среда, 28 сентября 2011 г.

Infosecurity Russia 2011

Сегодня начинает работу конференция Infosecurity Russia 2011. Я планирую принять участие в круглом столе на тему "Управление информационной безопасностью и управление затратами на информационную безопасность" (ссылка). Презентацию выложу в этом посте сегодня вечером. До встречи на конференции !

Обновление:

Моя презентация с круглого стола:
После первого дня впечатления от конференции неоднозначные. Все уменьшилось: стенды многих компаний стали значительно меньше в размерах да и количество участников, как мне показалось, сократилось. Как-то после этого не очень верится в прогнозы о годовом росте рынка ИБ в 30-40%.

понедельник, 26 сентября 2011 г.

Вышел новый номер журнала (IN)SECURE

В свет вышел 31-ый выпуск журнала (IN)SECURE.

Содержание выпуска:

The changing face of hacking
Review: Crypto Adapter
A tech theory coming of age
SecurityByte 2011: Cyber conflicts, cloud computing and printer hacking
The need for foundational controls in cloud computing
A new approach to data centric security
The future of identity verification through keystroke dynamics
Visiting Bitdefender's headquarters
Rebuilding walls in the clouds
Testing Domino applications
Report: Black Hat 2011 USA
Safeguarding user access in the cloud with identity governance

Скачать журнал можно здесь.

воскресенье, 25 сентября 2011 г.

Проекту "Обратная связь" нужны добровольцы

Наступила осень и в ВУЗах снова начались лекции, а вместе с ними возобновляет работу проект "Обратная связь". К проекту присоединились еще 2 ВУЗа и возможно их количество в ближайшее время еще возрастет, но к сожалению в качестве экспертов в проекте участвует помимо меня пока только Андрей Рогожин. Коллеги, если у вас есть опыт, которым вы готовы поделится с молодежью, и есть желание это делать - присоединяйтесь. Пусть это и капля в море и не изменит радикально плачевную ситуацию с образованием в области ИБ в России, но все же это реальное действие по сравнению с разного рода говорильней, которой в последнее время грешат все те, кто действительно должен решать проблемы в нашей стране, в том числе проблемы образования.

пятница, 23 сентября 2011 г.

Итоги опроса недели

Итак, опрос завершен. Среди проголосовавших больше тех, кто давно занимается тематикой персональных данных, но несмотря на это они по-прежнему сохраняют нейтральное к ней отношение и с умеренным позитивом смотрят в будущее :)

Что же, наверное так и надо.



























P.S. А вот кстати в качестве пятничной хохмы. Наткнулся тут на интересный пример обезличивания персональных данных - смотреть тут.

четверг, 22 сентября 2011 г.

Всероссийский опрос от ИСПДн.ру

Портал ИСПДн.ру опубликовал результаты так называемого "Всероссийского опроса по информационной безопасности".

Честно говоря опубликованные результаты больше похожи на флеш-моб. Если авторы хотели получить какой-то серьезный аналитический срез, то видимо над ними просто пошутили.

Хотя возможно все так и было задумано. Пеар.. и все такое.... :-)

среда, 21 сентября 2011 г.

Новости с конференции АИЖК

Был сегодня на конференции, которую организовывала Ассоциация ипотечных компаний (АИК) и Агенство по ипотечному и жилищному кредитованию (АИЖК). На мероприятии присутствовал представитель ФСТЭК (что такая редкость) - Куц Анатолий Владимирович, Начальник 2 управления.

Вот какую информацию он сообщил относительно выхода новых подзаконных актов по поводу уровней защищенности:

по предварительно согласованному плану выход постановлений правительства относительно определения уровней защищенности и требований по защите персональных данных можно ожидать только во 2-м квартале 2012 г !!!! (а я бы от себя сказал, что видимо не раньше 3-го). Выход же документов ФСТЭК, в поддержку этих постановлений правительства можно ожидать только ближе к концу 2012 года. Более того, главными во всей этой работе будет, внимание, ФСБ !

На вопрос как быть сейчас, Анатолий Владимирович предложил исполнять существующие постановления правительства (781-е, 687-е) и методические документы (даже несмотря на то, что они противоречат закону). Еще Анатолий Владимирович пообещал, что они обеспечат преемственность при разработке документов :) гы, видимо это можно читать как "все равно ничего не изменится, мы оставим все как было раньше.

Еще коротко Анатолий Владимирович упомянул то, о чем как мне кажется многие подзабыли, что по новой редакции ФСТЭК и ФСБ уполномочен контролировать только государственные и муниципальные организации.... (гуляй рванина :), в смысле получается дурацкая ситуация: требований нет, контроля нет, ответственности за утечку нет... )

Далее еще выступал Андрей Петрович Курило. Он сказал, что в ноябре должны выйти корректировки в документы комплекса СТО БР ИББС, в части учета изменений, внесенных в 152-ФЗ в июле этого года. Кроме того, он сказал, что все же ЦБ планирует усиливать надзор в области ИБ и что неприятие стандарта - в долгосрочной перспективе плохое решение для банка.

вторник, 20 сентября 2011 г.

Технический аудит - часть 1

Этим постом я бы хотел открыть серию публикаций, посвященную вопросам проведения технического аудита информационной безопасности. Под техническим аудитом я при этом НЕ подразумеваю тест на проникновение, т.к это более сложная работа, требующая серьезной экспертизы в программировании, понимании деталей работы операционных и прикладных систем и других навыков. Я буду говорить о более простых вещах, которые сможет выполнить практически любой специалист по информационной безопасности для того, чтобы оценить степень уязвимости вверенной ИТ-инфраструктуры.

Прежде чем бросится качать из интернета Metasploit или запускать хакерский livecd-дистрибутив полезно все же определить некоторую систему проведения технического аудита (методологию, алгоритм, как угодно). В этом нет ничего сложного, можно взять как уже готовую так и составить свою. Иначе без конкретной методологии все действия будут носить хаотичный характер, что в свою очередь скажется на качестве полученного результата.

Итак, если мы говорим про готовые методологии проведения технического аудита то тут могу порекомендовать:

Information systems security assessment framework (ISSAF) - методология проведения оценки состояния информационной безопасности. Хороша с теоретической точки зрения, т.к. уже много лет не обновляется, но все же систему проверок разработчики заложили неплохую (рассматривается оценка различных технологий - прикладных систем, сетевого оборудования, различных сервисов). Скачать материалы можно тут.

Penetration Testing Framework - довольно детальный фреймворк, содержащий описание конкретных программ/скриптов, которые могут использоваться для проверки тех или иных сервисов/систем. Фреймворк очень хорошо структурирован (можно кстати скачать его в виде майнд-карты в формате FreeMind) и я очень рекомендую с ним ознакомится. Лично я использовал данный фреймворк в качестве основы для разработки собственной системы проведения технического аудита.

The Open Source Security Testing Methodology Manual (OSSTMM) - интересная методология, предполагающая принципиально иной, экспериментальный подход к проведению оценки состояния информационной безопасности. В ней не упоминаются конкретные приемы, программы или скрипты, которые могут использоваться для оценки состояния ИБ, а дается именно общее описание того, какие проверки необходимо провести и как интерпретировать результаты.

На этом пока на сегодня все. В следующем посте уже подробнее поговорим о конкретном инструментарии для проведения технического аудита.

понедельник, 19 сентября 2011 г.

Вопрос недели - "Что вы думаете о проблеме законодательства о персональных данных ?"

Продолжая тематику регулярных опросов, на этой неделе я предлагаю читателям этого блога ответить на несколько вопросов об отношении к наболевшему уже вопросу выполнения требований законодательства о персональных данных.

Опрос доступен здесь, результаты голосования будут опубликованы в конце недели.


воскресенье, 18 сентября 2011 г.

Конференция ZeroNights в Санкт-Петербурге

Похоже, что количество конференций с хакерским уклоном в России начинает увеличиваться. В этом году уже прошло мероприятие Positive Hack Days, и вот теперь еще одна конференция Zero Nights, организатором которой является сообщество DEFCON Russia.

В программе пока всего два выступления, так что видимо мероприятие еще нельзя назвать полностью сформировавшимся, но посмотрим что же будет в итоге.

Конференция кстати платная и стоимость указана не такая уж и маленькая, с учетом того что, как я сказал, пока не понятна полностью программа конференции, это выглядит несколько странно.

P.S. О других конференциях по информационной безопасности, которые будут проходить этой осенью, я уже писал тут.

вторник, 13 сентября 2011 г.

В московском метро появится бесплатный wi-fi

Вот вроде хорошая инициатива, но к сожалению большое количество паролей по-прежнему передается через сеть в открытом виде (взять к примеру почту на мейл.ру или рамблере), а это значит что массовое использование открытого wifi в метро может обернуться неприятностями, ведь это же будет рай для фишеров и любителей сниффинга.

Спасти могут vpn-сервисы, только пользуются ими единицы и не все они подходят для мобильных устройств.

воскресенье, 11 сентября 2011 г.

Проверь своих фолловеров на спам

Попался мне на просторах интернета интересный сервис - Twitblock. Он позволяет просканировать всех ваших фолловеров на предмет того, являются ли они спаммерами и если да, то есть возможность пожаловаться на них в Twitter :)

Самое интересное, что то, что вас фолловит спаммер, само по себе не страшно, но если вы хотите побороться за "чистоту рядов" ваших фолловеров и сделать Twitter "чище" :), то милости прошу, сервис бесплатен.

P.S. Я себя проверил, спамеров среди фоллов нет.

Не обижайте веб-мастера

Часто приходится убеждаться, что безопасность - это прежде всего люди, а точнее их взаимоотношения. Мне даже думается, что через какое-то время термин безопасность трансформируется в нечто вроде степени доверия.

Но это я немного в сторону, а собственно по теме вот что бывает, когда веб-мастера обидят - ссылка :) (осторожно ненормативная лексика)

четверг, 8 сентября 2011 г.

Предстоящие конференции

Итак, неделя подошла к концу и я публикую результаты опроса (всего в опросе приняло 40 человек):

Самое интересное, что большинство не планирует вообще никуда идти. Среди тех, кто все же пойдет, более популярной является конференция Infosecurity 2011.

А вот ради чего посещают эти мероприятия:

Что касается того, достаточно ли проводится в России конференций по информационной безопасности, то тут мнения разделились:

Но практически все единодушно отметили, что качественные мероприятия в России все же проводятся, но только они единичны:

Как я и говорил, я планирую посетить и Infosecurity и Infobez.

Если говорить про Infosecurity Russia 2011, то там меня привлекают следующие секции, которые будут проходить 29.09.2011:
  • Облачная безопасность. Тенденции, технологии и решения" (Cloud Solutions - Revolution in Web Security)
  • Управление непрерывностью бизнеса . Секция 1 "Облака и непрерывность бизнеса"
  • Безопасность бизнес-приложений
На Инфобезе меня заинтересовали круглые столы по теме банковской безопасности, которые пройдут 05.10.2011.

вторник, 6 сентября 2011 г.

Налоги vs. инновации

Не могу не высказаться, коллеги. Видимо приближающиеся выборы в Госдуму (а далее и президентские) так на меня действуют :)

Возможно некоторые из вас уже в курсе последней инициативы Минфина, о введении дополнительного налога на "богатых", т.е. тех, чей годовой доход превосходит 512 тыс. руб. Вообще сумма конечно странная почему именно 512 ? не 500, не 510, не 520, а именно 512. Мне как человеку, получившему инженерное образование, это сразу напомнило 2 в 9 степени, в бинарной системе это число представляется как 1 000 000 000. Может что-то там напутали с цифрами ? Хотели миллиард, а получили 512 тыс. ? :)

Но это конечно же шутка, а если серьезно, то вот чем меня это конкретно смущает. По кому это ударит в первую очередь ? Конечно же не по богатым людям. Они уж извините не на зарплату живут и налог (если и платят), то только подоходный. Я считаю, что этот новый налог в том числе ударит на инновационные бизнесы в области высоких технологий, куда я отношу и компании, работающие в области ИТ и ИБ.

Ведь для того, чтобы эффективно конкурировать с западными компаниями нашим потребуется обеспечить сопоставимый уровень дохода. Давайте посмотрим сколько может заработать хороший специалист по ИБ, решивший свалить за рубеж.

По данным портала myinfosecjobs.com специалист по информационной безопасности, например, в Англии может рассчитывать на оклад около 50-60 тыс. фунтов в год (это так между прочим 2,5 млн. рублей).

Т.е. это означает, что для обеспечения конкурентных условий, потребуется оклад явно превышающий 512 тыс. рублей, а это повлечет за собой дополнительную налоговую нагрузку. О каких инновациях и конкуренции с другим миром мы тогда говорим ?

P.S. Кстати это нововведение повлияет и на каждого из нас, ведь работодатель в любом случае захочет как-то снизить эту самую налоговую нагрузку (а способы у всех разные).

P.P.S. Да простят меня коллеги из регионов, я понимаю, что мои слова могут быть восприняты как возмущение зажравшегося москвича. Я понимаю, что 45 тыс. в месяц за пределами МКАД вполне себе неплохая зарплата, но ведь это надо же менять, а доп. налоги этому явно не способствуют.

Дополнение: заметка по теме в блоге М. Прохорова

воскресенье, 4 сентября 2011 г.

Опрос недели: Что Вы думаете об ИБ-конференциях ?

Приветствую, коллеги !

Сегодняшним постом я бы хотел с одной стороны продолжить, а с другой открыть новую, как я надеюсь постоянную, рубрику в своем блоге - опросы. На мой взгляд такая форма интерактива для некоторых тем подходит больше чем просто комментирование поста.

И начать мне бы хотелось с опроса, посвященного конференциям по информационной безопасности. Такая тема навеяна мне скорым приближением двух "противоборствующих" конференций - Infosecurity Russia и INFOBEZ.

Перейти на опрос можно по этой ссылке. Прошу голосовать, коллеги.

Результаты опроса опубликую в конце недели.

P.S. Комменты по-прежнему не возбраняются и даже приветствуются :).

P.P.S. Я, кстати, сам планирую побывать на InfoSecurity в качестве посетителя, а на INFOBEZе выступить с докладом.