Видео. О мерах безопасности использования банковских карт

В данном случае это фейк, но в реальности подобные случаи встречаются.

Еще один пример из жизни, правда, связан с паспортными данными:

Кстати, по подобной фотографии Жерара Депардье записали на церемонию бракосочетания в Чертановском ЗАГСе Москвы.

Новости ИБ за 18 - 25 октября 2013 года

Статьи:

Список инструментов для компьютерной криминалистики (англ.).

TrueCrypt подвергнут независимому аудиту.

Сюжеты из кинофильмов, в которых засветилась утилита Nmap (англ.).

Законопроект «О персональных данных» успешно прошел рассмотрение в Совете Федерации + комментарии Михаила Емельянникова.

Взлом «Transcend WiFi SD»-карт. Статья написана с намерением поиска и использования багов, часть из которых позволяют аутентифицироваться под root’ом, а также для определения эксплоита, позволяющего это сделать.

Журналы:

Security Kaizen Magazine 11 Issue (oct./Dec. 2013) – журнал по информационной безопасности.

Документы:

Five Principles for Shaping Cybersecurity Norms - принципы, которые должны лежать в основе международных обсуждений по «нормам кибербезопасности» (англ.). Источник: Microsoft.

Глобальное исследование утечек конфиденциальной информации в I полугодии 2013 года. Источник: InfoWatch.

Статистика уязвимостей систем дистанционного банковского обслуживания (2011—2012). Источник: Positive Technologies.

Концепция работы с любыми устройствами (Any Device) Cisco - это планирование производительного, безопасного и конкурентоспособного будущего - рассматриваются этапы и бизнес-решения, которые лица, ответственные за информацию, безопасность, информационные технологии и разработку средств защиты информации, должны рассматривать в начале пути к использованию любых устройств.. Источник: Cisco.

Квартальный отчет PandaLabs (апрель - июнь 2013) - статистика угроз, полученная от облачной системы сканирования вредоносных программ, за 2 квартал.

Программное обеспечение:

FGscanner – perl-скрипт для поиска на веб-сервере скрытых страниц и каталогов, которые не индексируются.

Ghiro – утилита для цифровой криминалистики, позволяющая проводить анализ изображений.

mimikatz v2.0 - утилита для восстановления паролей в среде Windows.

OWASP Xenotix XSS Exploit Framework V4.5 – фреймворк для обнаружения и эксплуатации уязвимостей.

Аналитика:

Статистика кибератак за сентябрь 2013г. (англ.). Источник: Hackmageddon.com.

Спам в сентябре 2013. Источник: Лаборатория Касперского.

Ресурсы:

Презентации и записи выступлений с SecureWorld 2013.

Материалы с вебинара LETA «Создание в организации программы повышения осведомленности в области ИБ».

BugsCollector - база данных уязвимостей (см. описание сервиса).

Видеовыступления с Infobez-Expo 2013.

Digital Attack Map – карта DDOS-атак в режиме реального времени.

На сайте проекта "Так Безопасно!" опубликована новая партия картинок-плакатов-скринсейверов.

Популярно об информационной безопасности – проект от BISA (бывший DLP-Эксперт); сборник коротких видеолекций, повествующих об основах информационной безопасности.

Видео. Осведомленность работников в области информационной безопасности

Проведение самооценки по требованиям СТО БР ИББС-1.0

В связи с периодическим проведением самооценки в своей организации я выработал ряд рекомендаций, которые помогают мне в данном процессе:

1. Оценка частного показателя не должна быть выше оценки уточняющего вопроса. Чтобы оценки зависимых частных показателей были высокими, желательно добиться всех "1" в уточняющих вопросах.

2. На оценку определенных частных показателей влияют сразу несколько уточняющих вопросов. В подобных случаях максимальная оценка частного показателя равняется средней арифметической величине оценки уточняющих вопросов, влияющих на этот частный показатель. Например, используя таблицу 2 приложения В СТО БР ИББС-1.2, M1.1 будет вычисляться по формуле:

М1.1 = (6.1.5 + 6.1.6 + 6.1.7 + 6.3.10)/4

Результат - это и есть максимальная оценка данного частного показателя с учетом уточняющих вопросов.

3. На результат EV¹_ОЗПД влияют групповые показатели М1-М5, М8, М10, на EV²_ОЗПД - М1-М6, М8, М10, на EV_ООПД - М9 (показатель M9 оценивается по минимальному значению, присвоенному одному из частных показателей, т.е. один показатель равен "0", следовательно, весь М9 = "0"), на EV_M6 - М6.

4. Если оценивается степень документированности, в источниках нужно указывать конкретные документы (в случае отсутствия документального подтверждения можно сослаться на устные свидетельства, что будет соответствовать оценке «0»).

5. Устные свидетельства и наблюдения подтверждаются подписью опрашиваемого члена комиссии.

6. Если отталкиваться от формы предоставления результатов оценки уровня информационной безопасности организаций банковской системы Российской Федерации, размещенной на сайте Банка России, круговых диаграмм должно быть две: 

- круговая диаграмма, содержащая 32 сектора, которые отражают оценки  групповых показателей;

- круговая диаграмма, содержащая 3 сектора, которые отражают оценки  по трем направлениям.

7. В «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС‑1.0‑20хх» помимо оценки степени выполнения требований СТО БР ИББС‑1.0, регламентирующих обработку персональных данных (EV_ООПД), оценки степени выполнения требований СТО БР ИББС‑1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, без учета оценки степени выполнения требований СТО БР ИББС‑1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации (EV¹_ОЗПД) и итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС‑1.0 (R) необходимо также включить:

— если в ИСПДн используется СКЗИ — оценку степени выполнения требований СТО БР ИББС‑1.0, регламентирующих защиту персональных данных в информационных системах персональных данных при использовании средств криптографической защиты информации (EV²_ОЗПД);

— если в ИСПДн не используется СКЗИ — оценку группового показателя М6 «Обеспечение информационной безопасности при использовании средств криптографической защиты информации» применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные» (EV_M6).

Хотелось также напомнить, что в соответствии с п.14 Методических рекомендаций по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 необходимо направить в адрес ГУБЗИ  Центрального Банка России, откуда оно будет направлено регуляторам, но не позже 31 декабря (в дальнейшем – один раз в три года).

Автоматизация процесса самооценки по требованиям СТО БР ИББС-1.0 

xls-файл (см. инструкцию по использованию  от разработчика).

Формирование круговых диаграмм отображения результатов самооценки

Руководство по безопасности браузеров. Содержание

Перевод первой части материала завершен. Для удобства решил сделать содержание, которое периодически будет дополняться.

Руководство по безопасности браузеров (Browser Security Handbook)

Часть 1. Веб-браузер. Основные понятия

1. Унифицированный указатель ресурса (URL) 

2. Unicode в Url

3. Подлинные URL-протоколы

4. Псевдо-протоколы URL

5. Протокол передачи гипертекста (HTTP)

6. Язык разметки гипертекста (HTML)

   Мнемоники в HTML

7. Объектная модель документа (DOM)

8.  Браузерный Javascript

   Кодировка символов в Javascript

9. Другие языки сценариев документа

10. Каскадные таблицы стилей (CSS)

   Кодировка символов в CSS

11. Другие встроенные форматы документов

12. Контентные плагины

 

Скачать pdf-версию первой части перевода.

Новости ИБ за 11 - 18 октября 2013 года

Блоги:

Список систем мониторинга событий ИБ от Алексея Лукацкого.

Статьи:

Обзор мобильных приложений для безопасного хранения данных.

Обзор Avast! Free Antivirus 2014.

Eset обнаружила потенциально вредоносные модули в менеджере загрузок Xunlei (Thunder).

Руководство по статическому анализу вредоносного приложения (англ.).

Руководство по написанию эксплоитов переполнения буфера (англ.).

Атаки с применением вредоносного PAC-файла.

Журналы:

Inception E-Zine 2013 – журнал по информационной безопасности.

Документы:

Cyber Risk Report: October 7-13, 2013 (англ.) - отчет о компьютерных рисках от Cisco.

Тестирование сканеров безопасности веб-приложений: Acunetix, Appscan, BURP, Nexpose, NTO Spider (англ.).

Вебинары:

22 октября 2013 года с 11.00 до 12.30, тема: «Практические аспекты проведения теста на проникновение», ведущий: Соколов Андрей Викторович, консультант по информационной безопасности ЗАО «ДиалогНаука».

22 октября 2013 года с 11.00 до 13.00, тема: «Экономический эффект от внедрения средств ИБ, примеры расчета ROI» от RISSPA.

30 октября 2013, тема: «Построение защиты виртуальной инфраструктуры» от компании «LETA».

Новости ИБ за 4 - 11 октября 2013 года

Блоги:

Алексей Лукацкий утверждает, что конференции формата «все обо всем» смогут существовать, если они будут заточены под конкретную целевую аудиторию.

Обзор кибератак за 16-30 сентября (англ.).

Банк привлекли к административной ответственности по ч.2 ст.14.8 КоАП из-за условий кредитного договора, противоречащих законодательству в области персональным данных.

Алексей Комаров обновил таблицу сертифицированных межсетевых экранов, в которой приводится список новых межсетевых экранов и с продленными сертификатами.

Статьи:

Введение в BREACH-атаку (англ.).

Методы противодействия XSS-атакам (англ.).

Подготовка к CISSP. В статье вы найдете ответы на вопросы «что такое CISSP?», «зачем он нужен?» и  «Как подготовиться к экзамену?».

Google начинает выплачивать вознаграждения за исправление уязвим остей в проектах с открытым исходным кодом.

Атака типа «человек в браузере» и основные меры противостояния.

Минфин договорился с Банком России о спорных списаниях с банковских карт.

Документы:

Nmap Cheat Sheet 1.0 (англ.). Источник: SANS.

OUCH! Менеджер паролей – октябрьский выпуск журнала по вопросам компьютерной безопасности. Источник: SANS.

Программное обеспечение:

vulnerability-check – скрипт, который использует программное обеспечение с открытым исходным кодом (Nmap, vFeed и DPE); выполняет задачи схожие с работой Nessus или AVDS.

Secunia PSI for Android – программа для проверки и автоматической установки обновлений безопасности для программ, установленных на вашем смартфоне.

Dr.Web LinkChecker 3.4 - бесплатное расширение для браузеров для проверки интернет-страниц и файлов, скачиваемых из сети Интернет.

Аналитика:

Обзор информационных угроз сентября 2013 года. Источник: ESET.

Ресурсы:

http://itsec.by – блог белорусских коллег, посвященный, в частности, ISO 27001.

SecLog - бесплатный сервис обнаружения атак на ваш сайт.