Архив за Сентябрь, 2014

Первая редакция проекта национального стандарта ГОСТ Р «Защита информации. Обеспечение безопасной разработки программного обеспечения. Требования»

6 комментариев

На портале ТК 362 «Защита информации» выложена на публичное обсуждение первая редакция проекта национального стандарта ГОСТ Р «Защита информации. Обеспечение безопасной разработки программного обеспечения. Требования» (ссылка), разработанная специалистами НПО «Эшелон».

Приглашаем всех желающих принять участие и высказать свои замечания и предложения.

 

Possibly Related Posts:


Уязвимость ShellShock опаснее Heartbleed

Ваш отзыв

Исследователи считают, что ShellShock опаснее Heartbleed. И дело не только в том, что уязвимость присутствовала в bash около 22 лет. И не в том, что оперативно выпущенные апдейты не исправляют её. Главная проблема в том, насколько широко распространённым является этот баг и насколько богатые возможности для взлома он предоставляет. Уязвимы не только серверы и персональные компьютеры, но и маршрутизаторы, камеры видеонаблюдения и многие другие устройства. Огромное количество старых устройств так и не получит обновления.

В течение ближайших нескольких лет многие компьютеры под Linux и Mac OS всё ещё будут открыты для удалённого выполнения кода. Прошло почти полгода с момента обнаружения Heartbleed, но до сих пор не все системы пропатчены. Более того, возможно создание сетевого червя, который будет распространяться через CGI-скрипты.

Проверка компьютера на наличие уязвимости CVE-2014-6271 осуществляется, например, такой командой:

$ export evil='() { :;}; echo vulnerable’; bash -c echo;

Проверка скрипта CGI:

$ curl -i -X HEAD ‘http://ya.ru’ -A ‘() { :;}; echo «Server vulnerable»‘

Уязвимость в bash уже получила персональное имя: ShellShock. Таким образом, она стала второй уязвимостью в истории, удостоенной подобной чести.

Possibly Related Posts:


International Common Criteria Conference-2014

Ваш отзыв

В качестве докладчика удалось принять участие в 15-ой Международной конференции по «Общим критериям» (International Common Criteria Conference), которая проходила 9-11 сентября этого года в Нью-Дели, Индия.

Выступление было посвящено российской системе сертификации средств защиты информации (ФСТЭК России) и ее модернизации на основе подхода «Общих критериев». В докладе была приведена краткая историческая справка о системе сертификации, статистическая информация (например, наиболее сертифицируемый тип средств защиты информации в России или наиболее сертифицируемый разработчик), а также рассказано о текущих тенденциях, связанных с разработкой новых нормативных документов, основанных на подходе «Общих критериев».

Читать полностью »

Possibly Related Posts:


Компания «Эшелон» примет участие в InfoSecurity Russia 2014

Ваш отзыв
832245bcd8057ab4e70f475e6d7bbd5a.gif

С 24-го по 26-ое сентября 2014 года в выставочном центре «Крокус Экспо» будет проходить одна из знаковых выставок рынка информационной безопасности InfoSecurity Russia 2014. В рамках выставки компания «Эшелон» традиционно представит свои лучшие продукты и услуги в сфере информационной безопасности.
На стенде «НПО «Эшелон» #F3-2 пройдут интересные встречи с ведущими экспертами компании:

24 сентября

12.00-13.00 «Переход на ISO 27001:2013», Дорофеев Александр, CISSP, CISM, CISA. директор по развитию.
13.00-14.00 Консультирование по вопросам сертификации в системах сертификации ФСТЭК России, ФСБ России и Минобороны России. Михаил Никулин, Технический директор.
14.00-15.00 Консультирование по вопросам применения ПАК «Рубикон» (система обнаружения вторжений, межсетевой экран, однонаправленный шлюз), Олег Гудков, заместитель директора департамента специальных разработок.
15.00-16.00 «SIEM как фундамент построения защищенной автоматизированной системы», Алексей Титов, менеджер проекта КОМРАД SIEM.

25 сентября

12.00-13.00 Консультирование по вопросам внедрения современных систем защиты информации, Евгений Веселов, CISSP, директор департамента проектирования и консалтинга.
13.00-14.00 Консультирование по вопросам аттестации объектов информатизации. Петр Васильев, директор департамента аттестации.
14.00-15.00 «Современные средства выявления дефектов кода», Владислав Швец, менеджер проекта AppChecker.

25-го сентября, 15.00, зал К2.

«Сертификация по новым правилам ФСТЭК России: что требуется от разработчика?», Александр Барабанов, CISSP, к.т.н., CSSLP Директор департамента сертификации и тестирования НПО «Эшелон»

26 сентября

12.00-13.00 Консультирование по вопросам выполнения требований, предъявляемых регуляторами (ФСТЭК России, ФСБ России, Минобороны России) к соискателям лицензий на деятельность в области защиты информации, Игорь Шахалов, заместитель генерального директора по экспертизам.
13.00-14.00 Консультирование по вопросам внедрения и аудита СМИБ в соответствии с ISO 27001:2013, Дорофеев Александр, CISSP, CISM, CISA. директор по развитию
14.00-15.00 «На страже endpoint  security: анонс новых решений»,  Сергей Фирсов, менеджер проекта Сканер-ВС.
15.00-15.20 «Объявление результатов конкурса «Эшелонированная оборона 2014», Вадим Голованов
В рамках конференции планируется несколько выступлений экспертов компании.

«Инновационные проекты Фонда «Сколково» в области информационной безопасности» Эшелон-Инновации будет представлен на стенде #F2. Компания «Эшелон-Инновации» представит программное решение AppChecker, разработанное выходцами из сертификационного центра «Эшелон» и относящееся к сфере аудита безопасности программных приложений. Разработка предназначена для поиска уязвимостей в программном обеспечении на основе анализа исходного кода.

Для того чтобы получить билет на выставку необходимо пройти электронную регистрацию по следующей ссылке:
http://www.infosecurityrussia.ru/2014/expo/npo-echelon

Режим работы выставки с 10:00 до 18:00.

Possibly Related Posts:


В сети появились пароли от google, yandex и mail.ru

Ваш отзыв

В сети в открытом доступе появились пароли от популярный сервисов google, yandex и mail.ru. Как комментируют сами компании, это не является взломом их сервисов, вполне возможно были использованы одинаковые пароли на других сайтах, что позволило злоумышленникам сопоставить данные с учётными записями пострадавших сервисов. В данный момент всем пострадавшим было выслано уведомление о смене паролей. Чтобы не было проблем с потерей доступа к своей почте, желательно использовать двуфакторную аутентификацию.

Проверить была ли скомпрометирована ваша почта можно через сайт: isleaked.com

Possibly Related Posts: