среда, 18 мая 2011 г.

Обзор изменений в стандарте PCI DSS версии 2.0 по сравнению с версией 1.2.1

Основой данной публикации послужила информация размещенная достаточно давно на ресурсе pcidss.ru, Сергеем Шустиковым. Но как мне кажется, именно сейчас компании начали задумываться о том, по какой версии проходить или подтверждать соответствие стандарту PCI DSS. И эта информация становится все более актуальной.
С одной стороны нет никаких запретов на протяжении 2011 года проходить аудит на соответствие стандарту PCI DSS по версии 1.2.1. С другой стороны с 2012 года, единственной версией по которой можно будет это сделать станет 2.0. Так как же поступить?
Рассмотрим отличия которые появились в версии 2.0

Требование 1
  • Во введении к требованию отмечено, что функциональность межсетевого экранирования может быть реализована не только традиционным межсетевым экраном.
  • В требовании 1.3.1 уточнено, что входящий трафик, проходящий через DMZ, должен быть ограничен протоколами, необходимыми для предоставления авторизованных сервисов, перечень которых составлен при выполнении требования 1.2.1.

понедельник, 9 мая 2011 г.

Создание российской профессиональной ассоциации специалистов по информационной безопасности — АРСИБ

Инициативная группа, в которую вошли известные ИБ-специалисты России, объявила об образовании российской профессиональной ассоциации специалистов по информационной безопасности — АРСИБ. Казалось бы, в России уже есть “Ассоциация защиты информации”, есть и комитет по информационной безопасности в российском “Союзе ИТ-директоров” (СоДИТ), представлено направление ИБ и в других профессиональных общественных организациях. Как пояснил председатель правления новой ассоциации Виктор Минин, АРСИБ отличает от прочих общественных объединений то, что это единственная из них, которая непосредственно будет представлять интересы сообщества потребителей средств защиты информации. Одной из своих первостепенных задач ассоциация считает повышение престижа профессии руководителя службы ИБ, защиту интересов ее представителей как внутри организаций и компаний, так и на государственном уровне. 

понедельник, 25 апреля 2011 г.

Интервью с идеологом и вдохновителем Virtualization Security Group Russia - Марией Сидоровой

Мария Сидорова - заместитель руководителя направления «Защита виртуальных инфраструктур» компании «Код Безопасности», руководитель некоммерческого объединения российских специалистов, занимающихся вопросами обеспечения информационной безопасности инфраструктур виртуализации - Virtualization Security Group Russia и главный редактор портала VirtualizationSecurityGroup.Ru.



Добрый день. Спасибо, что нашли время для встречи!

1. Расскажите, что послужило отправной точкой для создания портала VirtualizationSecurityGroup.Ru?
Первоначально была идея создания экспертного сообщества, объединения специалистов, которые занимаются как вопросами виртуализации, так и вопросами обеспечения информационной безопасности, для обмена опытом и популяризации вопросов правильного построения систем информационной безопасности для виртуальных инфраструктур, а также развития рынка в целом. Мы создали страничку группы в LinkedIn, однако со временем нам стало тесно в пределах этого формата, возникало много новых идеи и проектов, и вот результат – в декабре 2009 года у нас появился собственный портал. Портал мы создавали, когда нас было уже шестеро. После появления портала к нашей команде присоединился Алексей Колесников, который в настоящее время вместе со мной координирует работу группы.

пятница, 22 апреля 2011 г.

Публикация в журнале «Inside. Защита информации»

В апрельском номере журнала «Inside. Защита информации» опубликована статья моего авторства, под названием: «Обнаружение и нейтрализация уязвимостей корпоративной сети».


С данной статьей в несколько измененном виде, Вы также можете ознакомиться на данном блоге.  

четверг, 21 апреля 2011 г.

Международные стандарты информационной безопасности и законы стран СНГ

В разделе "Законы и стандарты" опубликованы международные стандарты и лучшие практики по вопросам информационной безопасности.
А так же законы и стандарты России, Украины, Белоруссии, Азербайджана и Таджикистана.

ISO\IEC
CERT
CIS
SANS 
PCI DSS
NIST

вторник, 19 апреля 2011 г.

Стандарт PCI DSS v 2.0 доступен на русском

Сообщество PCIDSS.RU совместно с Digital Security выпустило русскую версию стандарта PCI DSS 2.0, которая вступила в силу еще с 1 января 2011 года.
Данная версия стандарта отличается в некоторых моментах от предыдущей. А именно в описании вопросов виртуализации и расчета рисков.

Несмотря на то, что стандарт версии 2.0 вступил в силу с 1 января 2011 года, участники индустрии платежных карт могут использовать предыдущую версию до конца 2011 года. Подобная инициатива Совета PCI SSC позволяет выполнить постепенный переход на новую версию. Следующая версия будет подготовлена Советом PCI SSC в течение трехлетнего жизненного цикла.


Информация предоставлена ресурсом: "Virtualization Security Group Russia". 

понедельник, 4 апреля 2011 г.

Обзор рынка информационной безопасности Украины

Начнем с очевидных фактов – рынок информационной безопасности в Украине существует и развивается, несмотря на общую неблагоприятную рыночную обстановку. В нашем понимании участниками рынка информационной безопасности (ИБ) кроме потребителей и поставщиков услуг и решений, также выступают украинские и международные регуляторы. Еще участниками можно считать новый для Украины сегмент страхования рисков информационных технологий (услуга на Украине только начала развиваться). Ниже приведена структура современного рынка ИБ Украины.


среда, 30 марта 2011 г.

Отчет с результатами исследования состояния рынка компьютерных преступлений за 2010 год совершенных выходцами из СНГ и прогнозы на 2011 год

Компания GROUP-IB опубликовала отчет с результатами исследования состояния рынка компьютерных преступлений за 2010 год совершенных выходцами из СНГ.
В нем рассматриваются основные угрозы, связанные с различными видами хакерской активности, анализируются основные услуги, предлагаемые компьютерной мафией, даются оценки доли «русского» сегмента общемирового рынка киберпреступности, а также приводятся прогнозы относительно тенденций развития данного рынка в 2011 году.

В ходе исследования специалисты провели анализ основные услуг, предлагаемых на «русском» рынке компьютерных преступлений, что позволило им дать оценки финансовых показателей «русского» сегмента общемирового рынка киберпреступности за 2010 год, а также спрогнозировать тенденции развития данного рынка в 2011 году.

пятница, 25 марта 2011 г.

Актуальность и особенности внедрения решений класса SIEM

При нынешних темпах развития информационных технологий, невозможно представить себе компанию, которая бы не пользовалась программными продуктами. Так как они - неотъемлемая часть технологий для управления бизнес процессами. И как следствие, администраторам приходиться следить за работоспособностью всего парка данных систем. Использование программного обеспечения позволяет автоматизировать многие процессы, контролировать безопасность и обеспечивать отказоустойчивость систем. Но с другой стороны  это заставляет персонал тратить огромные человеческие ресурсы на поддержание в функционирующем состоянии, защиту и анализ событий, генерируемый данной информационной инфраструктурой. Что далеко не всегда приемлемо. А если учесть что парк из разнородных систем не редко исчисляется десятками, а то и сотнями типов систем, то трудно представить, сколько задействованного персонала понадобиться, что бы анализировать события с этих систем и своевременно на них реагировать.

вторник, 22 марта 2011 г.

Интервью с идеологом Ukrainian Information Security Group - Глебом Пахаренко

Пахаренко Глеб является сотрудником ИТ компании «Инфопульс Украина», где занимает должность менеджера по безопасности.
Компания «Инфопульс Украина» предоставляет комплекс услуг по проектированию, разработке, тестированию и внедрению программного обеспечения, а также управлению IT инфраструктурой. Основные направления деятельности компании: портальные решения, системы для управления документооборотом, продукты для оптимизации затрат на мобильную связь.