Рубрика «политика безопасности»

image Многие из нас, работая в технологических компаниях различного масштаба не раз сталкивались с не самой комфортной политикой со стороны службы безопасности. И если ключ-карты, учет рабочего времени и мониторинг сетевой активности являются нормой, при условии, что компании есть что скрывать от конкурентов, то постоянная смена паролей — мероприятие весьма утомительное.

Данное явление дошло до всех в различный период. Автор столкнулся в этой модой среди безопасников в уже далековатом 2013 году. Как гром среди ясного неба всю организацию оглушила новость: «в течении двух недель вы должны поменять пароли, а в дальнейшем его смена будет проводиться в принудительном порядке каждые три месяца». И я скажу вам, что это еще не слишком короткий период. В другой компании админ-самодур, иначе не назвать, который также выполнял и роль «службы безопасности» установил срок смены пароля в один месяц. Приятнее всего было, кстати, уйти в отпуск или на больничный и вернуться из него к заблокированной учетке (VPN отказывались давать даже под угрозой пыток), но это уже лирика.

Для тех, кто пользовался pass-менеджерами типа KePass, это было не так уж и страшно, но та часть сотрудников, что помнила свои пароли наизусть, была немного (на самом деле много) опечалена.
Читать полностью »

Так получилось, что за последние несколько лет мне довелось несколько раз написать «с нуля» и внедрить в разных компаниях политику информационной безопасности, а также понаблюдать, как это делают коллеги по цеху. В предлагаемой заметке делается попытка обобщить полученный опыт и упомянуть про грабли, оставившие наиболее заметный след на лбу автора. Сразу оговоримся, что далее речь пойдет не о рекомендациях по защите от вирусов или выбору стойкого пароля, а в основном о логике, структуре и назначении подобных документов.

image
Читать полностью »

imageВ данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.

Этот пост будет более всего интересен для:

  • студентов специальностей типа КОИБАС (по которой я в свое время обучался);
  • безопасников, которые не могут сориентироваться в огромном поле информации по этой теме (коим я тоже в свое время являлся);
  • других заинтересованных лиц.

Читать полностью »

SIEM для ИТ и ИБС появлением первых средств защиты информации возникли первые насущные вопросы: как узнать, что возведенные баррикады работают и защищают? как быстрее реагировать на оповещения? как понять, какие угрозы удалось предотвратить? Работает ли наш файерволл, можно узнать, выполнив ICMP ping: если правила в ACL (access control list) работают, то ответов, содержащих echo request, быть не должно. Можно через консоль устройства просмотреть журнал событий, разбирая сотни или тысячи строк вручную и пытаясь увидеть отраженную или выявленную угрозу.Читать полностью »

Соответствие стандартам и политикам в сканерах уязвимостей и SIEMАнглийский термин compliance означает соответствие одному из высокоуровневых стандартов (таким как SOX, PCI DSS, Basel II, GLBA). Проводить проверку на соответствие этим документам необходимо для того, чтобы определить, насколько хорошо в вашей организации соблюдаются требования, описанные данными стандартами (разрешенная длина паролей, наличие внутренних регламентов и политик, время устранения уязвимостей и т. п.).

Помимо международных стандартов существуют их отечественные аналоги, корпоративные политики и требования NIST.Проводить оценку соответствия этим документам также необходимо. Стандарты содержат наборы требований: выполнение всех требований стандарта фактически означает соответствие ему. Пример отдельного требования: «Должен иметься дисциплинарный процесс для служащих, которые произвели нарушение защиты» (ИСО/МЭК 2005 A.8.2.3).Читать полностью »

Европейский союз требует у Google сменить политику безопасности относительно личных данных пользователей

Европейский союз уже достаточно давно выказывает недовольство политикой безопасности корпорации Google. Но официальные требования смены политики безопасности «Корпорации добра», со всеми вытекающими, начали выдвигаться не так давно. Дело в том, что с марта этого года корпорация приняла решение объединить 60 отдельных политик безопасности в единое целое. Это решение позволило компании передавать пользовательские данные из одного своего сервиса в другой. К примеру, с YouTube в Google+, с Google+ в Gmail и т.п. Но ясного понимания того, как компания использует пользовательские данные, у ЕС нет.

Читать полностью »

В Европе недовольны новой политикой Google по работе с данными пользователей

Сегодня стало известно о том, что в Европе не очень довольны новой политикой корпорации Google по работе с пользовательскими данными. Европейские регуляторы даже обратились к компании за разъяснениями. Было направлено официальное письмо в Google, адресованное нынешнему генеральному директору Ларри Пейджу, в котором регуляторы высказывают сожаление по поводу быстрой смены политики корпорации.

Читать полностью »