Электронная подпись является проверенным, надежным и, что немаловажно, юридически признанным способом подтверждения авторства и целостности документа. Но, к сожалению, пользователям не всегда удобно работать с ключами и сертификатами. Попробуйте вставить смарт-карту в iPad или смартфон. Конечно, производители придумывают всякие ухищрения вроде смарт-карт в форм-факторе microSD или Bluetooth токенов. Но и это не всегда соответствует ожиданиям пользователя…
Постоянно спотыкаюсь о следующее противоречие: в лучших практиках, стандартах по ИБ рекомендуется четкая иерархия документов, с выделением общей политики ИБ, частных политик, документированных процедур и документов, содержащих свидетельства выполнения деятельности. При этом документы уровнем ниже общей политики ИБ рекомендуется разрабатывать короткими, понятными, заточенными под конкретную аудиторию, ограниченным конкретной областью действия; частные политики – включают только требования по определенной теме и ничего более…
-й Центр ФСБ выложил достаточно неожиданный документ. Документ описывает рекомендации в области разработки нормативно-правовых актов в области защиты ПДн. Но этим же документом рекомендуется пользоваться операторам ИСПДн при разработке частных моделей угроз. Что же думает ФСБ о том, как и где нужно применять СКЗИ?...
Уход от привычной x86 архитектуры — это всегда интересно, и в задании NeoQUEST-2015 «Масоны выбирают солнце» участникам было предложено взломать программу, которая разработана и написана для Sun Solaris 2.6 версии 1995-го года, да еще и для архитектуры SPARC! Задание оказалось непростым не только для прохождения — его подготовка также заняла некоторое время…
Дмитрий Мананников (CISO СПСР-Экспресс) на своих выступлениях часто приводит кейс, когда DLP-решение может помочь департаменту HR в решении его задач. Не задач ИБ, а именно в решении HR-задач. В частности, DLP-решение позволяет своевременно обнаружить и, временами, предотвратить, увольнение людей, которых требуется впоследствие заменить. Учитывая, что на поиск и найм кандидата на замещение вакантной должности уходит около 2-3 месяцев, а увольняющийся уходит максимум через 2 недели с момента озвучивания своего решения, то заблаговременное предупреждение HR-службы со стороны службы ИБ, эксплуатирующей DLP-решение, способствует тому, что либо HR успевает поговорить с увольняющимся и отговорить его, либо своевременно найти ему замену, чтобы кандидат на замещение вакантной должности вышел одновременно с уходом сотрудника…
Предлагаю всем размять мозг после выходных и начать рабочую неделю с простых, на первый взгляд, задачек по программированию на C#. Возможно эти задачи заставят вас посмотреть на код своих проектов с новой стороны, так как все они касаются сумрачной области – области безопасности приложений, Application Security. Про AppSec и платформу .NET пишут не много, говорят еще меньше, некоторые вообще считают, что использование любого managed языка, магическим образом делает приложение защищенным…
Добрый вечер, дорогие читатели! В связи с техническими проблемами портала sec.ru размещаю новые ссылки на свои статьи (2012-2015 гг.). Будем надеяться, что сайт реанимируют, а пока все материалы доступны в pdf…
Чего только у нас не бывает. 28 апреля Председатель Правительства РФ подписал постановление, принятое во исполнение недействующей пока нормы закона, которое одновременно с новой редакцией закона вступит в силу очень скоро – 1 июля 2015 года. Речь идет о Постановлении № 415 «О Правилах формирования и ведения единого реестра проверок»…
Когда готовится объемный документ, например руководство по защите информации или детальная политика информационной безопасности, хочется уместить в минимум объема максимум смысла и при этом иметь возможность оперативно ориентироваться в тексте документа. При подготовке очередного такого многостраничного монстра применил подход, основанный на использовании ментальных карт и тегов, о котором и расскажу…
Даже не один мой знакомый CISO отказывается управлять рисками. Зачем, ведь риски все равно владельцев информационных активов (бизнеса), и если бизнес верно оценит риски то придет сам, а если не верно - будет инцидент, и бизнес все равно придет…
