443 приказ ФСО или эра безопасного интернета для государства

В середине октября в МинЮсте был зарегистрирован приказ ФСО России №443 об утверждении нового положения о государственном сегменте сети Интернет, получившим название RSNet. Инициатива создания гос сетей уже не в новинку, чуть ранее мы рассказывали о защищенном интернете для военных. В этот раз речь идут о государственных органах власти и организациях обеспечивающих их функционирование. Многие эксперты уже оценили этот шаг как позитивный сдвиг в сторону обеспечения независимости отечественной ИТ-инфраструктуры от влияний из вне, и защиты секретных государственных и критически важных данных. Однако их оппоненты за этими действиями видят потенциальные возможности усиления интернет-цензуры и контроля

Отчет со встречи OWASP Russia Meetup в Яндексе 12/10/16

В середине октября прошла очередная встреча OWASP Russia Meetup организованная Академией Яндекса, собравшая энтузиастов и специалистов по информационной безопасности. Среди докладчиков были представители отечественного разработчика ИБ-продуктов, МГТУ им. Баумана  и московского офиса Яндекса. В программе встречи рассматривались вопросы автоматизации тестирования WAF, настройки и мониторинга TLS и финального аудита безопасности приложений. Все материалы в формате видео доступны для просмотра.

МинОбороны РФ создает защищенный интернет для военных

Министерство Обороны РФ в рамках программа создания сетецентрических вооруженных сил сделало очередной шаг по повышению боеготовности и техническому оснащению. Завершился финальный этап реализации военного интернета получившего название «Закрытый сегмент передачи данных» (ЗСПД). Это защищенный сетевой сегмент обеспечивает безопасную передачу секретной информации, включая документы с грифом особой важности. Напомним, ранее в МинОбороны был создан Центр специальных разработок, еще мы рассказывали о новом роде кибервойск РФ, а так же о новой редакции  Военной доктрины

SWIFT вводит обязательные требований к информационной безопасности

В последнее время в мире прослеживается тренд хакерских атак на банки и другие финансовые структуры. Наиболее существенным прецедентом стала хакерская атака на центральный банк Бангладеш в феврале 2016 года в результате которой было выведено 50$ млн. Отечественные и зарубежные компании в сфере информационной безопасности публикуют неутешительные отчеты о целенаправленных атаках и взломах банковских систем, возросшем количестве угроз и новых методах мошенничества и кражи денежных средств. На фоне этих событий мировое сообщество выразило свою обеспокоенность вопросами защищенности финансовых институтов. В ответ на это международная межбанковская система SWIFT разработала новые требования к защите информации в банках подключенных к SWIFT, которые будут введены в действие с начала 2017 года

Windows 10 и Linux: различий стало меньше

Исторически так сложилось, что операционные системы Windows и Linux развивались разными путями. Постоянные конкуренты и давние соперники имели больше различий чем сходств между собой. Это были и взаимные обвинения и патентная борьба и судебные разбирательства. Однако времена меняются. С приходом на пост CEO Сатьи Наделлы компания Microsoft меняет стратегию и поворачивается лицом к сообществу Linux. Примером того cтаили глобальные изменения в Windows 10 и ряде других серверных продуктов ИТ-гиганта

Банк России ведет разработку ГОСТ по ИБ и ужесточает требования к кибербезопаности

В последнее время от Банка России поступило несколько важных сообщений касающихся обеспечения информационной безопасности финансовых учреждений. Некоторые инициативы мы уже описывали в одной из наших прошлых статей. В октябре стало известно, что ЦБ в настоящее время ведет активную разработку ГОСТ по информационной безопасности, который станет обязательным для всех участников банковский системы РФ с 2017 года.  На этом фоне снова возникли  слухи о переводе СТО БР ИББС из разряда рекомендательных в обязательные. Последние же данные и вовсе свидетельствуют о скором почине СТО БР. Помимо этого регулятор опубликовал проект нового положения «О требованиях к защите информации в платежной системе Банка России», в котором некогда ранее добровольные пункты перешли в разряд обязательных, это касается и отчетности в FInCERT и ужесточении требований к АРМ посредством которых обрабатываются платежные операции

Общения ФСТЭК на 2016 год: ожидание и реальность

Нормотворчество в области информационной безопасности в нашей стране это часто критикуемый, но в то же время необходимый и весьма важный процесс, особенно, что касается обеспечения защиты государственных органов. И поскольку ключевыми игроками в нем являются ведомственные структуры в лице ФСБ и ФСТЭК, пристальное внимание публики будет обращено ко всем обещаниям, которые эти структуры официально заявляли. А заявлений было достаточно: это и внесение правок в ФЗ-149 и новые методички по 31 приказу о защите АСУ ТП и новая редакция 17 приказа о защите ГИС и много чего еще. Как оказалось на практике большинство  обещанных новых документов до сих пор не разработано, сроки сдвинуты на 2017 год. Остается надежда, что эти переносы пойдут на пользу и мы в конце концов получим более продуманный и качественный документы на выходе

Лекции от Яндекса - подборка самого интересного за лето\осень 2016

Академия Яндекса продолжает приглашать к себе именитых ученых, разработчиков, талантливых руководителей и основателей проектов. Онлайн копилка Академии постепенно наполняется новыми видео и презентационными материалами. В этом году Яндекс посетили ведущие отечественные теоретики и практики, а так же зарубежные гости среди которых был и основатель Википедии Джимми Уэйлс.

Сегодня мы хотим предложить вашему вниманию подборку самых интересных, на наш взгляд, лекций проведенных в стенах Яндекс Академии за период лето-осень 2016 года.

Формирование аудиторский выборки для тестирования OE (ITGC контроли)

Одним из важных и ключевых вопросов в процессе планирования ИТ-аудита (ITGC) является процесс формирование аудиторской выборки, т.е. некой совокупности элементов отобранной для тестирования по определенным правилам, ведь именно от них во многом в дальнейшем будет зависеть "чистота тестирования" и фактическая база для формирования заключения. При тестировании операционной эффективности (OE) формирование достоверной аудиторской выборки играет особое значение, в которой количество элементов и равномерность распределение в популяции зависит от нескольких параметров, о которых мы сегодня и поговорим в нашей статье

Джейс Борн, Сноуден и слежка Yahoo за пользователями

В начале октября в одной из очередных новостей мы узнали о громком скандале с Yahoo который, как выяснили журналисты Reuters, ссылаясь на несколько своих достоверных источников, следит за пользователями по указанию спецслужб США. Эту информацию чуть позднее так же подтвердил и Эдвард Сноуден. Официальное руководство Yahoo эту информацию опровергло, однако разразившийся в массах скандал привел к тому, что в отставку ушел директор по информационной безопасности ИТ-гиганта Алекс Стэмос. 

И все бы ничего, после разоблачений Сноудена мы уже привыкли к подобного рода шокам и откровениям. Но эта тема упорно витает в обществе. В добавок всего буквально месяц назад в широкий прокат вышел очередной фильм о Джеймсе Борне, в котором бывший спецагент и истинный патриот борется с... собственным правительством

Старт X Международной олимпиады IT-Планета 2016/17

Официальный сайт международной ИТ-олимпиады «IT-Планета 2016/17» сообщил о начале регистрации учреждений высшего и среднего профессионального образования для участия в X юбилейной  олимпиаде в сфере информационных технологий. Регистрация учебных заведений уже начата и продлится до 30 ноября. А уже с 1 ноября стартует регистрация самих участников - студентов и молодых дипломированных специалистов.  

Конкурс будет проводиться среди нескольких номинаций в числе которых: программирование, облачные вычисления и базы данных, телеком, мобильные платформы, цифровое творчество, свободное ПО (Open Source) и робототехника, автоматизированные информационные системы

Отзыв о книге Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software

В недавнем времени столкнулся с необходимостью проанализировать некоторые виды malware, оно же вредоносное ПО, и тут задался вопросом о подборе материалов и литературы на соответствующую тему.  Одной из лучших книг на эту тему,  исходя из рекомендаций на профильных форумах, оказалась книжка Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software. Не смотря на то, что  книга 2012 года издания ее русскоязычного перевода до сих пор нет. Может оно и к лучшему, все таки оригинал есть оригинал. 

В сегодняшнем отзыве хочу поделиться своими общими впечатлениями о книге, и предложить еще несколько советов, тем, кто так же сталкиваеся с подобными задачами