Захист інформації

Захист інформації

Про вихід російськомовного перекладу стандарту BS 7799-3:2006

www.securitylab.ru чемно нам повідомляє про вихід російського перекладу британського стандарту BS 7799-3:2006 “Системы управления информационной безопасностью – Часть 3: Руководство по управлению рисками информационной безопасности”. Експерти передбачають, що до кінця наступного року даний стандарт ISO затвердить як міжнародний з індексом 27005 . Стандарт містить інформацію про основні фактори ризику, процеси керування ризиками, описує взаємозв’язок між ризиками інформаційної безпеки та іншими ризиками, вимоги та рекомендації щодо вибору методології та інструментів для оцінки ризиків. Зараз проводиться робота над стандартами по застосуванню та вимірюванню ефективності систем керування інформаційною безпекою які повинні отримати індекси 27003 та 27004. Їх випуск запланований на 2007 рік. Буде доступною і російськомовна версія.

У Скотланд-Ярд проблеми

За повідомленням www.lenta.ru у Скотланд-Ярд виникли проблеми. 16 листопада було викрадено 3 лептопи у яких містилась інформація про банківські реквізити, номера соціальних страхівок, адреси проживання та розмір зарполатні 15 тис. сівробітників Скотланд-Ярду. Керівництво закладу наказало своїм працівникам прослідковувати стан своїх рахунків і про несанкціоновані зміни відразу повідомляти.
Перше, що мене здивувало так це чому така інформація зберігалась на лептопах, які не були захищені відповідним чином (хоч би до стіни цвяхами поприбивали). Така подія може свідчити про недотримання (незнання, небажання дотримуватись) політики безпеки. Адже тільки коплекс фізичних та програмних засобів захисту може гарантувати збереження такого роду інформації. Вони просто повинні були передбачити можливість підкупу працівників, випадок ядерної війни і що найгірше – планового відключення електроенергії. І на кожен з випадків повинна існувати інструкція по протидії цьому. Не спрацювала служба безпеки Служби безпеки. А може то хтось із трудоголіків-працівників просто взяв ці комп’ютери додому, щоб трохи більше попрацювати і забув про це сказати ...

Визначено улюблені цілі хакерів

SANS Institute (SysAdmin, Audit, Networking and Security) опублікувала щорічний список 20 програмних продуктів, що є улюбленими цілями хакерів (Top 20 Security Targets). І як завжди на першому місці продукти Microsoft: Internet Explorer, Office, Windows Libraries.
Ця ж організація виявила 45 вразливостей Microsoft Office, які попали у категорію критичних, серйозних. Десять з них дають можливості до zero-day атак ( коли атака здійснюється раніше, ніж розробник випустить відповідну заплатку). І мені як прихильнику та шанувальнику FreeBSD напрочуд приємно читати такі факти. З нетерпінням очікую вихід Windows Vista там буде про що писати.
У веб ресурсах найбільш поширені атаки типу SQL injection (введення спеціального коду для отримання доступу до бази даних) та cross-site-scripting (використання скритого коду в вікні браузера користувача). Це може свідчити про безграмотність розробників ПЗ, оскільки вже давно є готові скрипти для запобігання атак такого типу. А у мови PHP є навіть вбудовані функції для фільтрування введеного тексту, так невже так складно їх використати.

Керівник проекту + ризик = ?

Для початку визначимо що ми будемо розуміти під терміном ризику. Ризик це певна подія, що здатна вплинути на хід проекту. Основна його характеристика – ймовірність виникнення. Ризик, який реалізувався будемо розуміти під проблемою. Слід розрізняти поняття – вирішення проблеми та вирішення задачі.
В більшості випадків керівники проектів (розглянемо розробку програмного проекту) не враховують ризик через те, що виявлений ризик він сприймає як недолік його роботи. Але ж значно простіше внести зміни у проект у процесі відладки, ніж після його здачі. І продукт буде працювати стабільніше.
Ризик виникає із зародженням проекту. Він виникає за наступних умов: неправильно оцінений розмір та складність задач розробки, необхідні ресурси; використовуються недосконалі інструменти розробки проекту; проект розробляють не фахівці; визначення строків закінчення проекту проходить без врахування структури проекту та його складності; існування сильної залежності від конкретних людей; постійно змінюються вимоги до розробки; розміри проекту не відповідають його бюджету.

Про шлюз інформаційної безпеки

На ринку з’явився шлюз інформаційної безпеки D-Link DFL-M510 . Про його характеристики можна прочитати за адресою http://www.ritm-it.ru/protection/d-link/dlink-firewalls/m90464/7730.htm . Він підключається між міжмережевим екраном та локальною мережею. Пристрій дозволяє заблокувати роботу програм чи їх окремих функцій, коли він виявить в них шкідливий код, обмежити роботу із поштовими службами, програмами-завантажувачами(GetRight та ін.), обмежити пропускну здатність каналу, блокування несанкціонованого трафіка, керування передачею Р2/Р-сервісів, захищає від більшості атак DOS/DDOS. Якщо атака йде із середини мережі, то використовується технологія Zone Defense і пристрій може заблокувати порт комутатора до якого під’єднаний хакер.

Про те, чому потрібно проводити аналіз захищеності

На сторінці 73 журналу “Компьютерное обозрение” №41(560) за 31 жовтня – 6 листопада 2006р розміщена стаття Евгения Куценко “Знание правил не гарантирует их выполнение”. Автор повідомляє про проведення глобального соціологічного дослідження.
Було опитано більше 1000 чоловік із 10 країн. Ціль проведення такого дослідження полягала у вивченні такого питання як – на скільки користувачі інформаційної системи створюють додаткову загрозу для своєї інформаційної безпеки. По отриманим відповідям було виділено окрему категорію – віддалені працівники. Дві третини респондентів відмітили що віддалена робота потребує підвищеної обережності, проте вони це ігнорують. Більше 21% учасників дозволяють особам що не мають відношення до роботи використовувати свій комп’ютер для доступу в Інтернет. Кожен четвертий заявив що в процесі роботи за службовим комп’ютером відкриває електронні листи від невідомих адресатів. Крім цього 29% опитаних призналися у використанні службових комп’ютерів у приватних цілях, 40% використовують для проведення закупів в Інтернет. За словами Jeff Platon віце-президента компанії Cisco, необережне поводження 11 віддалених працівників компанії зі штатом у 100 чоловік може повністю вивести з ладу корпоративну мережу, викликати витік конфіденційної інформації та персональних даних. До цього може призвести всього одна вразливість у системі захисту.

Комплексні атаки через Інтернет. Приклад вразливостей Cpanel та IE

Я вже тривалий час з тривогою очікую появи нових системних атак, які будуть провадитися через Інтернет і носити комплексний характер – експлуатуватимуть різні вразливості серверів та комп'ютерів користувачів.
Тобто у найпростішому описі така атака може виглядати як:
- початкове інфікування багатьох авторитетних сайтів (через вразливе серверне ПЗ);
- подальше розміщення на інфікованих серверах коду, який вражатиме комп'ютери користувачів (не обов'язково через дірки – значна частина користувачів може сама встановити шкідливий код зі сайтів, котрим вони довіряли);
- Уже комп'ютери користувачів можуть стати площадками подальших атак (зокрема захоплення нових серверів).

Підсумкові документи ВСІС. Тепер - українською

В мережі опубліковані Підсумкові документи Всесвітнього саміту з питань інформаційного суспільства (ВСІС)

Впевнений, що ця робота сприятиме:

  • розробці й обґрунтуванню законодавчих актів, а також загальнонаціональних, галузевих та регіональних програм і проектів, пов’язаних з інформатизацією та побудовою інформаційного суспільства;
  • розвиткові та усталенню української термінології у сфері інформаційно-комунікаційних технологій;

Стан та перспективи використання ЕЦП. Відкриття центру сертифікації

Надійне завірення документів які створені у електронній формі і не мають паперового аналогу може спростити життя для багатьох користувачів фінансових послуг та різних видів бізнесу. Для завірення (підписування) документів у електронній формі використовують механізм електронного цифрового підпису (ЕЦП).

Робота з ЕЦП в Україні грунтується на ряді законів ("Про електронний цифровий підпис",

Визначення терміну СПАМ у законодавстві України

У законодавстві України з'явилось наступне визначення:

Спам - не замовлені попередньо споживачами електронні повідомлення, які або є масовими, або в яких не наведено достовірні відомості про повну назву, власну поштову чи електронну адресу замовника чи відправника цих повідомлень, або подальше отримання яких споживач не може припинити шляхом інформування про це замовника чи відправника.

Визначення введено у постанові Кабінету міністрів України від 9 серпня 2005 р. N 720 "Про затвердження Правил надання та отримання телекомунікаційних послуг"

Сертифікація Windows XP Professional з Service Pack 2

Операційна система MS Windows XP Professional корпорації Microsoft® з пакетом оновлення Service Pack 2 та пакетом підтримки української мови отримала експертний висновок СБУ.

Згідно з наданим висновком сервіси безпеки операційної системи Microsoft Windows XP Professional відповідають з рівнем гарантій Г-2 вимогам нормативних документів системи технічного захисту інформації в Україні в обсязі функцій, зазначених у документі “Державна експертиза з технічного захисту інформації операційної системи Windows XP Professional SP2. Технічні вимоги”. Відповідно до НД ТЗІ 2.5-004-99 сукупність функцій захисту визначається функціональним профілем КД-2, КО-1, КВ-2, ЦД-1, ЦО-1, ЦВ-2, ДР-1, ДЗ-1, ДВ-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2, НВ-1, НА-1, НП-1.

Потенційно найбільша крадіжка інформації про кредитні картки

Компанія CardSystems Solutions, Inc. (США) визнала "потенційний інцидент з безпекою" та "співпрацює з ФБР" у розслідуванні інциденту.

Суть інциденту
22 травня 2005 року стався крупний витік інформації про кредитні картки (номери карток та інша персональна інформація) з CardSystems Solutions. Верхня оцінка кількості викрадених карток за оцінкою платіжних систем складає:

Дефейси сайтів

Досить успішно окремі особи та групи хуліганів шукають інформацію про дірки у популярних програмних продуктах (форумах, гостьових книгах ...).
Як правило все зводиться до бажання зробити "дефейс". Тобто поміняти індексну сторінку на "Сайт зламано. Вася" або якось по іншому відзначитись на дизайні (defacing).

Сліди спроб дефейсів є у логах практічно всіх популярних сайтів.

Троянський кінь у процесорі Intel Pentium D

Троянський кінь у процесорі Intel Pentium D, або чим би зайняти другу половину "двопроцесорного" процесора?

Саме на троянського коня або апаратну закладку подібні нові функції процесорів Intel Pentium D.

Перша новинка - апаратна підтримка Digital Rights Management (технологія обмеження на використання контенту від Microsoft).

Суть блокування контенту наступна.

Які перспективи електронної пошти?

Досвідчених користувачів сервісу електронної пошти не дивує кількість спама, яка надходить у їх скриньки. Нажаль помітно ряд тендецій, які свідчать - інформаційного сміття у пошті буде більше.

Syndicate content

© Інформаційні технології. Аналітика , Рідна Мережа