понедельник, 11 апреля 2016 г.

3% погрешности или история успеха физика гения Капицы

Удивительная история произошла со знамениты советским физиком, нобелевским лауреатом и со-основателем МФТИ, Петром Кацицей. В молодости в начале своей карьер он был направлен на стажировку в Англию, университет Кембридж. Познакомившись с известным на тот момент Эрнестом Резерфордом, он просил принять его в Кавендишскую лабораторию знаменитого ученого. Однако, попасть туда оказалось крайне  не простой задачей. Но благодаря своей смекалке и находчивости Капица получил этот шанс.. и вскоре весь мир убедился, что не зря.

Эта история учит нас мыслить масштабно и нестандартно подходить к задачам.

пятница, 8 апреля 2016 г.

Банк России и новая Модель Угроз ПДн (v2016)

В прошлом месяце ЦБ РФ утвердил несколько новых документов относящихся к Информационной безопасности. Это одно из первых обновлений в этом году. Первым стало долгожданное Указание Банка России №3889-У об определении актуальных угроз безопасности персональных данных. Второй документ - Указание Банка России №3893-У от 11.12.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством обращения в кредитную организацию" интересное новым порядком использования СКЗИ при обмене электронными сообщениями. Рассмотрим эти нововведения более подробно.

четверг, 7 апреля 2016 г.

Обзор технологий и решений CheckPoint

Решения израильской компании Check Point в области сетевой безопасности сегодня не уступают лидерам отрасли, например Cisco, и все более активно используются крупными государственными и коммерческими структурами. 

Популярность инфраструктурных решений обеспечивает полная сертификация продуктов по требованиям ФСТЭК, инновационные технологии интеллектуальной безопасности, интуитивно понятый дружественный интерфейс и легкость конфигурирования.

Сегодня в краткой заметке мы соберем всю более менее доступную информацию по продуктам Check Point в одной публикации

среда, 6 апреля 2016 г.

Национальная платежная система и пластиковая карта «Мир»: коротко о главном

МИР Российская национальная система платёжных карт (НСПК), отечественная современная платёжная система, созданная 23 июля 2014 года в Российской Федерации на основании федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» с целью "...обеспечения бесперебойности, эффективности и доступности оказания услуг по переводу денежных средств". Однако, путь пройденный отечественной НПС(К)  от ее зарождения до сегодняшнего состояния оказался весьма не простым. Это были и законодательные изменений и инфраструктурные. В сегодняшней публикации мы осветим основные вехи развития системы и кратко опишем актуальные реалии на 2016 год.

вторник, 5 апреля 2016 г.

Базовые настройки безопасности Cisco

При настройке сетевого оборудования Cisco углубляюсь в процессы коммутации и маршрузтизации администраторы часто забывают доконфигурировать параметры безопасности. Однако, этот встроенный функционал весьма полезен и обеспечивает хоть и базовый но все таки необходимый уровень безопасности. Сегодня в публикации мы кратко опишем встроенные команды и общие советы по управлению безопасностью.

понедельник, 4 апреля 2016 г.

PCI DSS - Международный стандарт защиты информации в области платежных карт

В нескольких ранних публикация мы с вами уже рассматривали некоторые международные стандарты в области информационной безопасности. Однако, преимущественно они относились к in-house, т.е. внутренней инфраструктуре компании. Наиболее явственно понимание ИБ приходит, когда безопасность  напрямую связана с финансами,  когда в цифрах показывает свое существенное влияние на бизнес. Поэтому сегодня мы поговорим о безопасности в  финансовых институтах, таких как банки, кредитные организации, платежные агенты и т.д. Все они занимаются денежными переводами, а значит попадают по действие отраслевого стандарта PCI DSS  (Payment Card Industry Data Security Standard)

Криптография в Интернете вещей (IoT): обзор тенденций в 2016 году

Интернет вещей (Internet of Things, IoT) с каждым годом набирает всю большую популярность. Новые гаджеты становятся повседневной обыденностью. Однако с ростом числа устройств не меньшими темпами и растут угрозы ИБ. Наиболее перспективный способ защиты это сипользование криптостойких алгоритмов шифрвоания. Однако, этим, конечно безопаность далеко не исчерпывается. Сегодня, мы представлыем вашему вниманию небольшую перезентацию про текущее состояние дел в промышленном и консьюмерском Интернете вещей.

Альтернативы использования сертифицированных СЗИ для ФЗ №152

Вопрос использования сертифицированных СЗИ для обеспечения безопасности Персональных данных не теряет своей актуальности со времен выпуска четверокнижия. В профессиональных кругах да и на просторах Интернета ходят большое количество мнений и  домыслов о том что и как нужно использовать. Однако, давайте отправимся к первоисточнику, проанализируем имеющиеся документы касательно разбираемого вопроса и сами сделаем нужные выводы

Вопрос легальности использования DLP-систем: защита КТ и тайна связи

В обществе сложилось весьма неоднозначное  отношение к использованию DLP-систем. Работодатели оправдают их применение борьбой с утечками информации, выявлению недобросовестных сотрудников, защитой от промышленного шпионажа. Работники же усматривают в этом попытку тотального контроля, а так же ущемление конституционных прав и свобод. Кто из них прав - судить не берется ни один эксперт. Однако нужно понимать, что DLP- системы в любом случае балансируют на грани "добра и зла". Сегодня мы формате "вопрос-ответ" попытаемся внести некоторую ясность в этот вопрос.

воскресенье, 3 апреля 2016 г.

Troubleshooting Cisco: решение проблем с IPSec VPN

И так, сегодня привожу русскоязычный перевод официального цивсковского траблшута по диагностике и устранению некоторых проблем связанных с VPN-соединениями по общепринятому протоколу IPSec. Описаны общие команды диагностики и общий алгоритм шагов по устранению найденных неисправностей.

Провидческое зрение Gartner: обзор прогнозов 10-летней давности

Консалтинговая компания Gartner это уже давно известный и влиятельный арбитр по составлению топ-рейтинга продуктов по информационной безопасности. Знаменита компания прежде всего своими магическими квадратами. Однако по мимо этого, она так же составляет некоторые прогнозы и общие тенденции развития мира ИБ и актуальных угроз. Так вот, сегодня, проведем ретроспективный анализ прогнозов сделанных еще 10 лет назад. Что же получилось? Давайте, и посмотрим.

Информационная безопасность по ISO 27000: развенчиваем распространенные мифы

Для многих компаний сертификация по стеку документов ISO 27000 в ИБ является неким знаком качества и показателем зрелости организации. Однако, для многих вожделенным становится сам сертификат,  а не то, что за ним реально стоит. В виду этого в Интернете и в жизни среди не специалистов ходят большое количество слухов и мифов, касающиеся сертификации СУИБ в рамках ISO 27000. В одной из прошлых статей мы рассказывали о самой серии документов ISO 27000. Сегодня же мы попытаемся развеять несколько наиболее укоренившихся мифов касательной этой темы.

суббота, 2 апреля 2016 г.

ISO 27000 или Best practice Управления информационной безопасностью

ISO 27000, серию международных общепризнанных документов называют Best practice в деятельности по управлению информационной безопасностью, включающий в себя весь лучший мировой опыт и практические знания. В России существуют официальные утвержденные документы принятые в качестве национальных стандартов и выпускаемые под общим названием ГОСТ ИСО/МЭК. В сегодняшней публикации мы в первом приближении и рассмотрим эти документы

Troubleshooting Сisco: основы основ

Troubleshooting - это поиск и устранении неисправностей, настройка оборудования на правильные и оптимальные режимы работы. В практике настройки сетевого оборудования Cisco сложились свои правила диагностирования, поиска и разрешения проблем. В сегодняшней статье мы опишем самые базовые команды и общие рекомендации  по траблшутингу взятых из официальных цисковских FAQ и Offical Manual

пятница, 1 апреля 2016 г.

Головоломки от Google и Microsoft при трудоустройстве на работу

Перед вами пять реальных заданий, которые давали кандидатам на собеседованиях в крупнейших ИТ-компаниях. Прежде чем смотреть ответы и способы решения под картинками, попробуйте испытать свои силы – может быть, вы удивите сами себя?

Мифы о сертификации средств защиты информации (СЗИ)

Сертификация средств защиты информации (СЗИ) неотъемлемый процесс жизненного цикла почти всех отечественных и многих зарубежных продуктов представленных  сегодня рынке ИБ. Получение сертификата это своего рода это признание надежности и качества сертифицируемого продукта, а так же показатель авторитета и статуса компании-разработчика. Помимо этого сертифицируемый продукт позволяет использовать его для обеспечения защиты информации по требованиям ФСБ и ФСТЭК, например для защиты не только коммерческой, но и государственной тайны. Однако, для непосвященных сертификация это зачастую пугающе сложный и запутанный процесс вокруг которого выростают мифы. Вот сегодня в нашей публикации мы и попытаемся это чуть чуть изменить.

Размышления о значении и роли СТР-К в обеспечении ИБ

СТР-К или Специальные требования и рекомендации по защите конфиденциальной информации, документ довольно старый, но до сих пор действующий, который регламентирует меры по обеспечению защиты конфиденциальной информации  как в государственных органах так и применимый для использования в коммерческом секторе. Когда-то до выхода серии методических документов ФСТЭК и ФСБ и ряда Федеральных Законов, был едва ли не фундаментальным документом на который специалисты и эксперты опирались при организации защиты информации, проектировании систем ИБ и аттестации. 
В сегодняшней публикации мы рассмотрим СТР-К с точки зрения прошедших изменений, а так же постараемся отметить основные особенности и практическую заменимость документа для современных условий