Чем аудит информационной безопасности отличается от экспертизы?
Подробный лингвистический и семантический разбор различий этих терминов читайте в нашем материале - http://www.itts.uz/news/114
Подробный лингвистический и семантический разбор различий этих терминов читайте в нашем материале - http://www.itts.uz/news/114
Специалист ITTS принял участие в семинаре InfoWatch по противодействию утечке данных и анализу исходных кодов.
Из интересного:
1. Был представлен защищённый смартфон Taigaphone. Аппаратная платформа заказывается в Китае, в России прошивается оптимизированный Android и агент DLP. Наш специалист протестировал его функциональность.📱
2. Новым типом угроз становятся разработчики ПО. Они могут случайно или преднамеренно создавать уязвимости в ПО, которое практически никем не контролируется?
Из интересного:
1. Был представлен защищённый смартфон Taigaphone. Аппаратная платформа заказывается в Китае, в России прошивается оптимизированный Android и агент DLP. Наш специалист протестировал его функциональность.📱
2. Новым типом угроз становятся разработчики ПО. Они могут случайно или преднамеренно создавать уязвимости в ПО, которое практически никем не контролируется?
Приближается праздник - день Конституции Республики Узбекистан, это основной закон. В этом году её четвертьвековой юбилей, и даже в неё 11 (одиннадцать) раз вносились исправления.
В безопасности "конституцией" является политика ИБ, её нужно править ещё чаще и именно она является основой всего процесса ИБ. И конституцию страны и политику ИБ предприятия нужно знать всем. Незнание закона не освобождает от ответственности, а знание - ещё как!
Наша Конституция здесь - http://lex.uz/pages/getpage.aspx?lact_id=35869
Ваша политика ИБ здесь - http://www.itts.uz/activities/is-normative
С праздником!🇺🇿
В безопасности "конституцией" является политика ИБ, её нужно править ещё чаще и именно она является основой всего процесса ИБ. И конституцию страны и политику ИБ предприятия нужно знать всем. Незнание закона не освобождает от ответственности, а знание - ещё как!
Наша Конституция здесь - http://lex.uz/pages/getpage.aspx?lact_id=35869
Ваша политика ИБ здесь - http://www.itts.uz/activities/is-normative
С праздником!🇺🇿
Приближаются и праздничные дни для всех и проблемные дни для специалистов по ИБ.
Мы в ITTS Узбекистан с уверенностью предсказываем рост числа заражения разными вирусами (вымогатели-шифровальщики, троянские кони и др.) через ссылки и вложения в сообщениях электронной почты. Наиболее подготовленные пользователи уже более-менее понимают опасность открывать вложения, но опасность открывать ссылки из писем очевидна далеко не для всех.
Через такие ссылки может быть загружено и опасное содержимое, те же вирусы, а могут быть проэксплуатированы и уязвимости в браузерах и тогда злоумышленник получит почти неограниченный контроль над компьютером жертвы.
Как быть?
1. Подготовить пользователей, предупредить о рисках открытия вложений и переходу по ссылкам из писем, даже получив письмо со знакомого адреса.
2. Более продвинутые администраторы после этого устраивают учебную рассылку со специальной ссылкой-ловушкой. Если предупрежденный и подготовленный пользователь всё-таки поддаётся соблазну и переходит по ссылке, то ему отображается что-то типа: «Ну Вас же предупреждали не щёлкать по ссылкам из писем?!». А администратор уведомляется, кто именно щёлкнул по ссылке-ловушке, с этими пользователем нужно продолжить просветительскую работу.
3. Проверить систему и браузеры на актуальность, например, через бесплатную утилиту http://bit.ly/qbcheck
Как видите, пользователь по-прежнему является основным рубежом защиты.
Новый год не роскошь, а способ перемещения во времени.🎄➡️🐕
Мы в ITTS Узбекистан с уверенностью предсказываем рост числа заражения разными вирусами (вымогатели-шифровальщики, троянские кони и др.) через ссылки и вложения в сообщениях электронной почты. Наиболее подготовленные пользователи уже более-менее понимают опасность открывать вложения, но опасность открывать ссылки из писем очевидна далеко не для всех.
Через такие ссылки может быть загружено и опасное содержимое, те же вирусы, а могут быть проэксплуатированы и уязвимости в браузерах и тогда злоумышленник получит почти неограниченный контроль над компьютером жертвы.
Как быть?
1. Подготовить пользователей, предупредить о рисках открытия вложений и переходу по ссылкам из писем, даже получив письмо со знакомого адреса.
2. Более продвинутые администраторы после этого устраивают учебную рассылку со специальной ссылкой-ловушкой. Если предупрежденный и подготовленный пользователь всё-таки поддаётся соблазну и переходит по ссылке, то ему отображается что-то типа: «Ну Вас же предупреждали не щёлкать по ссылкам из писем?!». А администратор уведомляется, кто именно щёлкнул по ссылке-ловушке, с этими пользователем нужно продолжить просветительскую работу.
3. Проверить систему и браузеры на актуальность, например, через бесплатную утилиту http://bit.ly/qbcheck
Как видите, пользователь по-прежнему является основным рубежом защиты.
Новый год не роскошь, а способ перемещения во времени.🎄➡️🐕
Qualys
Qualys BrowserCheck
Qualys BrowserCheck is a free tool that scans your browser and its plugins to find potential vulnerabilities and security holes and help you fix them.
Нас часто спрашивают: "Какой антивирус лучше?"
Единственного правильного ответа на этот вопрос нет. Всё, что расположено в правой верхней части соответствующего "Магического квадранта" Gartner имеет приблизительно одинаковый функционал, различаются только некоторые технические тонкости.
Для целей тестирования, изучения, применения в быту можем отметить Symantec Endpoint Protection (SEP). Можно загрузить его полнофункциональную триальную версию с центральной консолью управления.
Клиентская же часть SEP может быть установлена отдельно. Она эксплуатируется и обновляется без всяких дополнительных ключей, лицензий и ограничений.
Выполнение лицензионных условий, принимаемых при установке, остаётся исключительно на совести пользователя.
Вы, конечно, можете загрузить это ПО с любого трекера, но можно спокойно получить полнофункциональную версию с официального сайта по ссылке "пробные версии" справа - https://www.symantec.com/ru/ru/endpoint-protection/
Единственного правильного ответа на этот вопрос нет. Всё, что расположено в правой верхней части соответствующего "Магического квадранта" Gartner имеет приблизительно одинаковый функционал, различаются только некоторые технические тонкости.
Для целей тестирования, изучения, применения в быту можем отметить Symantec Endpoint Protection (SEP). Можно загрузить его полнофункциональную триальную версию с центральной консолью управления.
Клиентская же часть SEP может быть установлена отдельно. Она эксплуатируется и обновляется без всяких дополнительных ключей, лицензий и ограничений.
Выполнение лицензионных условий, принимаемых при установке, остаётся исключительно на совести пользователя.
Вы, конечно, можете загрузить это ПО с любого трекера, но можно спокойно получить полнофункциональную версию с официального сайта по ссылке "пробные версии" справа - https://www.symantec.com/ru/ru/endpoint-protection/
Symantec
Антивирусное программное обеспечение | Symantec
Symantec Endpoint Protection обеспечивает первоклассную защиту от вирусов. Узнайте подробнее о новейших эффективных программах для защиты конечных точек от вирусов в виртуальных и физических средах.
Многие специалисты ИБ, к сожалению, редко заглядывают в коммуникационные помещения, редко представляют себе масштаб проблемы организации кабельного хозяйства. А ведь эти проблемы только растут, всё больше организаций переходят на структурированные кабельные сети, когда в одном шкафу сразу монтируются коммуникационное оборудование компьютерных сетей, телефонии, видеонаблюдения и др. В случае серьезного инцидента очень много времени уйдет на поиск проблемного участка. Даже просто обрыв кабеля или ошибочное подключение будет очень сложно выявить. Очень часто без сетевика/телефониста и не разберешься.
Мы рекомендуем заранее навести порядок в коммуникационных шкафах:
1. Промаркировать кабели разных сетевых сегментов. Ещё лучше использовать для этого кабели разных цветов.
2. Создать сетевые схемы разной детализации. От логических схем с потоками информации до схем маршрутизации и даже до экспликации (схемы размещения точек на схеме здания).
3. Надежно защищать коммуникационные шкафы от посторонних. Часто ключи от шкафов теряются и они всегда остаются открытыми.
4. Принять к сведению, что существует серия стандартов O‘z DSt ISO/IEC 27033:2016 «Методы обеспечения безопасности. Сетевая безопасность.» Эта серия описывает множество концепций и способов защиты информации на уровне сети. Можно даже рекомендовать эту серию как методичку для изучающих ИБ и современные телекоммуникации. И обратиться к нам за аудитом ИБ - www.itts.uz
Мы рекомендуем заранее навести порядок в коммуникационных шкафах:
1. Промаркировать кабели разных сетевых сегментов. Ещё лучше использовать для этого кабели разных цветов.
2. Создать сетевые схемы разной детализации. От логических схем с потоками информации до схем маршрутизации и даже до экспликации (схемы размещения точек на схеме здания).
3. Надежно защищать коммуникационные шкафы от посторонних. Часто ключи от шкафов теряются и они всегда остаются открытыми.
4. Принять к сведению, что существует серия стандартов O‘z DSt ISO/IEC 27033:2016 «Методы обеспечения безопасности. Сетевая безопасность.» Эта серия описывает множество концепций и способов защиты информации на уровне сети. Можно даже рекомендовать эту серию как методичку для изучающих ИБ и современные телекоммуникации. И обратиться к нам за аудитом ИБ - www.itts.uz
❄️🥈🥇🥉Это Олимпийские игры бывают раз в четыре года, политику ИБ нужно пересматривать не реже раза в год, а работать над ней постоянно.❄️
Почти все госорганы уже озаботились её разработкой и все находятся в разной стадии готовности. От постановки задачи до согласования готового документа. Сегодня мы в немногих словах расскажем о типичных проблемах на этом сложном пути.
1. Если нет возможности пригласить опытных специалистов, то разработать политику можно и самим. Проще всего начать анализировать ежедневную работу и возникающие проблемы, описывать принимаемые решения.
2. Обычно, в течение года с начала работы набирается уже приличная база знаний в письменном виде, можно обобщать её в виде документа.
3. Попытаться согласовать и ввести в действие разработанный проект политики. Не указано (но многим понятно), с какими именно ещё, кроме Мининфокома, уполномоченными органами согласовывается проект политики. По нашей практике именно согласование с уполномоченными органами занимает очень много времени - от полугода и больше.
4. Чтобы во всё время согласования политики в организации был какой-то руководящий документ по ИБ, мы предлагаем утвердить политику хотя бы на уровне руководства самой организации как «временную инструкцию», «временный порядок».
5. Постоянно дорабатывать политику. Не реже раза в год нужно пересматривать политику, даже если никаких значительных изменений не произошло.
Здесь - всё тезисно, а подробнее:
- У нас на сейте www.itts.uz/news/115-selfpol
- На нашей странице в Facebook https://www.facebook.com/itteamservice
Что почитать ещё:
1. Совместную статью нашего специалиста с экспертом Росатома «С чего начинается информационная безопасность на предприятии? Кадры решают всё.» http://www.itts.uz/news/85-isstart
2. Государственный стандарт O'z DSt ISO/IEC 27002:2016 целиком и его 5-й раздел особенно.
3. Методические пособия по разработке политики информационной безопасности на территории Республики Узбекистан. Для госорганов этот документ обязателен к руководству, для всех остальных - к сведению.
Почти все госорганы уже озаботились её разработкой и все находятся в разной стадии готовности. От постановки задачи до согласования готового документа. Сегодня мы в немногих словах расскажем о типичных проблемах на этом сложном пути.
1. Если нет возможности пригласить опытных специалистов, то разработать политику можно и самим. Проще всего начать анализировать ежедневную работу и возникающие проблемы, описывать принимаемые решения.
2. Обычно, в течение года с начала работы набирается уже приличная база знаний в письменном виде, можно обобщать её в виде документа.
3. Попытаться согласовать и ввести в действие разработанный проект политики. Не указано (но многим понятно), с какими именно ещё, кроме Мининфокома, уполномоченными органами согласовывается проект политики. По нашей практике именно согласование с уполномоченными органами занимает очень много времени - от полугода и больше.
4. Чтобы во всё время согласования политики в организации был какой-то руководящий документ по ИБ, мы предлагаем утвердить политику хотя бы на уровне руководства самой организации как «временную инструкцию», «временный порядок».
5. Постоянно дорабатывать политику. Не реже раза в год нужно пересматривать политику, даже если никаких значительных изменений не произошло.
Здесь - всё тезисно, а подробнее:
- У нас на сейте www.itts.uz/news/115-selfpol
- На нашей странице в Facebook https://www.facebook.com/itteamservice
Что почитать ещё:
1. Совместную статью нашего специалиста с экспертом Росатома «С чего начинается информационная безопасность на предприятии? Кадры решают всё.» http://www.itts.uz/news/85-isstart
2. Государственный стандарт O'z DSt ISO/IEC 27002:2016 целиком и его 5-й раздел особенно.
3. Методические пособия по разработке политики информационной безопасности на территории Республики Узбекистан. Для госорганов этот документ обязателен к руководству, для всех остальных - к сведению.
Закупка оборудования и ПО для обеспечения информационной безопасности, да и для ИТ - больная тема для руководителя. Что купить - «проще и дешевле» или «лучше и дороже»?
Высшее руководство или финансовый менеджмент тоже любит поинтересоваться аргументами при выборе конкретного решения.
Предлагаем два дополнительных способа выбора и его обоснования.
1. Стандарт O‘z DSt ISO/IEC 27033-2:2016 хоть и относится больше к сетевой безопасности, прекрасно может быть экстраполирован на любые закупки техники и услуг. Вот его рекомендации с некоторыми сокращениями:
«8.3 Критерии выбора продукции или поставщика
Некоторые примеры того, на чем должен быть основан выбор продукции, включают в себя:
- техническую область применения и оценку продукции;
- производительность;
- отказоустойчивость;
- совместимость;
- расширяемость;
- техническую документацию;
- техническое обслуживание;
- характеристики производителя (потенциал, репутация, ориентация на качество, положение на рынке, размер, общая компетентность);
- сроки поставки;
- стоимость.»
Обратите внимание, что стоимость стоит на последнем месте. У нас, к сожалению, стоимость часто становится чуть ли не единственным критерием при выборе поставщика.
2. Если покупается какое-то решение от мирового лидера, то можно использовать, в том числе, упоминавшиеся ранее магические квадранты Гартнер. Кстати, на днях опубликован новый выпуск самого популярного квадранта - по антивирусному ПО. В этот раз явным лидером признан Symantec (решение SEP). Мы же в ITTS не отметили существенных изменений в новых версиях SEP - как рекомендовали его, так и продолжаем это делать. Т.е. мы в ITTS в этом вопросе «обогнали» Гартнер - дали такой же прогноз только на месяц раньше.
Полная версия квадранта по защите конечных точек (от января 2018 года) https://resource.elq.symantec.com/LP=5443
Ссылка на все квадранты по ИБ с картинками и по годам https://zlonov.ru/mq/security-quadrants/
Высшее руководство или финансовый менеджмент тоже любит поинтересоваться аргументами при выборе конкретного решения.
Предлагаем два дополнительных способа выбора и его обоснования.
1. Стандарт O‘z DSt ISO/IEC 27033-2:2016 хоть и относится больше к сетевой безопасности, прекрасно может быть экстраполирован на любые закупки техники и услуг. Вот его рекомендации с некоторыми сокращениями:
«8.3 Критерии выбора продукции или поставщика
Некоторые примеры того, на чем должен быть основан выбор продукции, включают в себя:
- техническую область применения и оценку продукции;
- производительность;
- отказоустойчивость;
- совместимость;
- расширяемость;
- техническую документацию;
- техническое обслуживание;
- характеристики производителя (потенциал, репутация, ориентация на качество, положение на рынке, размер, общая компетентность);
- сроки поставки;
- стоимость.»
Обратите внимание, что стоимость стоит на последнем месте. У нас, к сожалению, стоимость часто становится чуть ли не единственным критерием при выборе поставщика.
2. Если покупается какое-то решение от мирового лидера, то можно использовать, в том числе, упоминавшиеся ранее магические квадранты Гартнер. Кстати, на днях опубликован новый выпуск самого популярного квадранта - по антивирусному ПО. В этот раз явным лидером признан Symantec (решение SEP). Мы же в ITTS не отметили существенных изменений в новых версиях SEP - как рекомендовали его, так и продолжаем это делать. Т.е. мы в ITTS в этом вопросе «обогнали» Гартнер - дали такой же прогноз только на месяц раньше.
Полная версия квадранта по защите конечных точек (от января 2018 года) https://resource.elq.symantec.com/LP=5443
Ссылка на все квадранты по ИБ с картинками и по годам https://zlonov.ru/mq/security-quadrants/
Накануне, 19 февраля 2018 г. Президентом Узбекистана подписан указ «О мерах по дальнейшему совершенствованию сферы информационных технологий и коммуникаций».
Этим документом отмечена «слабая организация работы по обеспечению информационной безопасности и защиты информации в государственных информационных системах», предусмотрена «реализация комплексных мер по обеспечению кибербезопасности».
Для коллег из госорганов хорошей новостью станет то, что «размер ежемесячной надбавки работникам государственных органов и иных бюджетных организаций, ответственным за внедрение и развитие современных информационных технологий и коммуникаций, устанавливается в размере не менее 100 процентов от должностного оклада работника». Надеемся, что это поможет привлекать и удерживать грамотных специалистов.
Вот ссылка на документ http://uza.uz/ru/documents/o-merakh-po-dalneyshemu-sovershenstvovaniyu-sfery-informatsi-20-02-2018
Для всех руководителей это ещё один сигнал, что нужно проводить аудит (экспертизу) своих информационных систем, разрабатывать политику ИБ.
Мы поможем в этом - www.itts.uz/activities/is-expertise
Этим документом отмечена «слабая организация работы по обеспечению информационной безопасности и защиты информации в государственных информационных системах», предусмотрена «реализация комплексных мер по обеспечению кибербезопасности».
Для коллег из госорганов хорошей новостью станет то, что «размер ежемесячной надбавки работникам государственных органов и иных бюджетных организаций, ответственным за внедрение и развитие современных информационных технологий и коммуникаций, устанавливается в размере не менее 100 процентов от должностного оклада работника». Надеемся, что это поможет привлекать и удерживать грамотных специалистов.
Вот ссылка на документ http://uza.uz/ru/documents/o-merakh-po-dalneyshemu-sovershenstvovaniyu-sfery-informatsi-20-02-2018
Для всех руководителей это ещё один сигнал, что нужно проводить аудит (экспертизу) своих информационных систем, разрабатывать политику ИБ.
Мы поможем в этом - www.itts.uz/activities/is-expertise
Краткий анализ нормативной базы по информационной безопасности в Узбекистане.
🖐Это дайджест.🤚 Полную версию статьи со ссылками на все перечисленные документы читайте на нашем сайте - http://www.itts.uz/news/78-is-normbase
Любой CISO (англ. Chief Information Security Officer) — руководитель отдела информационной безопасности, приступая к работе по организации работы подразделения, разработке внутренней нормативной базы по ИБ, озадачивается вопросом – какие имеющиеся документы принимать за основу. В этой статье попробуем кратко проанализировать существующие документы по этой теме.
Практически, на высшем уровне нормативной базы находятся законы Из них можно почерпнуть общий взгляд на проблему, некоторые общие определения. Вот, пожалуй, основные из них, в которых упоминается информационная безопасность:
• Закон «Об информатизации».
• Закон «О принципах и гарантиях свободы информации».
• Закон «О телекоммуникациях».
• Закон «О защите информации в автоматизированной банковской системе».
Далее по статусу идут государственные стандарты. Основными стандартами в области информационной безопасности являются стандарты серии O`z DSt ISO/IEC 27000. В качестве основных стандартов серии можно отметить:
• O`z DSt ISO/IEC 27000:2014 «Информационная технология. Методы обеспечения безопасности. Системы управления информационной безопасностью. Обзор и словарь»
• O`z DSt ISO/IEC 27001:2016 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования».
• O'z DSt ISO/IEC 27002:2016 «Информационная технология. Методы обеспечения безопасности. Практические правила управления информационной безопасностью».
• O`z DSt ISO/IEC 27005:2013 «Информационная технология. Методы обеспечения безопасности. Управление рисками информационной безопасности».
Следующий уровень условной иерархии документов – руководящие документы.
Самым конкретными и подробными являются, как правило, требования по информационной безопасности, предъявляемые регуляторами. Ярким примером этого класса документов являются инструкции Центрального банка Республики Узбекистан. Например:
• Положение о защите информации в электронных системах коммерческих банков Республики Узбекистан, № 631 (1/8), зарегистрированным МЮ 13.03.2006 г. № 1552 13.03.2006 г.
• Инструкция об организации защиты электронной информации в банках Республики Узбекистан, № 492 от 23.06.2001 зарегистрированным МЮ 09.07.2001 г. № 1047
Выше приведена лишь небольшая часть существующих нормативов по информационной безопасности. Удобными инструментами поиска их являются:
1. LexUz - Информационно-поисковая система Национальной базы данных законодательства Республики Узбекистан.
2. Автоматизированная система Банк данных нормативных документов сферы связи и информатизации.
3. Сайты отраслевых регуляторов.
Полную версию статьи со ссылками на все перечисленные документы читайте на нашем сайте - http://www.itts.uz/news/78-is-normbase
🖐Это дайджест.🤚 Полную версию статьи со ссылками на все перечисленные документы читайте на нашем сайте - http://www.itts.uz/news/78-is-normbase
Любой CISO (англ. Chief Information Security Officer) — руководитель отдела информационной безопасности, приступая к работе по организации работы подразделения, разработке внутренней нормативной базы по ИБ, озадачивается вопросом – какие имеющиеся документы принимать за основу. В этой статье попробуем кратко проанализировать существующие документы по этой теме.
Практически, на высшем уровне нормативной базы находятся законы Из них можно почерпнуть общий взгляд на проблему, некоторые общие определения. Вот, пожалуй, основные из них, в которых упоминается информационная безопасность:
• Закон «Об информатизации».
• Закон «О принципах и гарантиях свободы информации».
• Закон «О телекоммуникациях».
• Закон «О защите информации в автоматизированной банковской системе».
Далее по статусу идут государственные стандарты. Основными стандартами в области информационной безопасности являются стандарты серии O`z DSt ISO/IEC 27000. В качестве основных стандартов серии можно отметить:
• O`z DSt ISO/IEC 27000:2014 «Информационная технология. Методы обеспечения безопасности. Системы управления информационной безопасностью. Обзор и словарь»
• O`z DSt ISO/IEC 27001:2016 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования».
• O'z DSt ISO/IEC 27002:2016 «Информационная технология. Методы обеспечения безопасности. Практические правила управления информационной безопасностью».
• O`z DSt ISO/IEC 27005:2013 «Информационная технология. Методы обеспечения безопасности. Управление рисками информационной безопасности».
Следующий уровень условной иерархии документов – руководящие документы.
Самым конкретными и подробными являются, как правило, требования по информационной безопасности, предъявляемые регуляторами. Ярким примером этого класса документов являются инструкции Центрального банка Республики Узбекистан. Например:
• Положение о защите информации в электронных системах коммерческих банков Республики Узбекистан, № 631 (1/8), зарегистрированным МЮ 13.03.2006 г. № 1552 13.03.2006 г.
• Инструкция об организации защиты электронной информации в банках Республики Узбекистан, № 492 от 23.06.2001 зарегистрированным МЮ 09.07.2001 г. № 1047
Выше приведена лишь небольшая часть существующих нормативов по информационной безопасности. Удобными инструментами поиска их являются:
1. LexUz - Информационно-поисковая система Национальной базы данных законодательства Республики Узбекистан.
2. Автоматизированная система Банк данных нормативных документов сферы связи и информатизации.
3. Сайты отраслевых регуляторов.
Полную версию статьи со ссылками на все перечисленные документы читайте на нашем сайте - http://www.itts.uz/news/78-is-normbase
В прошлом году мы в ITTS-Узбекистан уже писали о безопасности интернета вещей, даже в самых неожиданных местах https://t.me/ittsuz/34 🇺🇿
В этом году тема получила продолжение в рамках Всемирного мобильного конгресса 2018 в Барселоне. 😎
Предлагаем Вам прослушать обсуждение темы безопасности интернета вещей в программе «Точка», которая вышла на радио «Эхо Москвы» 4 марта 2018 г.
В рамках программы обсуждены:
- 4 автомобиля Tesla уже были взломаны дистанционно.
- Можно ли доверять камерам и охранным системам, купленным в интернете?
- Как аудиторы ищут уязвимости в камерах, замках, системах АСУТП? Что они делают с обнаруженными уязвимостями?
- Хакеры используют взломанные холодильники и роутеры для майнинга криптовалют и взлома паролей.
- Аппаратные лицензионные ключи (например, Gemalto) тоже содержат критичные уязвимости. При этом такие ключи наиболее широко распространены в крупном бизнесе (банки) - десятки тысяч уязвимых устройств.
- Системы промышленной автоматизации содержат уязвимости, которые не устраняются годами, о них знают и производители и аудиторы.
Предлагаем прослушать полную версию программы (47 минут) - ниже прикреплён файл.
https://echo.msk.ru/programs/tochka/2158622-echo/
В этом году тема получила продолжение в рамках Всемирного мобильного конгресса 2018 в Барселоне. 😎
Предлагаем Вам прослушать обсуждение темы безопасности интернета вещей в программе «Точка», которая вышла на радио «Эхо Москвы» 4 марта 2018 г.
В рамках программы обсуждены:
- 4 автомобиля Tesla уже были взломаны дистанционно.
- Можно ли доверять камерам и охранным системам, купленным в интернете?
- Как аудиторы ищут уязвимости в камерах, замках, системах АСУТП? Что они делают с обнаруженными уязвимостями?
- Хакеры используют взломанные холодильники и роутеры для майнинга криптовалют и взлома паролей.
- Аппаратные лицензионные ключи (например, Gemalto) тоже содержат критичные уязвимости. При этом такие ключи наиболее широко распространены в крупном бизнесе (банки) - десятки тысяч уязвимых устройств.
- Системы промышленной автоматизации содержат уязвимости, которые не устраняются годами, о них знают и производители и аудиторы.
Предлагаем прослушать полную версию программы (47 минут) - ниже прикреплён файл.
https://echo.msk.ru/programs/tochka/2158622-echo/
Mar 04, 21:06
tochka
О безопасности интернета вещей на всемирном мобильном конгрессе 2018 в Барселоне
Вчера поздно вечером стало известно о преобразовании СНБ в Службу государственной безопасности Республики Узбекистан.🇺🇿
Специалисты ITTS-Узбекистан подготовили заметку о возможных изменениях в процедурах информационной безопасности.🛠
Полную версию заметки со ссылками на документы📕 читайте на нашем сайте или на страничке в Facebook:
https://www.facebook.com/itteamservice/posts/1602285969849113
http://www.itts.uz/news/116-sgb
Специалисты ITTS-Узбекистан подготовили заметку о возможных изменениях в процедурах информационной безопасности.🛠
Полную версию заметки со ссылками на документы📕 читайте на нашем сайте или на страничке в Facebook:
https://www.facebook.com/itteamservice/posts/1602285969849113
http://www.itts.uz/news/116-sgb
Обновилась одна из самых известных универсальных методологий (фреймворков) обеспечения ИБ - 20 CIS Controls Version 7. Мы уже писали об этой методологии раньше - https://t.me/ittsuz/49
Мы в ITTS-Узбекистан широко применяем данную методологию и в рамках экспертиз ИБ, и в разработках нормативов.
Новая версия во многом сохранила прежние подходы, но есть и изменения.
Изменились приоритеты в обеспечения ИБ, скорректированы формулировки. Теперь фундаментальная шестёрка (была пятёрка) мер ИБ выглядит таким образом:
Мера #1: Инвентаризация всех устройств подключенных к сети.
Мера #2: Инвентаризация всего используемого программного обеспечения.
Мера #3: Непрерывное управление уязвимостями .
Мера #4: Контролируемое использование административных прав.
Мера #5: Безопасная настройка оборудования и ПО на мобильных устройствах, ноутбуках, рабочих станциях и серверах.
Мера #6: Поддержка, мониторинг и анализ журналов аудита (логов).
Другое нововведение - все 20 мер разделены на три группы:
Базовые, фундаментальные меры - с 1-й по 6-ю (CIS Controls 1-6): Ключевые меры, которые должны быть реализованы во всех организациях для обеспечения минимального уровня ИБ.
Основные меры - с 7-й по 16-ю (CIS Controls 7-16): Следующий уровень защиты - лучшие практики, которые очень рекомендованы для внедрения во всех организациях.
Организационные меры - с 17-й по 20-ю (CIS Controls 17-20): Меры, сфокусированные на персонале и процессах вовлеченных в обеспечении ИБ.
Полные версии всех документов по фреймворку доступны тут - https://www.cisecurity.org/controls/
Мы в ITTS-Узбекистан широко применяем данную методологию и в рамках экспертиз ИБ, и в разработках нормативов.
Новая версия во многом сохранила прежние подходы, но есть и изменения.
Изменились приоритеты в обеспечения ИБ, скорректированы формулировки. Теперь фундаментальная шестёрка (была пятёрка) мер ИБ выглядит таким образом:
Мера #1: Инвентаризация всех устройств подключенных к сети.
Мера #2: Инвентаризация всего используемого программного обеспечения.
Мера #3: Непрерывное управление уязвимостями .
Мера #4: Контролируемое использование административных прав.
Мера #5: Безопасная настройка оборудования и ПО на мобильных устройствах, ноутбуках, рабочих станциях и серверах.
Мера #6: Поддержка, мониторинг и анализ журналов аудита (логов).
Другое нововведение - все 20 мер разделены на три группы:
Базовые, фундаментальные меры - с 1-й по 6-ю (CIS Controls 1-6): Ключевые меры, которые должны быть реализованы во всех организациях для обеспечения минимального уровня ИБ.
Основные меры - с 7-й по 16-ю (CIS Controls 7-16): Следующий уровень защиты - лучшие практики, которые очень рекомендованы для внедрения во всех организациях.
Организационные меры - с 17-й по 20-ю (CIS Controls 17-20): Меры, сфокусированные на персонале и процессах вовлеченных в обеспечении ИБ.
Полные версии всех документов по фреймворку доступны тут - https://www.cisecurity.org/controls/