorrentTags – онлайн-сервис для проверки торрент-файлов по базам антипиратских компаний (см. краткий обзор). 

Мастер-класс Саркиса Дарбиняна по теме «Интернет и закон. Права, обязанности и ответственность в онлайне».