Рубрика «ИБ» - 12

в 14:51, , рубрики: ИБ, ИБ на предприятии, информационная безопасность, ненависть

Здравствуйте, уважаемые радиослушатели, менеджеры, программисты, админы и все-все-все. Сегодня я выскажусь о наболевшей теме, время от времени вызывающей у меня острую зубовную боль, а именно — об информационной безопасности на предприятии.

Что собой представляет ИБ на крупном предприятии или даже банке? Жгучий коктейль из нормативных актов, густо приправленных запретами всего и вся и с добавлением угроз расправы по вкусу. Ведь что делает обычный администратор системы для предотвращения несанкционированного доступа? Запрещает всё, что не разрешено. Что делает обычный безопасник? Запрещает вообще всё, что находится на границе (а часто и за границей) здравого смысла и хоть какой-то возможности функционирования предприятия. При этом составляется огромное количество нудных описаний угроз, нормативных актов (скука!) и прочих устрашающих действий, все которые сводятся к одной простой мысли «ЕСЛИ ЧТО, МЫ ЖЕ ПРЕДУПРЕЖДАЛИ!». Таким образом, складывается ситуация, когда ИБ риски обозначает, но ответственность не несет — её несут сотрудники. Однако и пренебрегать этой мутной темой информационной безопасности руководители не могут и в результате ИБ на предприятии все процессы заворачиваются на ИБ, и ИБ становится тем узким бутылочным горлышком, от ширины которого часто напрямую зависит скорость функционирования бизнеса предприятия в целом.
Читать полностью »

в 6:39, , рубрики: асу тп, Блог компании Positive Technologies, ИБ, информационная безопасность, Исследования и прогнозы в IT, кибервойны, платежные терминалы, прогнозы, тренды

image

Как могли заметить читатели этого блога, в прошедшем году наш исследовательский центр существенно расширил сферу своих интересов. Мы рассказывали про уязвимости массовых веб-приложений и возможности взлома банкоматов, про атаки на сложные индустриальные системы управления и маленькие персональные гаджеты. Но 2014 год закончился, самое время подвести итоги: отметить ключевые тренды в области информационных угроз и защиты от них, а также представить свои прогнозы развития этих трендов в новом году.Читать полностью »

в 6:36, , рубрики: best practices, information security, IT-стандарты, NIST, NIST 800-53, risk management, ИБ, информационная безопасность, управление рисками

ИБ по американски. Часть 4. Разбираемся с «подгонкой» и «перекрытиями» и завершаем этот обзор
*Оставьте свою работу на рабочем месте!*

Итак, нелёгкий путь по обзиранию созданию краткого обзора NIST SP 800-53 подходит к логическому концу. Я рад, что мне удалось совершить задуманное и написать пусть небольшой, но законченный по содержанию цикл статей, не остановившись на первой или второй части. В дальнейшем, надеюсь, получится от случая к случаю делиться с общественностью своими соображениями на тему ИБ, ИТ и аудита.

Итак, в этой статье будет наконец-то поведано о выборе набора контролей безопасности, подгонке его под нужды конкретной организации и создании так называемых перекрытий «overlays», применимых вне масштабов отдельной организации.

Ссылки на предыдущие статьи:

ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?
ИБ по-американски. Часть 2. А можно поподробнее о NIST 800-53 и причём тут управление рисками?
ИБ по-американски. Часть 3. Что из себя представляет базовый набор контролей безопасности и как определять критичность информационных систем?

Читать полностью »

в 16:10, , рубрики: best practices, information security, IT-стандарты, NIST, NIST 800-53, risk management, ИБ, информационная безопасность, управление рисками

ИБ по американски. Часть 3. Что из себя представляет базовый набор контролей и как определять критичность систем?
*Безопасность — это отнюдь не борьба с ветряными мельницами*

В предыдущих статьях я уже достаточно подробно рассказал о публикации NIST SP 800-53. Были успешно освещены разбиение контролей на семейства, подробное описание структуры контролей безопасности, процесс управления рисками в масштабах организации и даже вкратце отдельная публикация FIPS 200.
Из-за выхода в свет Geektimes пришлось немного задержаться, но мы продолжаем двигаться дальше, и сегодня речь пойдёт о базовых наборах контролей безопасности и об определении критичности информационных систем.
Ну и конечно в комплекте аутентичные американские плакаты, посвященные безопасности.

Ссылки на предыдущие статьи:
ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?
ИБ по-американски. Часть 2. А можно поподробнее о NIST 800-53 и причём тут управление рисками?

Читать полностью »

в 9:08, , рубрики: Блог компании PentestIT, ИБ, информационная безопасность, обучение

Немного о нашей компании и новом наборе на «Корпоративные Лаборатории»Рады приветствовать вас в блоге компании PentestIT.

Мы хотим рассказать о PentestIT, а также поделиться принципами работы нашей компании.

При создании компании были заложены определенные принципы и была выстроена линия развития, направленные на достижения профессиональных результатов самого высокого уровня в сфере ИБ.
Читать полностью »

в 22:34, , рубрики: windows, виртуализация, глупость, ИБ, информационная безопасность, облака, Облачные вычисления, старо как мир

Облачный эмулятор Internet Explorer 9 в окне браузера Google Chrome

image

Предисловие

Эта история началась с того, что я искал эмулятор IE7/8/9 для проверки одного из веб проектов, мне нужно было проверить как IE9 реагирует на SSL сертификат.
Сайт то я проверил — все хорошо, и после чего я задал себе вопрос: а что будет если....? И да я не имею никакого отношения к компании выше.

Читать полностью »

в 11:42, , рубрики: Блог компании Мосигра, ИБ, информационная безопасность, Медиа, пятница, цензура, метки: , ,

Я за ликбезы по информационной безопасности и лёгкий троллинг. Чтобы пользователь не расслаблялся тут.

Пока вы тут сидите, мы уже расклеиваем плакаты про паранойю
Читать полностью »

в 6:49, , рубрики: безопасность, ИБ, информационная безопасность, метки: ,

Здравствуйте уважаемые читатели, недавно думал на тему применимости различных услуг в области ИБ и вот что получилось.

В настоящее время многие разработчики предлагают централизованные решения по контролю состояния информационной безопасности и выявлению вредоносной (хакерской) активности в информационных системах компаний и организаций следующего характера:

  • у потребителя услуги устанавливается устройства, выступающее в роли агента, собирающего информацию обо всех событиях в информационной системе (полностью или выборочно, зависит от решения) компании, по мере необходимости устройства могут быть дополнены программными агентами устанавливающимися непосредственно на компоненты ИТ-инфраструктуры;
  • полученная информация передается на сервера компании, предоставляющей услугу;
  • на серверах компании, используя базу знаний организации и опыт ее специалистов, из всего объема информации выделяется вредоносная (хакерская) активность, а так же события, которые могут вызвать негативные последствия для компании потребителя услуги, затем производится разбор этих инцидентов;
  • потребителю в реальном времени оказываются услуги по ликвидации последствий или противодействию выявленным угрозам.

Подобного рода продукты имеются у Cisco (Sourcefire), Check Point, Palo Alto Networks и Symantec.
Читать полностью »

в 11:53, , рубрики: BREACH, csrf, HTTPS, php, ИБ, информационная безопасность, переводы, метки: , , , ,

Во время последней недели на конференции BlackHat общественности был представлен новый тип атаки, направленный на SSL-защищенный контент. Этот тип атаки был назван BREACH (англ. “брешь” прим. перев.), и вызвал целую волну обсуждений в различных сообществах. Технические блоги были забросаны ссылками на сайты со статьями о том, что нет никакой возможности это исправить, и как вы можете попытаться защититься от уязвимости. Многие уважаемые специалисты в ИБ писали об этом.

И я здесь, что бы сказать вам, не беспокойтесь об этом.
Читать полностью »

в 11:56, , рубрики: human resources, Блог компании КРОК, ИБ, карьера, образ жизни, обучение, опыт, перспективы, Учебный процесс в IT, метки: , , , , ,

Карьера специалиста по безопасности

Мы сейчас готовимся ко второй части хакерского турнира. Предвидя возможные вопросы от журналистов и людей, далёких от ИБ, хочу заранее рассказать, почему на выходе получатся далеко не хакеры, и как вообще выглядит карьера специалиста по безопасности.

Безопасник сегодня, грубо говоря, может и перекладывать бумажки, и ходить по периметру с радиоборудованием, и составлять планы Disaster Recovery, и непосредственно заниматься исправлением дыр в софте. Специализаций очень много. Все зависит от конкретной организации: ее размера, типов защищаемой информации, используемых технологий и так далее. Понятно, что интереснее всего работа там, где необходима реальная безопасность, а не фиктивная (бумажная), есть высокий уровень автоматизации.

Давайте посмотрим, откуда берутся и как получаются такие специалисты. Читать полностью »

1...111213
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js