Центробанк взялся за безопасность НФО
Коржов Валерий
На сайте технического комитета ТК-122 (http://tk122.ru/) в начале ноября опубликованы два проекта стандартов Центрального банка РФ: СТО БР ИБНФО Б-1.0 «Обеспечение информационной безопасности некредитных финансовых организаций. Общие положения» и СТО БР ИБНФО М-1.0 «Обеспечение информационной безопасности некредитных финансовых организаций, соответствующих критериям отнесения к малым предприятиям и микропредприятиям. Общие положения». Первый проект стандарта определяет требования к информационной безопасности для крупных и средних некридитных финансовых организаций (НФО), а второй – для малых и микропредприятий. В документе указано, что при количестве сотрудников в компании более 60 человек рекомендуется использовать первый стандарт, при меньшей численности – второй. Впрочем, оба стандарта предполагается сделать пока рекомендательными, но уже предусмотрено уточнение «если иное не указано в других законодательных актах». В обоих стандартах указывается, что в НФО необходимо построить систему обеспечения информационной безопасности (СОИБ), которая состоит из собственно системы информационной безопасности (СИБ) и системы мониторинга информационной безопасности (СМИБ). Первая – защищает, вторая – контролирует. Выбор технических средств защиты осуществляется в соответствии с моделью угроз и нарушителей. Предполагается, что мониторинг позволяет оценить актуальность угроз, состояние системы защиты и эффективность защиты. В случае обнаружения проблем защита должна перестраиваться таким образом, чтобы можно было защищаться в том числе и от новых угроз. Контроль необходим для постоянного развития системы защиты. Стандарт также […]
SafeNet Luna EFT (Electronic Funds Transfer) Payment HSM
Информационная безопасность
ТЕМАТИКА ПРОДУКЦИИ — аппаратный модуль безопасности НАИМЕНОВАНИЕ — SafeNet Luna EFT (Electronic Funds Transfer) Payment HSM ПРОИЗВОДИТЕЛЬ — Gemalto (SafeNet) ИСТОЧНИК (URL) — http://www.gemalto.com/ НАЗНАЧЕНИЕ — облачная токенизации для защиты мобильных платежных транзакций и кодирования данных кредитных карт ХАРАКТЕРИСТИКИ И ПРЕИМУЩЕСТВА — защищают данные о платежных транзакциях, управляя всем процессом шифрования, благодаря чему обеспечивается высокий уровень безопасности при регистрации, процессинге и токенизации данных кредитных карт и данных платежных транзакций Аппаратные модули безопасности Gemalto Payment HSM обеспечивают соответствие стандартам облачной токенизации для защиты мобильных платежных транзакций и кодирования данных кредитных карт Компания Gemalto, мировой лидер в области цифровой безопасности, сегодня объявила о том, что разработанный ею аппаратный модуль безопасности SafeNet Luna EFT (Electronic Funds Transfer) Payment HSM поддерживает новые стандарты безопасности, предложенные крупнейшими международными карточными платежными системами для реализации защищенных бесконтактных платежей с помощью мобильных телефонов. В частности, устройство SafeNet Luna EFT сможет обеспечить соответствие стандартам безопасности высокозащищенной облачной токенизации для осуществления безопасной обработки платежных транзакций и для кодирования данных кредитных карт. В связи с растущей популярностью мобильных платежей и появлением новых технологий, таких как Host Card Emulation (HCE), крупнейшие платежные системы разработали новые программно-реализуемые стандарты, предназначенные для кодирования данных кредитных карт и обеспечения безопасности платежных транзакций, осуществляемых с использованием различных мобильных устройств. Теперь […]
Шесть атак на маршрутизаторы Cisco
Коржов Валерий
Маршрутизаторы – основа инфраструктуры Интернета, поэтому они особенно привлекательны для хакеров. Установить троянца в маршрутизатор – лучший способ контроля сети. Однако сделать это довольно сложно – ничто так хорошо не выдает атаку, как поломанный маршрутизатор. Хакеры, которые стремятся долго контролировать корпоративные или даже провайдерские сети, должны произвести захват маршрутизаторов максимально незаметно. Для этого в нем должен работать правильно основной функционал. Поэтому, чтобы написать троянца под IOS компании Cisco, надо хотя бы понять, как устроена эта операционная система, – а это непросто. Именно поэтому за все существование IOS компании Cisco троянцы для этой ОС были зафиксированы всего шесть раз – такие данные недавно опубликовали эксперты компании. Первые два инцидента были зафиксированы компанией в 2011–2012 гг. Троянец представлял собой модифицированное ядро, которое нужно было установить на маршрутизатор. Заразить таким троянцем можно было только устройства серий 2800 и 3800. Модификация приводила к ослаблению механизм выбор ключа шифрования Диффи – Хеллмана и позволяла нападающему дешифровать защищаемый трафик. Еще две атаки было зафиксировано в 2013 г. Атакующие должны были получить контроль над административным интерфейсом операционной системы и модифицировать образ операционной системы, загруженной в память маршрутизатора. Изменения приводили к тому, что маршрутизатор начинал дублировать обрабатываемые пакеты, посылая их на указанный хакерами IP-адрес. В другом варианте этой […]
Импортозамещение шила на мыло
Коржов Валерий
Рефреном практически всех мероприятий этой осени является тема импортозамещения. Если российский производитель выпускает новый продукт, то он не забудет упомянуть о больших планах на будущее импортозамещение. Если иностранный, то намекает, что у него есть возможность сделать свои технологии российскими. Некоторые хвалятся, что по тем или иным причинам не попадают под санкции, но больше всего рассуждений о самом процессе импортозамещения в ИТ и его последствиях. Такой ажиотаж связан с законодательным процессом импортозамещения, который сформирован Федеральным законом № 188-ФЗ, опубликованным 6 июля и вступающим в силу 1 января 2016 г. Этот закон вносит определение понятий российского программного обеспечения и баз данных в «трехглавый» закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации». А второй статьей вносит запрет на покупки иностранного ПО в Федеральный закон № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», который определяет требования к закупкам товаров, осуществляемым государственными и муниципальными органами власти. При этом для ИТ-компаний государственный сектор России является чуть ли не самым важным, приносящим больше всего дохода: эксперты называют цифры до 70% у некоторых наиболее успешных российских компаний, занимающихся ИТ. Таким образом, для российских поставщиков соответствие требованиям № 188-ФЗ является ключевым для выживания в кризис. При этом основным […]
Дмитрий Костров: Удар в область третьего уровня
Информационная безопасность
15 сентября Интернет взорвала новость о взломанных маршрутизаторах известной компании: 79 зараженных маршрутизаторов в 19 странах (США – 25, Ливан – 12, Россия – восемь). «Хитрая» операционная система SYNful Knock (типа Internetwork Operating System) является специализированной модификацией образа прошивки маршрутизатора, которая может быть использована для последующих атак в рамках сети компании-жертвы. Обнаружили уязвимость с помощью открыто распространяемого высокоскоростного сканера ZMap. Компании, которые обнаружили эту уязвимость (Mandiant и FireEye), утверждают, что данная специализированная IOS может удаленно обновляться. Это прекрасный плацдарм для развития атаки. Считается, что подвержены версии систем 1841, 2811, и 3825, но, похоже, подмена ПО произошла на более широкой линейке продукта. Интересно, что «хорошее» обновление программного обеспечения маршрутизаторов было проведено самими администраторами (или с использованием их логинов и паролей), т. е. специалисты ИТ-подразделений откуда-то скачали и установили эти образы. Атаки на инфраструктуру – явление не новое. В мае текущего года пресса писала о наличии свыше 40 тыс. зараженных маршрутизаторов, которые оказались частью так называемой бот-сети для организации атак «Отказ в облуживании» (DDoS). Для злоумышленника атака на инфраструктуру является либо первой фазой более мощной (хитрой) атаки на компанию-жертву, либо одной из точек атаки типа DoS. По моему убеждению, это простое нарушение политики безопасности (или ее отсутствие) в компаниях-жертвах. Занимайтесь кибербезопасностью серьезно!
Роскомнадзор и "Проблема 2000"
Коржов Валерий
Перед самым концом прошлого века в ИТ-индустрии активно обсуждалась проблема кодирования даты. Производители решений утверждали, что многие программисты использовали для хранения года только два разряда — под последние два числа. Поэтому 1 января 2000 года такие счётчики должны были обнулиться, и могло произойти страшное. Они уверяли, что в результате такой ошибки может произойти всё, что угодно: самолёты начнут падать, а ядерные ректоры — взлетать. Была развёрнута целая программа по решению «Проблемы 2000», которая предполагала замену оборудования и программного обеспечения, проведение тестов и круглосуточное дежурство 1 января 2000 года. Денег на эту программу тогда было затрачено не мало, а эффективность принятых мер особенно ни кто не оценивал. История с вступлением в силу поправок к закону «О персональных данных», которые внесены так называемым законом о локализации ФЗ-242, очень похожа на «Проблему 2000». Во-первых строго определена дата — 1 сентября 2015 года, во-вторых — ожидались проблемы, хотя и не у ядерных реакторов, но, как минимум, у авиаперевозчиков. В-третьих же — основная задача активной деятельности заключается не в решении проблемы, а в привлечении дополнительных денег на ИТ. Последнее утверждение можно доказать, например, с помощью интервью главы Роскомнадзора Александра Жарова, которое было опубликовано на сайте ведомства по адресу http://rkn.gov.ru/news/rsoc/news34448.htm второго сентября. В нём есть следующий […]
ESET Mail Security для Microsoft Exchange
Информационная безопасность
ТЕМАТИКА ПРОДУКЦИИ – информационная безопасность НАИМЕНОВАНИЕ – ESET Mail Security для Microsoft Exchange ПРОИЗВОДИТЕЛЬ — ESET ПОСТАВЩИК — ESET ИСТОЧНИК (URL) — http://www.esetnod32.ru/company/press/center/eset-predstavlyaet-novoe-pokolenie-zashchity-pochtovykh-serverov/ НАЗНАЧЕНИЕ – защита почтовых серверов ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ: ESET Mail Security для Microsoft Exchange Server предназначен для защиты почтовых серверов от всех типов вредоносного ПО и для фильтрации почтовых сообщений в режиме реального времени. ХАРАКТЕРИСТИКИ И ПРЕИМУЩЕСТВА: Обновленная версия ESET Mail Security поддерживает централизованное управление с помощью веб-консоли ESET Remote Administrator 6 и сочетает защиту сервера от вредоносного ПО, фильтрацию спама и облачное сканирование электронной почты. Чтобы облегчить работу системных администраторов, ESET представляет локальный карантин, позволяющий просматривать подозрительные сообщения через веб-интерфейс и централизованно принимать меры. Сканирование базы данных электронной почты по требованию помогает снизить потребление ресурсов системы, выбирая только нужные базы данных или почтовые ящики. В ESET Mail Security для Microsoft Exchange Server реализованы новые технологии защиты, в числе которых: Расширенное сканирование памяти – укрепляет защиту от сложных вредоносных программ, использующих шифрование кода; Защита от эксплойтов обеспечивает безопасность популярных программных продуктов, среди которых браузеры, PDF-редакторы, почтовые клиенты и программы Microsoft Office; Модуль «Антифишинг» предназначен для сканирования сообщений электронной почты на предмет ссылок, вложений или скриптов, которые могут ввести в заблуждение пользователя или обманом заманить его на вредоносные сайты. Среди […]
Дмитрий Костров: «Вредная 10-ка»
Информационная безопасность
Компания Microsoft с 29 июля начала обновление систем док Windows 10 для пользователей лицензионных Windows 7 и 8, которые пожелают обновить свою операционную систему. Я уже обновил и две недели не вижу проблем. Учитывая настройки, снизил уровень сбора данных (настройки доступны в сети интернет). Microsoft предлагает две версии обновлений: «базовая поддержка», которая будет доступна до октября 2020 года, и «расширенная поддержка», доступна до октября 2025 года. И тут : Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) рассмотрит запрос вице-спикера Государственной думы от партии «Справедливая Россия» Николая Левичева о соответствии закону операционной системы Windows 10. Из всех встроенных в Windows 10 служб данные собирает и отправляет помощник Cortana на 57 серверов Microsoft. Давайте запретим. Но давайте посмотри что это и для чего. Есть проект Microsoft : Microsoft Cortana — виртуальный голосовой помощник с элементами искусственного интеллекта для устройств на платформе Windows Phone. Есть похожий проект в Google – Knowledge Tree. Персональная помощница призвана предугадывать потребности пользователя. При желании, ей можно дать доступ к вашим личным данным, таким как электронная почта, адресная книга, история поисков в сети и т. п. — все эти данные она будет использовать именно для упреждения ваших нужд. То есть для каждого […]
Trend Micro Deep Security
Информационная безопасность
ТЕМАТИКА ПРОДУКЦИИ Платформа для защиты облачных сред и центров обработки данных НАИМЕНОВАНИЕ Trend Micro Deep Security ПРОИЗВОДИТЕЛЬ Trend Micro ИСТОЧНИК (URL) http://www.trendmicro.com.ru/products/deep-security/ НАЗНАЧЕНИЕ Платформа для защиты облачных сред и центров обработки данных ХАРАКТЕРИСТИКИ И ПРЕИМУЩЕСТВА Доступное в виде программного обеспечения или услуги, решение Deep Security защищает корпоративные приложения и данные и предотвращает перебои в работе, устраняя необходимость экстренного применения исправлений. Эта комплексная платформа с централизованным управлением помогает организациям упростить защитные операции и обеспечивает соответствие законодательству, а также ускоряет окупаемость инвестиций в виртуализацию и «облачные» технологии. Тесная интеграция со средами поставщиков «облачных» услуг значительно уменьшает влияние на производительность благодаря автоматическому применению политик безопасности к экземплярам при их запуске или остановке. ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ Широкий спектр функций защиты, включая защиту от вредоносных программ, определение репутации веб-сайтов, серверный брандмауэр, обнаружение и предотвращение вторжений, контроль целостности, проверку журналов, шифрование и SSL-сертификаты с глобальным доверием. Гибкое развертывание в виде программного обеспечения или службы. Полный набор возможностей по поддержке множества клиентов, упрощающий эксплуатацию. Снижение затрат и уровня сложности за счет эффективной оптимизации для «облачных» инфраструктур и уменьшение влияния на производительность благодаря единой платформе управления всеми средствами защиты и политиками в различных средах: физических, виртуальных, «облачных» и гибридных. Контакты: 127055, Россия, Москва, ул. Новослободская, д.24, стр.1, БЦ «Европа» Телефон: +7 (495) 734-85-00 Факс: +7 (495) […]
SafeNet Luna SA 6
Информационная безопасность
ТЕМАТИКА ПРОДУКЦИИ — аппаратный модуль безопасности НАИМЕНОВАНИЕ — SafeNet Luna SA 6 ПРОИЗВОДИТЕЛЬ — Gemalto (SafeNet) ИСТОЧНИК (URL) — http://www.gemalto.com/ НАЗНАЧЕНИЕ — аппаратное управление ключами в облачных инфрастуктурах ХАРАКТЕРИСТИКИ И ПРЕИМУЩЕСТВА — может быть разделен на 100 криптографически изолированных разделов, при этом каждый из них будет работать так же, как независимый модуль безопасности ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ — шифрование по запросу, управление ключами, возможность хранения ключей в облаке Gemalto предлагает новый уровень защиты для поставщиков облачных услуг Компания Gemalto (Euronext NL0000400653 GTO), мировой лидер в области цифровой безопасности, представляет SafeNet Luna SA 6, первый в мире аппаратный модуль безопасности (HSM, hardware security module), созданный специально для поставщиков облачных услуг. Для многих организаций идея получения ключей шифрования и управления ими на своём собственном оборудовании идёт вразрез с их представлениями об использовании облачной инфраструктуры как сервиса по запросу. Кроме того, те организации, которые стремятся обеспечить более высокий уровень защиты данных, вынуждены управлять решениями для шифрования от имени своих клиентов, что в свою очередь подразумевает более высокую ответственность и увеличение рисков с точки зрения доступа к данным и обеспечения соответствия бизнеса клиентов нормативным требованиям. Как следствие, из-за этих сложностей многие компании, с ответственностью относящиеся к проблемам защиты данных, вынуждены отказаться от переноса своих конфиденциальных данных […]
Комплект С-Терра + Huawei
Информационная безопасность
ТЕМАТИКА ПРОДУКЦИИ Сетевая безопасность НАИМЕНОВАНИЕ Комплект С-Терра + Huawei ПРОИЗВОДИТЕЛЬ Компании «С-Терра СиЭсПи» и Huawei ПОСТАВЩИК Компания «С-Терра СиЭсПи» ИСТОЧНИК (URL) http://www.s-terra.com НАЗНАЧЕНИЕ Совместное решение Huawei и С-Терра дает возможность защитить как внутренний периметр сети, так и внешние каналы связи в полном соответствии с современными стандартами ГОСТ и требованиями ФСБ России и ФСТЭК России. ХАРАКТЕРИСТИКИ И ПРЕИМУЩЕСТВА В зависимости от характеристик защищаемой сети, можно подобрать наиболее подходящий по параметрам комплект. Широкий спектр пользовательских характеристик маршрутизаторов Huawei AR в сочетании с возможностями сертифицированного шлюза безопасности С-Терра, установленного на модуль Huawei AR01WSX, позволяет обеспечить информационную безопасность сетей организаций разного масштаба, включая разветвленную филиальную структуру. Тестирование совместной работы маршрутизаторов Huawei AR и модулей AR01WSX со шлюзом безопасности С-Терра Виртуальный Шлюз показало высокие результаты как по производительности (до 250мБит/с) и быстродействию, так и по надежности решения. Кроме того, предлагаемые комплекты отличаются доступной ценой, что позволит эффективно использовать имеющийся бюджет. ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ В комплект Huawei – С-Терра входят: С-Терра Виртуальный Шлюз обладает всеми функциональными характеристиками шлюза безопасности от данного производителя. Установленный на модуле Huawei, он надежно обеспечивает защиту и фильтрацию трафика, проходящего через него. Модули Huawei AR01WSX позволяют расширять возможности сетевой среды совместно со специально разработанным и установленным на них программным обеспечением. В данном […]
Рустэм Хайретдинов: Кто ответит за «висяк»?
Информационная безопасность
Исторически сложилось так, что за доступность внутренних приложений в крупных компаниях отвечают разработчики и службы ИТ, а за конфиденциальность и целостность – службы информационной безопасности. «Повисшее» приложение – не проблема «безопасников», поэтому в критерии их деятельность исследовать возможность «уронить» приложение не входит. С появлением веб-приложений и атак типа DoS/DDoS ситуация изменилась, и обеспечение доступности снова вернулось в зону ответственность информационной безопасности. Однако в массе своей, информационная безопасность рассматривает такую ответственность как обеспечение «навесной» безопасности путём покупки анти-DDoS в виде сервиса и/или продукта. Ни в архитектуру приложения, ни в оптимизацию его интерфейса информационная безопасность не лезет, оставляя себе и подрядчикам анализ входящего траффика. Однако один нерадивый программист или архитектор может ненамеренно нанести приложению, а значит – и компании, ущерб, который не сможет нанести даже армия наёмных хакеров. Неправильно построенный запрос, неверно выставленный таймаут, плохо проработанный API к другим проприетарным приложениям, неоптимально организованная очередь и другие огрехи проектирования и кодирования могут «положить» приложение не хуже массированной DDoS-атаки. При наличии в коде приложения логической бомбы можно устроить DoS-атаку одним запросом. Когда задаёшься вопросом – кто отвечает за поиск таких программных конструкций при тестировании и приёмке, и разработка, и служба информационной безопасности кивают друг на друга. Безопасники традиционно отвечают за «традиционные уязвимости» – инъекции, […]
IDaaS, или аутентификация как услуга
Информационная безопасность
Сергей Пожарненков, руководитель практики систем идентификации и контроля доступа к ИТ ресурсам «Астерос Информационная безопасность» (группа «Астерос») IDaaS (Identity-as-a-Service) – молодой и пока еще очень спорный сегмент рынка информационной безопасности. Эксперты в ИБ чаще высказываются в негативном ключе относительно надежности такого рода систем, в то время как вендоры подталкивают компании вперед, предлагая новые средства заодно со всем спектром удобств и преимуществ, которые несет в себе перевод инфраструктуры компаний в облако. Давайте разберемся, что такое IDaaS, какие выгоды и риски он в себе несет. По своей сути IDaaS – это облачный IAM, предоставляемый как сервис, обычно включающий следующие услуги (но не ограничивающийся ими): Provisioning – управление жизненным циклом учетных записей; Cloud SSO – облачная система сквозной однократной аутентификации; Password Management – управление паролями; Access Governance – управление доступом. В отличие от provisioning здесь сосредоточены высокоуровневые процессы, такие как поддержка ролевой модели, предоставление и отзыв полномочий пользователей, разграничение нежелательных полномочий и т. п. Прелесть IDaaS (как и любого SaaS-продукта) состоит в том, что его можно использовать ровно в том объеме, в каком у вас возникла потребность. Предположим, некая организация решила создать портал, интегрировав на него ряд сервисов, и нуждается в однократной сквозной авторизации. Чтобы понять, как это работает, представим портал Google. Каждый […]
SECaaS «по-русски»: в чем именно выгода аутсорсинга ИБ?
Информационная безопасность
Эльман Бейбутов, руководитель направления JSOC, компания Solar Security Представьте на минуту: вы ‒ директор быстрорастущего и заслуживающего все большее доверие банка департамента ИБ, приходите в понедельник утром на работу, открываете почту и, попивая любимый кофе, изучаете сводку случившихся за выходные инцидентов. Их немного (всего три), и они явно были несложными, так как вас не беспокоили ни в субботу, ни в воскресенье. Однако один из них привлек ваше внимание, потому что отмечен как высококритичный. Что это? В теме письма указано: «внешнее подключение к защищенному сегменту сети». В отчете приведены внутренний IP-адрес, доменное имя хоста, username залогинившегося пользователя, время подключения и продолжительность сеанса, внешний IP-адрес и еще пара других параметров. Далее, описание инцидента: «несанкционированное подключение из подсети провайдера домашнего интернета к АРМ администратора процессингового центра, запрещенное политикой безопасности и требованиями стандартов ИБ». Ниже в письме следуют результаты проведенного расследования: «выявлено, что ИТ-администратор подключил свой рабочий компьютер одним сетевым интерфейсом в чистый Интернет, а второй сетевой интерфейс по-прежнему остался в защищенном сегменте. Сделал он это исключительно для того, чтобы из дома в выходные обновить внутренний веб-сервер процессинга. Реагирование на инцидент выполнено в течение 12 мин, продолжительность разбора инцидента – 23 мин. Участники разбора инцидента: начальник отдела сопровождения и поддержки процессинга, team leader группы […]
Резолюция секции «Информационная безопасность»
Connect WIT
Модераторы секции: Дмитрий Шевцов, заместитель начальника управления Федеральной службы по техническому и экспортному контролю России, Андрей Губарев, директор по безопасности, ООО «РТ-ИНФОРМ», Дмитрий Ефанов, председатель секции, директор Центра общих технологий АО «ЦНИИ ЭИСУ». Участвовали 13 докладчиков: ФСТЭК России, АО «ОПК», ЦНИИ ЭИСУ, ГК «Информзащита», АО «ОПК», ПАО «ИНЭУМ им. И.С. Брука», АО «Системы управления», ФГУП «РФЯЦ-ВНИИЭФ», «Информакустика», INLINE Technologies, Group-IB, ФГБУН НИИСИ РАН, АО «ИСС», МГТУ им. Н.Э. Баумана. Текущее состояние В настоящее время на предприятиях ОПК накоплен огромный научно-технический опыт, позволяющий решать задачу разумного импортозамещения в области ИБ. Ведется работа по дальнейшему совершенствованию отечественных аппаратных платформ «Эльбрус» в ПАО «ИНЭУМ им. И.С. Брука» и «Багет» во ФГБУН НИИСИ РАН, предназначенных для применения в критически важных инфраструктурах. Ведется работа по дальнейшему совершенствованию отечественных защищенных операционных систем в АО «ЦНИИ ЭИСУ», ПАО «ИНЭУМ им. И.С. Брука», ФГУП «РФЯЦ-ВНИИЭФ» и ФГБУН НИИСИ РАН, сертифицированных по высоким классам защищенности в основных системах сертификации ФСТЭК России, Минобороны России и ФСБ России. Ведется работа по дальнейшему совершенствованию отечественных средств защиты информации Описание проблем предметной области секции в сфере ОПК, наиболее острые и актуальные вопросы К основным проблемам в области обеспечения информационной безопасности как на предприятиях ОПК, так и в рамках ОПК в целом относятся следующие. Отсутствие единых подходов к обеспечению ИБ на предприятиях, что приводит […]
Курс ОПК на технологическую независимость в эпоху перемен
ИТ-инфраструктура
В конце мая Иннополис – новый город-спутник Казани – принимал участников Четвертой конференции «Информационные технологии на службе оборонно-промышленного комплекса России». Это масштабное мероприятие проводилось при поддержке Коллегии Военно-промышленной комиссии РФ, Государственной корпорации Ростех, Правительства Республики Татарстан. Организатор конференции − Издательский дом Connect. Более тысячи специалистов, представляющих крупнейшие российские предприятия ОПК и ИТ-компании, на протяжении четырех дней участвовали в работе 11 тематических секций, на которых прозвучало около 170 докладов. Центральными темами конференция стали вопросы импортозамещения в области информационных технологий, привлечения инвестиций в разработку отечественных программных продуктов, совершенствования нормативно-правовой базы, регулирующей применение ИТ в оборонной отрасли, адаптации лучших методик и практик. За время конференции холдинги и компании подписали несколько десятков соглашений о сотрудничестве и взаимодействии. Территория генерации идей Конференция стала первым масштабным мероприятием, организованным на территории Иннополиса, где создается разветвленная бизнес-инфраструктура, объединяющая технологические компетенции и условия для реализации перспективных разработок. В новом на карте России городе открылся первый в нашей стране ИТ-университет. В аудиториях современного учебно-лабораторного корпуса вуза и в залах спортивного комплекса проводились секционные заседания, дискуссии за круглым столом. В специально оборудованном помещении работал пресс-центр, а на территории студенческого кампуса разместилось большинство участников и гостей форума. На церемонии открытия Четвертой конференции «Информационные технологии на службе оборонно-промышленного комплекса России» заместитель председателя Коллегии […]
Cетевой шифратор SafeNet CN8000
Информационная безопасность
ТЕМАТИКА ПРОДУКЦИИ – сетевой шифратор НАИМЕНОВАНИЕ – SafeNet CN8000 ПРОИЗВОДИТЕЛЬ – Gemalto (SafeNet) ИСТОЧНИК (URL) — http://www.gemalto.com/ НАЗНАЧЕНИЕ — шифрование сети ХАРАКТЕРИСТИКИ И ПРЕИМУЩЕСТВА — обслуживает множество организаций-клиентов (мультиарендность); — работает на основе квантового формирования случайных чисел; — технические характеристики основываются на десяти 10-ти гигабитных портах для подключения криптографической аппаратуры, в рамках одного компактного корпуса 4U ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ — высокоскоростное шифрование с использованием нескольких сетевых подключений; — управление ключами защиты; Дополнительная информация: Адресная информация о компании (адрес, телефон, e-mail, www) http://www.gemalto.com/ Пресс-служба компании Gemalto: Анастасия Щурова +7 905 770 87 72 Anastasia.Shchurova@grayling.com
Актуальные вопросы доверия к PKI и неактуальному Закону № 63-ФЗ
Информационная безопасность
Сергей Муругов, генеральной директор ООО «Топ Кросс» Как известно, Российская Федерация давно является участником Таможенного Союза, который, в свою очередь, уже успел трансформироваться в Евразийский Экономический Союз (ЕАЭС). Поэтому, наверное, пора серьезно задуматься о переводе трансграничных транзакций во взаимной и внешней торговле в правовое поле. Более того, товарооборот РФ далеко не ограничивается странами ЕАЭС, в идеале уже сегодня необходимо предусматривать использование в ближайшем будущем механизмов, гарантирующих законность и прозрачность транзакций, например при торговле со странами ЕС. Однако ситуация такова, что проблемы с применением электронной подписи остаются не только в международном обмене, но даже на внутреннем российском рынке. Организация доверенного электронного экономического пространства имеет множество аспектов и немало проблем. В данной статье рассмотрим только одну из них – Закон № 63-ФЗ от 8.04.2011 «Об электронной подписи», проанализировав отдельные его положения. Что касается трансграничных транзакций, то эксперты признают лучшим вариант, когда каждая из сторон работает по правилам своей, локальной юрисдикции, проверяя подписи партнерской стороны, работающей в чужой юрисдикции. И эффективность российского законодательства в лице Закона № 63-ФЗ – первая проблема, с которой мы сталкиваемся. Посмотрим на данный Закон со стороны не удостоверяющих центров, а собственно бизнеса и попытаемся понять, почему Закон так и не заработал. На наш взгляд, основная причина в том, […]
Безопасность разработок в SAP
Информационная безопасность
Сергей Лачугин, менеджер по продукту, ООО «Газинформсервис» Игнорирование защиты ERP-систем – роскошь, которую мало кто может себе позволить. Ущерб от использования даже одной уязвимости может быть очень и очень высоким. Исходя из соображений, что «легче предотвратить, чем устранять последствия», компания «Газинформсервис» расширила фокус при решении задач обеспечения безопасности ERP-систем, включив в него в том числе анализ и выявление уязвимостей на уровне кода разработки. Фокус кода По данным аналитической компании IDC безусловным лидером российского рынка ERP-систем является компания SAP SE (доля на российском рынке – 49,9%). Поддержание столь значительной позиции на рынке требует постоянного развития и, как следствие, усложнения программных продуктов вслед за потребностями бизнеса. Рост сложности решений естественным образом связан с увеличением функциональности информационных систем и роли информационных систем в развитии бизнеса. Вместе с тем цена рисков, лежащих в плоскости информационной безопасности, растет, и задачи обеспечения информационной безопасности в SAP-системах становятся все более значимыми. Сложные и масштабные по своим размерам ландшафты SAP-систем, требующие миллионов строк кастомизированного программного кода (ABAP/4, Java), сделали очевидным необходимость пересмотреть приоритет задачи контроля кода разработки. По статистике Газинформсервиса, полученной за годы работы в области защиты ERP-систем SAP, на 300 млн строк кода базового функционала приходится в среднем 5 млн строк кастомизированного кода. При этом в каждой 1000 […]
Контроль электронной переписки сотрудников: дух времени и буква закона
Информационная безопасность
Сергей Ожегов, коммерческий директор компании SearchInform В наследство от советских времен нам осталось много всего. В том числе и «народная мудрость», которая стала чуть ли не девизом «бизнесменов» 1990-х: всe, что не запрещено, – разрешено. Вот только с течением времени появилась новая проблема – большое количество законов, которые даже могли противоречить друг другу. В итоге некоторые действия оказывались в «подвешенном» состоянии: вроде бы разрешены, а вроде бы и нет. История повторилась примерно в 2009 г., когда на рынке информационной безопасности большую популярность обрели DLP-системы (от англ. Data Leak Prevention) – системы для предотвращения утечек информации. Системы этого класса позволяли осуществлять перехват информации, передающейся по различным каналам, таким как электронная почта, Skype, IM-мессенджеры и др. Но вместе с новыми возможностями пришли и новые проблемы – законность перехвата информации. Примечательно, что проблема однозначно не решена до сих пор. Тем не менее с каждым годом появляется все больше ясности в данном вопросе. Эту статью мы разделим на две части: теоретическую и практическую. В первой разберем юридические вопросы контроля переписки сотрудников в фокусе современного российского законодательства. Вторая будет посвящена инструментам, с помощью которых этот самый контроль можно организовать. К слову, особого значения не имеет, что мы будем контролировать: переписку в почте, «аське», Facebook или […]
Рациональный подход к обеспечению ИБ предприятия для гибридной модели
[Тема номера]
Иван Бадеха, руководитель направления отдела проектов и технических решений департамента информационной безопасности, «Ай-Теко» Принятие гибридной модели инфраструктуры и ИТ-сервисов подразумевает, в частности, использование предприятием публичных облачных ресурсов. Процессы обслуживания частично находятся на аутсорсинге, а связанные с этими риски остаются вне зоны непосредственного контроля организации. Другая часть сервисов при такой модели, соответственно, обслуживается внутренним ИТ-подразделением и располагается в общем случае в частном облаке. Предприятия пользуются внешними облачными сервисами, а степень их применения должна определяться оптимальным соотношением эффективности информационных технологий и их безопасности для бизнеса. Предпосылки использования гибридной модели в современных российских реалиях Для среднего и малого бизнеса, как правило, процент сервисов, реализуемых с помощью публичных облаков, существенно выше, чем для крупного бизнеса и государственного сектора. Это связано как с возможностями в области создания собственной инфраструктуры и поддерживающих ИТ-процессов, так и с разным отношением к вопросам обеспечения информационной безопасности. Однако при грамотном подходе к выбору и конфигурации сервисов, передаваемых в публичное облако, у крупных компаний их число может увеличиваться, в итоге приводя к повышению эффективности информационных технологий. Целесообразно выводить в облако те сервисы, от которых будет наибольший положительный экономический эффект. В такой набор войдут сервисы: поддержка которых требует максимальной концентрации различных компетенций (за счет снижения требований к квалификации и числу собственного ИТ-персонала); […]
Национальная среда доверия идентификации для дистанционных сделок
Информационная безопасность
Введение Для совершения любой сделки[1] принципиально, чтобы каждый ее участник мог достоверно установить идентичность остальных участников, т. е. решить в отношении каждого: (1) идентифицировать – получить идентификатор, однозначно его определяющий, и (2) аутентифицировать – получить достоверное подтверждение того, что предъявитель идентификатора действительно является его владельцем[2]. Совокупность средств и механизмов, обеспечивающих решение перечисленных задач, будем называть средой доверия идентификации. Для традиционных (недистанционных) сделок сформировалась развитая среда доверия, основанная на контактной идентификации и аутентификации в условиях прямого физического взаимодействия участников, например: идентификация по документу и аутентификация путем сверки фотографии с внешним видом субъекта и получения ответов на вопросы, ответы на которые должен знать только субъект. В экономике информационного общества сделки, заключаемые в цифровой форме, могут совершаться дистанционно без прямого физического контакта участников[3]. В этом случае методы контактной идентификации и аутентификации не работают, что ставит вопрос о необходимости создания специальной среды доверия для дистанционных сделок, основанной на принципах и механизмах, которые применимы в отсутствие физических контактов участников. В предлагаемой статье рассматривается возможный вариант архитектуры такой среды доверия в масштабе одного государства (национальная среда доверия идентификации – НСДИ). В настоящее время в области идентификации и аутентификации отсутствует устоявшаяся система понятий с единообразным пониманием терминов[4], поэтому здесь используются следующие определения основных понятий. Идентификация – сравнение […]
Марк Тептерёв: "Соблюдение 152-ФЗ при размещении в ЦОД"
ИТ-инфраструктура
Один из наиболее часто встречающихся вопросов у клиентов, планирующих размещение в стороннем ЦОД, касается соблюдения Федерального закона 152-ФЗ «О персональных данных». Заказчики зачастую имеют достаточно поверхностное представление о данном законе, слабо представляют как правильно защищать персональные данные, и что необходимо выполнить, чтобы пройти проверку надзорных органов. В данной статье я попробую популярно разъяснить основные моменты. Самым распространённым заблуждением является тот факт, что ЦОД должен быть сертифицирован на соответствие 152-ФЗ. В неделю приходит два-три подобных вопроса от потенциальных заказчиков. Но ответ на данный вопрос достаточно прост: подобной сертификации для ЦОД не существует. Правильнее спрашивать о соответствии услуг ЦОД техническим требованиям защиты конфиденциальной информации (ТЗКИ), указывая при этом необходимый уровень защищённости. Об уровнях защищённости можно более подробно прочитать в соответствующем документе (http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21). Также у многих клиентов сложилось мнение, что, приобретение услуги ЦОД, соответствующих требованиям 152-ФЗ, уже само по себе является достаточным условием для соблюдения закона, и не требует каких-либо других действий. Это не совсем так. По закону вся информационная система, начиная от физической безопасности оборудования и заканчивая конечным программным продуктом, используемым для хранения и обработки персональных данных, должны соответствовать ТЗКИ. Как правило, услуги ЦОД ограничиваются размещением оборудования клиента в дата-центре или предоставлении оборудования в аренду. Во всех этих случаях ЦОД не имеет […]
Защита ПДн в современных условиях: законодательство, импортозамещение, оптимизация затрат
Информационная безопасность
В прошедшем году законодательство и подзаконные нормативные акты в части защиты ПДн претерпели ряд изменений и дополнений. Вносимые изменения позволяют сделать вывод, что в целом в законодательной инициативе сохраняется тенденция к совершенствованию нормативной базы и исправлению имеющихся недоработок. Документы (в том числе те, которые еще находятся в стадии проектов) становятся более приближенными к реалиям в области защиты информации и учитывают, в частности, новейшие технологии (например, облачная обработка информации, использование средств виртуализации и т. п.), а также подходы к защите информации, основанные на анализе рисков ИБ, и моделированию реальных угроз ИБ и т. д. В первую очередь это связано с тем, что регулятор идет по пути сокращения жизненного цикла своих документов, кроме того, активнее взаимодействует с заинтересованными сторонами в этой области: примером может служить информационное сообщение ФСТЭК России от 25 января 2015 г., в котором регулятор призвал заказчиков, разработчиков и операторов информационных систем и пр. подать предложения по внесению изменений в их документы. Из основных изменений и дополнений следует отметить следующие. Принятие Федерального закона от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Наиболее принципиальный момент в части обеспечения безопасности ПДн: указанный федеральный закон […]
