Архив за Март, 2012

Интервью с Дмитрием Скляровым

1 Отзыв

В январском журнале «Хакер» было опубликовано интересное интервью с известным специалистом в области информационной безопасности Дмитрием Скляровым, кстати, доцентом кафедры ИУ8 «Информационная безопасность» МГТУ им.Н.Э.Баумана.

О себе, о нашумевшем судебном процессе, о российском образовании в области информационной безопасности http://habrahabr.ru/company/xakep/blog/140922/

Possibly Related Posts:


В России появится киберкомандование

2 комментария

«Великие лидеры вдохновляют других на великие свершения.»  (Star Wars: The Clone Wars)

cyber

Россия может перенять опыт Соединенных Штатов, которые в 2009 г. открыли в армии подразделение, занимающееся вопросами кибербезопасности.

Российские власти обсуждают возможность создания в Вооруженных силах подразделения, деятельность которого будет посвящена обеспечению информационной безопасности. Об этом сообщило агентство «РИА Новости» со ссылкой на заявление вице-премьера Дмитрия Рогозина.

«В настоящее время обсуждается вопрос формирования киберкомандования. Это связано с обеспечением информационной безопасности как Вооруженных сил, так и всей инфраструктуры государства, в целом», — заявил на встрече с военными учеными Рогозин, который курирует в правительстве вопросы оборонно-промышленного комплекса.

По его мнению, «здесь Россия идет по пути США и НАТО». Рогозин отметил, что на решение вопросов, связанных с кибербезопасностью, Североатлантический альянс тратит значительные средства.

Напомним, в указ о создании киберкомандования в США был подписан в июне 2009 г. А в октябре того же года американская армия, в состав которого был включен новый отдел, объявила о программе набора специалистов в сфере информационной безопасности. В течение 3 лет планировалось нанять не менее тысячи сотрудников.

Источник

Possibly Related Posts:


Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом «О персональных данных»….

Ваш отзыв

Опубликовано Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

Всем Операторам ПДн (являющихся государственными или муниципальными органами) c текстом ‘этого Постановления можно ознакомиться по ссылке: www.ispdn.ru.

 

Possibly Related Posts:


Новые требования ФСТЭК России к системам обнаружения вторжений

7 комментариев

Нормативные требования к системам обнаружения вторжений ФСТЭК России

Как мы уже сообщали, 15 марта 2012 года вступил в действие нормативный документ ФСТЭК России «Требования к системам обнаружения вторжений«, утвержденный Приказом ФСТЭК России от 6 декабря 2011 года (зарегистрированный Минюст России, рег.№ 23088 от 1 февраля 2012 года).

Это означает, что сертификация систем обнаружения вторжений (СОВ, IDS) теперь будет проходить по совершенно новым требованиям регуляторов.

Новые требования к системам обнаружения вторжений принципиально отличаются от традиционных руководящих документов Гостехкомисии России, т.к. выполнены в нотациях метастандарта ГОСТ ИСО/МЭК 15408 («Общие Критерии») и содержат, как говорится в документе:

  • общие требования к системам обнаружения вторжений;
  • требования к функциям безопасности систем обнаружения вторжений.

Документ устанавливает 6 классов защиты СОВ:

  • 6 класс — для ИСПДн 3 и 4 классов;
  • 5 класс — для ИСПДн 2 класса;
  • 4 класс — для ИСПДн 1 класса, ИСОП 2 класса, государственных АС 1Г, 2Б, 3Б
  • 3, 2, 1 классы — соответственно для АС 1В, 1Б, 1А (2А, 3А)

Требования уточнены в Профилях защиты (представленных как методические документы ФСТЭК России) для 2-х типов систем обнаружения вторжений (уровня хоста — HIDS и сетевого уровня — NIDS). Прифили защиты, не касающиеся защиты гостайны, уже общедоступны на сайте ФСТЭК России:

Остальные Профили защиты лицензиаты могут заказать у регулятора.

Можно добавить, что требования достаточно строгие, например, требования к 4-му классу защищенности СОВ соответствуют оценочному уровню доверия (согласно ГОСТ 15408) ОУД3+(усленный), 5-му классу — ОУД2+, 6-му классу — ОУД1+!

 

Источник: Информационное письмо об утверждении требований к системам обнаружения вторжений

 

Possibly Related Posts:


12,3 миллиона украденных аккаунтов на сайте

2 комментария

«Чрезмерная уверенность — самая опасная форма беспечности.» (Star Wars: The Clone Wars)

Pwned

В предыдущей статье  я описал концепцию Сканера контроля присутствия персональных данных в открытом доступе. И вот уже есть информация о реализации на практике подобной функциональности. Правда речь едет о куда более важной информации —  учетных данных доступа к персональным ресурсам.

Группа предприимчивых хакеров под руководством Алена Пузика (Alen Puzic) и Стефена Томаса (Stephen Thomas) основали сайт PwnedList.com. Здесь любой желающий может ввести хеш от своего адреса электронной почты и проверить наличие такого адреса в различных базах украденных данных. Основатели сайта постоянно мониторят более 200 хакерских форумов, скачивают свежие базы с логинами и паролями, а также осуществляют автоматический сбор дампов в интернете, так что к настоящему моменту у них уже накопился архив из 12,3 миллионов украденных аккаунтов. Пополнение базы происходит буквально ежедневно.

Конечно, всё максимально защищено: пароли удаляются сразу после скачивания, так что взлом PwnedList ничего не даст потенциальным злоумышленникам.

При проверке своего email’a лучше вводить хеш SHA-512. Вот ссылки на генераторы хешей: один и два, или несложно использовать какой-нибудь другой. Если ввести хеш SHA-512, а система показывает настоящий email, то это является гарантией того, что данный email уже был в их базе.

Сайт PwnedList запущен девять месяцев назад, а сейчас основатели приняли решение построить на его основе легальный и прибыльный бизнес. Обычная проверка своего email’а остаётся бесплатной. Наряду с этим, всего за один доллар в месяц можно купить подписку — и тогда ваш адрес будет постоянно в списке мониторинга. Если где-то произойдёт утечка, то вы узнаете об этом мгновенно.

Гораздо больше денег может принести корпоративная подписка, цены на которую не разглашаются. Компания может занести в список для мониторинга email’ы с корпоративного домена — и оперативно получить уведомление, если какой-нибудь из них появится на хакерских сайтах.

Источник

 

Possibly Related Posts: