Pull to refresh
  • by relevance
  • by date
  • by rating

Проверяем виртуальную инфраструктуру VMware на соответствие требованиям стандартов безопасности

Information Security *
vGate Compliance Checker — это бесплатная утилита разработки компании «Код Безопасности», позволяющее проверить соответствие виртуальных инфраструктур требованиям отраслевых стандартов и лучших мировых практик.

Результатом работы приложения является отчет (который можно выгрузить в HTML-формат), содержащий информацию о соответствии проверяемого сервера (нескольких серверов) требованиям отраслевых стандартов и лучших мировых практик.

Может стать полезным инструментом не только для специалистов по информационной безопасности.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 5.6K
Comments 3

Соответствие стандартам и политикам в сканерах уязвимостей и SIEM

Positive Technologies corporate blog Information Security *System Analysis and Design *
Английский термин compliance означает соответствие одному из высокоуровневых стандартов (таким как SOX, PCI DSS, Basel II, GLBA). Проводить проверку на соответствие этим документам необходимо для того, чтобы определить, насколько хорошо в вашей организации соблюдаются требования, описанные данными стандартами (разрешенная длина паролей, наличие внутренних регламентов и политик, время устранения уязвимостей и т. п.).

Помимо международных стандартов существуют их отечественные аналоги, корпоративные политики и требования NIST.Проводить оценку соответствия этим документам также необходимо. Стандарты содержат наборы требований: выполнение всех требований стандарта фактически означает соответствие ему. Пример отдельного требования: «Должен иметься дисциплинарный процесс для служащих, которые произвели нарушение защиты» (ИСО/МЭК 2005 A.8.2.3).
Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views 11K
Comments 14

SIEM для ИТ и ИБ

Positive Technologies corporate blog Information Security *System Analysis and Design *
С появлением первых средств защиты информации возникли первые насущные вопросы: как узнать, что возведенные баррикады работают и защищают? как быстрее реагировать на оповещения? как понять, какие угрозы удалось предотвратить? Работает ли наш файерволл, можно узнать, выполнив ICMP ping: если правила в ACL (access control list) работают, то ответов, содержащих echo reply, быть не должно. Можно через консоль устройства просмотреть журнал событий, разбирая сотни или тысячи строк вручную и пытаясь увидеть отраженную или выявленную угрозу.
Читать дальше →
Total votes 14: ↑12 and ↓2 +10
Views 11K
Comments 15

Интернет вещей — маркетинг или реальная угроза

Qrator Labs corporate blog Research and forecasts in IT
Пятница, Хабр! Это — доклад Артёма ximaera Гавриченкова, технического директора Qrator Labs с конференции «Хакер, вендор, клиент», прошедшей 21 апреля в Москве. За видео в конце публикации спасибо Кириллу Ермакову.

Снова здравствуйте.

С чего бы начать? Вы удивитесь — с глобального потепления.


Total votes 28: ↑22 and ↓6 +16
Views 7K
Comments 8

Обход правил разграничения доступа в средствах защиты от НСД

Information Security *
Sandbox
На российском рынке информационной безопасности существует целый класс продуктов, разработанных для выполнения требований регуляторов (ФСТЭК, ФСБ, Роскомнадзор и прочие). Эти продукты называются «СЗИ от НСД», что означает — средства защиты информации от несанкционированного доступа. Основные функции таких продуктов — реализация независимо от операционной системы аутентификации пользователей, правил разграничения доступа к файлам и директориям (дискреционно — как в операционных системах, и мандатно — для гостайны, где есть разные уровни информации), контроль целостности, управление подключением устройств и всякие другие функции. Про подобные продукты на Хабре есть короткая статья, правда ей уже больше пяти лет, но в целом мало что изменилось. Все эти продукты, по большей части, нужны для комплаинса в чистом виде, но, тем не менее, с помощью этих средств реализуется большинство политик безопасности в госорганах, госкомпаниях, оборонке и т.д.

Логично предположить, что эти продукты безопасны и правильно выполняют свои функции, но я выяснил, что это совсем не так. В данной статье будем рассматривать исключительно СЗИ от НСД под операционную систему Windows, так как не смотря на тренд импортозамещения, большинство госкомпьтеров всё равно работает под ней. В Windows есть множество особенностей и тонкостей, которые могут сыграть злую шутку с разработчиками средств защиты. Не будем сейчас говорить обо всех нюансах, разберем только один, который позволяет обойти политики разграничения доступа к файлам.
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views 30K
Comments 8

Встречайте Open Source License Compliance Handbook

Open source *Creative Commons *GitHub Development Management *Legislation in IT
Translation

Большой зоопарк опенсорсных лицензий неизбежно приводит к тому, что приходится нередко задаваться вопросами касательно их совместимости, тех или иных применимых лицензионных условий в зависимости от соответствующего сценария использования. Замечательно, конечно, что существуют подробные разъяснения по тем или иным лицензиям (см., например, о GPL 2.0 или MPL 2.0; и даже по лицензии MIT умудрились сделать большой и подробный обзор).


Но действительно хорошо и полезно, когда появляются сравнительные обзоры, посвященные сразу ряду, а то и многим лицензиям в совокупности. Один из таких проектов, появившийся буквально недавно в 2019 году — Open Source License Compliance Handbook.


Этот материал именно о нем, читайте детали ниже.

Читать дальше →
Total votes 25: ↑25 and ↓0 +25
Views 4.6K
Comments 5

Extending Azure security capabilities

Microsoft corporate blog Cloud computing *Microsoft Azure Cloud services

As more organizations are delivering innovation faster by moving their businesses to the cloud, increased security is critically important for every industry. Azure has built-in security controls across data, applications, compute, networking, identity, threat protection, and security management so you can customize protection and integrate partner solutions. 


We keep investing in security and we are excited to share exciting updates this week at Hannover Messe 2019. We are excited to announce that Dedicated Hardware Security Module Service (HMS) in UK, Canada, and Australia, Azure disk encryption support for Virtual Machine Scale Sets (VMSS) are generally available. Also Advanced Threat Protection for Azure Storage, the Regulatory Compliance Dashboard, and support for virtual machine sets are now generally available as part of Azure Security Center.



Read more →
Total votes 5: ↑5 and ↓0 +5
Views 880
Comments 0

Открыт конкурс докладов на #PAYMENTSECURITY 2019

Conferences
Для многих представителей платежной индустрии стран Еврозоюза и СНГ за последние три года конференция #PAYMENTSECURITY стала комфортной площадкой для обмена опытом и получения новых знаний в области финансовых технологий и информационной безопасности.

4 и 5 июля 2019 года. ФИНТЕХ и ИНФОБЕЗ. Мы снова замешаем и взболтнем две стихии в одном конференц-зале «Павловский» отеля "Crowne Plaza St. Petersburg Airport".

#PAYMENTSECURITY 2019 в Питере. Регистрация открыта! Белые ночи включены!

Подробности
Total votes 8: ↑8 and ↓0 +8
Views 399
Comments 0

Building a global legal network for open source

Community management *
Sandbox
In late 2006 I became the first coordinator of the Free Software Foundation Europe’s legal department. It was called, for reasons lost to time, the “Freedom Task Force,” and it constituted myself, Carlo Piana as the General Counsel, and several volunteers with connections to organizations like gpl-violations.org. Our goal was strait forward. We wanted to enhance knowledge and communication across Europe with respect to open source software and to ensure that both commercial and non-commercial actors in the space would get the full benefit from its potential.

One may ask why a legal department was being used for what sounds like a relatively general goal. Such a question can be answered with context from the time period. In 2006 one of the main discussions about sustainability for open source was related to legal matters, particularly concerns or challenges related to patents and copyright matters. Simplifying things somewhat, there were open questions regarding whether patent challenges could make open source expensive or unsustainable for commercial actors, and there were open questions regarding whether parties could or should follow the terms of open source licenses.

On the latter point, and somewhat amusingly when used from the perspective of today, some parties were of the opinion that the terms of open source licenses might not be mandatory. Harold Welte, the team at gpl-violations.org and lawyers like Dr. Till Jeager in Germany are owed a debt for laying this question conclusively to rest not only in their own nation but globally. While it may seem superficially counter-intuitive, their work to ensure clarity a substantial foundation to encourage and sustain commercial investment in the sphere. After all, when it comes to investment, a clear, unambiguous and level playing-field is vital.
Read more →
Total votes 5: ↑5 and ↓0 +5
Views 575
Comments 0

Вебинар «Как пережить комплаенс? Оптимальный подход к выполнению требований регуляторов»

Digital Security corporate blog Information Security *Social networks and communities


Не всегда аудит ИБ в компании ограничивается увлекательным пентестом: в ряде случаев требуется провести оценку соответствия разного рода нормативам и стандартам. Особенно активно пугают аббревиатурами 382-П, ОУД4, КИИ, 152-ФЗ, при этом о практических вещах не говорят: как соблюсти все требования и логично организовать компаленс-аудит в компании. Об этом расскажем мы 8 августа на вебинаре Digital Security «Как пережить комплаенс? Оптимальный подход к выполнению требований регуляторов».
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views 1.9K
Comments 5

Кадровая алхимия: каков оптимальный состав команды центра ГосСОПКА?

Ростелеком-Солар corporate blog Information Security *Personnel Management *Legislation in IT
image

Эта статья пригодится тем, кто работает в компании, признанной субъектом критической информационной инфраструктуры (КИИ), а значит — обязанной выполнить требования №187-ФЗ и построить центр ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак), соответствующий требованиям ФСБ России.

В прошлой статье мы затронули самые основы этой темы и рассказали о требованиях ФСБ к техническим средствам, которые должны использоваться в центре ГосСОПКА. Однако эти требования (едва ли не впервые) распространяются не только на технические средства защиты, но и на реализацию конкретных процессов мониторинга, реагирования и расследования инцидентов ИБ. Поэтому сегодня мы расскажем о том, какие кадровые ресурсы вам понадобятся, чтобы все эти процессы обеспечить.
Читать дальше →
Total votes 27: ↑19 and ↓8 +11
Views 3.6K
Comments 7

Как regtech-компании помогают сектору финансовых услуг контролировать риски, связанные с COVID-19

Data Mining *Finance in IT
Translation
Ирландская regtech-компания Corlytics выпустила новое решение, помогающее финансовым учреждениям ориентироваться в чрезвычайной ситуации, связанной с пандемией Covid-19.
Финансовые учреждения могут сыграть важную роль в поддержании стабильности и безопасности в условиях нынешнего кризиса во всем мире. Но одновременно им приходится реагировать на собственные операционные вызовы в быстро меняющейся среде.

Система трекинга регулирования Covid-19 от Corlytics предоставляет участникам рынка удобную информационную панель, которая позволяет быстро и точно отслеживать изменения в области регулирования и риска, связанные с пандемией.



Как и все программное обеспечение Corlytics, решение анализирует поток информации от регуляторов, государственных органов и других источников и использует продвинутую аналитику для выявления тем и тенденций по мере их возникновения.

Аналитика доступна клиентам в различных разрезах – по юрисдикции, источнику и теме, а комплексная функциональность помогает быть в курсе важной информации в части управления комплаенсом, аудитом и рисками, а также правовых вопросах.
Читать дальше →
Total votes 6: ↑3 and ↓3 0
Views 341
Comments 0

Ликбез по Compliance: разбираемся в требованиях регуляторов в области ИБ

Инфосистемы Джет corporate blog Information Security *Studying in IT Legislation in IT Conferences
Привет, Хабр!

И у карантина есть плюсы — у нас появилось время подготовить еще несколько учебных вебинаров по информационной безопасности (вебинары по основам ИБ смотрите тут). Хакеры и сетевые атаки — это, конечно, захватывающе, но почти любой безопасник сталкивается и с другой стороной ИБ — требованиями регуляторов. Поэтому этот цикл вебинаров мы сделали по теме Compliance ИБ. Полезно будет и студенту, и опытному безопаснику, который хочет освежить память и узнать о последних изменениях в нормативке.

Мы уже провели два ликбеза и планируем еще как минимум два онлайн-мероприятия. Под катом — подробности предстоящих онлайн-встреч и записи прошедших вебинаров.


Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 3.9K
Comments 1

8 самых новых бесплатных курсов от Microsoft

Microsoft corporate blog Programming *Microsoft Azure Studying in IT Remote work
Привет, Хабр! Иногда они возвращаются, и мы не про фильм. Уже третья подборка бесплатных курсов от Microsoft на подходе. В этот раз мы решили немного изменить концепцию, и пройдемся не по ролям представителей IT-индустрии, а по статусам самих курсов. Новые курсы, курсы для начинающих и курсы для продвинутых специалистов. Начнем!

В первой подборке (этой) вы найдете 8 самых новых и релевантных наших бесплатных курсов, появившихся на платформе Microsoft Learn совсем недавно. Стоит отметить, что на момент выпуска статьи 4 из 8 курсов пока не переведены на русский язык. К сожалению, мы пока не успели их локализовать, но занимаемся этим вопросом. Так что проверьте, вдруг они уже переведены.

Кстати!

  • Все курсы бесплатные (вы даже сможете попробовать платные продукты бесплатно);
  • 4/8 на русском языке;
  • Начать обучение можно мгновенно;
  • По окончании вы получите бейдж об успешном прохождении обучения.

Присоединяйтесь, подробности под катом!

Эта серия статей


Предыдущая серия статей, начало 2020 года


Более ранняя серия статей, 2019 год



Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views 20K
Comments 7

Не человек для работы, а работа для человека: мои ошибки при организации стажировок для студентов

Ростелеком-Солар corporate blog Information Security *Legislation in IT IT career IT-companies

Пару недель назад мы объявили набор стажеров в нашу дирекцию по интеграции. Среди профессий, в которых мы предлагаем попробовать свои силы, есть аудит ИБ, аттестация и консультирование. Во время стажировки я буду курировать это направление, поэтому хочу поделиться опытом введения новичков в профессию. За несколько лет я выработал подход, который позволяет стажерам увидеть творчество в такой суровой сфере, как комплаенс и не потерять мотивацию, закопавшись в нормативке.

Читать далее
Total votes 14: ↑14 and ↓0 +14
Views 7.9K
Comments 2

Compliance-дайджест: изменения законодательства в области ИБ за июль 2021 года

Ростелеком-Солар corporate blog Information Security *Legislation in IT
Compliance, или обеспечение соответствия требованиям регуляторов, – возможно, не самая любимая, но необходимая часть информационной безопасности. Регуляторы часто выпускают новые рекомендации и уточнения к уже действующим. И чтобы не упустить их из виду, мы решили ежемесячно выпускать Compliance-дайджесты, в которых будут собраны ключевые изменения требований регуляторов по информационной безопасности. Чтобы вам было удобно, мы будем разделять новости регуляторов на несколько блоков. В июле у нас получилось всего 7 разделов: безопасность объектов КИИ, безопасность государственных информационных систем, безопасность информации в сети Интернет, новости в области стандартизации, лицензирование деятельности по защите информации, маркировка сертифицированных средств защиты информации и отраслевые изменения.


Читать дальше →
Total votes 5: ↑4 and ↓1 +3
Views 1.6K
Comments 0

Как управлять сетью — класс решений Firewall management. Часть 1. Skybox

Инфосистемы Джет corporate blog Information Security *

Не можете разобраться, что происходит в сетевой инфраструктуре? Создание Access Control List (ACL) давно стало рутиной, но по-прежнему отнимает очень много времени? Приходится управлять несколькими межсетевыми экранами разных вендоров одновременно? Скоро придет аудитор, чтобы проверить, насколько написанные вами правила доступа соответствуют требованиям регулятора или отраслевому стандарту? Если вы узнали себя хоть в одном вопросе, этот текст для вас.

В общем, добро пожаловать под кат все ищущие унификации в анализе и контроле настроек межсетевых экранов (МСЭ) и сетевых устройств.

Читать далее
Total votes 9: ↑9 and ↓0 +9
Views 2.1K
Comments 4

Compliance-дайджест: изменения законодательства в области ИБ за август 2021 года

Ростелеком-Солар corporate blog Information Security *Legislation in IT
В нашем ежемесячном сompliance-дайджесте собраны ключевые изменения требований регуляторов по информационной безопасности за август 2021 года. В этот раз — изменения в области защиты ГИС, защиты ПДн, биометрических персональных данных, использования СКЗИ, взаимодействия с НКЦКИ, новости в сфере стандартизации и отраслевые изменения.


Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 2.5K
Comments 0

Больше чем compliance. Как выявлять кибератаки и выполнять требования ГОСТ Р 57580.1-2017 с помощью SIEM-системы

Positive Technologies corporate blog Information Security *System Analysis and Design *IT Standards *Legislation in IT

«ГОСТ Р 57580.1-2017 „О безопасности финансовых (банковских) операций“ обязателен для выполнения кредитными и некредитными финансовыми организациями» — эта сухая фраза из стандарта, как, впрочем, и весь документ, порождает множество вопросов. На кого конкретно распространяются его требования? В какие сроки их необходимо выполнить? Как происходит оценка соответствия вашей организации требованиям ГОСТа? Какие меры защиты реально реализовать с помощью SIEM-систем?

Мы решили разобраться в этой теме и попросили Наталию Казанькову, старшего менеджера по продуктовому маркетингу Positive Technologies, ответить на наши вопросы и рассказать простыми словами, для чего данный ГОСТ нужен и как на практике компаниям соответствовать его требованиям. В статье вас ждет приятный бонус — специальное предложение на MaxPatrol SIEM All-in-One для тех, кому необходимо реализовать требования  этого стандарта.

Подробнее
Total votes 2: ↑1 and ↓1 0
Views 2.1K
Comments 0

Compliance-дайджест: изменения законодательства в области ИБ за сентябрь 2021 года

Ростелеком-Солар corporate blog Information Security *Legislation in IT

В нашем ежемесячном сompliance-дайджесте собраны ключевые изменения требований регуляторов по информационной безопасности за сентябрь 2021 года. В этот раз – изменения в области персональных данных, биометрических персональных данных, требований к финансовым организациям, военной и военно-технической деятельности РФ, лицензирования деятельности по работе со СКЗИ, использования электронной подписи и новости в области стандартизации.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Views 1.3K
Comments 0