среда, 24 июля 2013 г.

Интересно о безопасности - июль 2013


В этом месяце несколько запоздавший, по причине поиска работы, но тем не менее состоявшийся отчет за июль 2013 года.

Итак, начнем с документа, по защите виртуализации, подготовленного сообществом RISSPA и далее по списку.









 




И напоследок интересная статья с названием «Душа фээсбэшника».

среда, 12 июня 2013 г.

Обзор публикаций и новостей – июнь 2013


1.       Начнем с самого приятного события. В Санкт-Петербурге появилось отделение RISSPA. С чем хочется поздравить возглавившую его Марию Сидорову и всех людей, имеющих прямое или косвенное отношение к безопасности в этом замечательном городе. Ссылка. 

      2.       В обзоре за май, осталась мною не замечена статья, касающаяся изменений в законодательстве  персональных данных. Возможно, что кто-то ее тоже пропустил. Размещена тут.

      3.       Хорошо описана в разрезе ИБ ситуация, когда просто высокой квалификации отнюдь не достаточно, что бы делать на ней бизнес. Ведь в бизнесе самое важное не столько создать, сколько продать… Статья.

      4.       Интересный анализ перспектив ведения кибервойны размещен тут.

      5.       Хорошая статья, про важность контекста, в котором анализируются те или иные события систем безопасности (в частности DLP) тут. 

      6.       Интересный пост про приемы манипулирования общественным мнением тут.

      7.       Отличная статья об инфраструктурной безопасности дома. Рано или поздно этим вопросом действительно озаботятся и почитать о нем стоит тут.

      8.       Проект безопасной аутентификации для пользователей интернет услуг. FIDO.

      9.       Обзор ситуации с сертификацией специалистов по ИБ размещен тут.

      10.   Несколько слов «О национальной платежной системе».

      11.   В лабиринтах персональных данных можно побродить тут

      12.   Отличная статья, об угрозах для CIO. Как стоит строить работу, а чего лучше не делать. Читать тут.

среда, 29 мая 2013 г.

Бывший киевлянин поразил США: отмыл $6 миллиардов в интернете

Власти США раскрыли одну из крупнейших в мире электронных платежных систем, с помощью которой с 2006 года отмыто более 6 млрд долларов. Ее основатель - выходец из Киева Артур Будовский. О разгроме системы, с помощью которой с 2006 года было якобы совершено 55 млн незаконных транзакций, сообщил Манхэттенский федеральный прокурор Прит Бхарара. К суду привлечены семь руководителей и сотрудников компании во главе с ее основателями, бывшим киевлянином 39-летним Артуром Будовским (он же Артур Беланчук и Эрик Пальц) и 41-летним Владимиром Кацем, (он же Рагнар Даннескьолд - это имя отрицательного персонажа из романа Айн Рэнд "Атлант расправил плечи"). Услугами системы, зарегистрированной в Коста-Рике компании Liberty Reserve, пользовалось, по словам прокуроров, не менее миллиона человек по всему миру. Система была анонимной, поэтому, если верить обвинению, ею пользовались в основном для отмывания незаконных доходов от всевозможных финансовых пирамид и сетевых махинаций, а также от торговли наркотиками, похищенными личными данными, номерами чужих кредиток или детской порнографией. Услугами компании якобы широко пользовались шайки "кардеров", продающих информацию о банковских картах, и хакеров, действующие в таких странах, как Вьетнам, Нигерия, Гонконг, Китай и США. Судя по документам, которые власти США обнародовали в начале мая, Liberty приложила руку к отмыванию 45 млн долларов, похищенных недавно из двух ближневосточных банков. В этом преступлении обвиняется группа доминиканцев. Если верить обвинительным документам, один из них перевел Liberty часть похищенных денег из Сибири и Сингапура. "Масштабы незаконной деятельности обвиняемых поражают воображение", - говорится в обвинительном заключении, согласно которому Liberty проводила по 12 млн финансовых операций в год на общую сумму более 1,4 млрд долларов. Будовский был арестован в Испании и ждет экстрадиции в США. Кац арестован в Бруклине. В 2006 году Будовский и Кац уже привлекались прокуратурой Манхэттена за перевод денег без надлежащей лицензии через компанию Gold Age, пользовавшуюся модной тогда виртуальной валютой E-Gold. Как говорилось в обвинительном заключении, в общей сложности они перевели около 30 млн долларов, иногда беря за транзакцию в районе 100 тысяч долларов. Как заметил манхэттенский прокурор Роберт Моргентау, именно это вызвало подозрения властей.

четверг, 23 мая 2013 г.

Обзор интересного за май 2013 года.

Более полутора лет назад, на одном из профильных ресурсов, а именно на этом блоге была отличная практика, публиковать обзоры лучшего, что было обнаружено в сети за прошедшую неделю по направлению - безопасность. После возвращения на Украину, а особенно во время майских праздников, я знакомился с тем, какие из ресурсов и сейчас публикуют полезную информацию на периодической основе. Часть из знакомых мне, к сожалению, не подает признаков жизни, но на их месте появились новые. В ближайшее время я обновлю раздел «Блоги и сообщества», что бы учесть изменения, но сейчас не об этом.
Во время чтения, возникла идея, публиковать, с периодичностью раз в месяц, самое интересное и полезное, что будет найдено среди публикаций, новостей и пр. по вопросу безопасности. Это будет стимулом мне минимум раз в месяц проводить анализ информационного пространства по вопросам безопасности, что раньше не всегда удавалось делать. Надеюсь, что это будет так же полезно читателям этого блога, как в свое время было полезно мне.
Ну что же, давайте приступим. 

Обзор интересного за май 2013 года.  
     1.       Новостью для меня стало развитие ресурса antivirus.ua. Будем надеяться, что он и в будущем будет развиваться и пополняться актуальной и полезной информацией.
     2.       На основе постоянного недостатка статистики, будет полезным обзор Центрального Банка по инцидентам информационной безопасности, который находится тут.
     3.       На фоне развития проекта «Google glass», интересно будет ознакомиться с «неожиданными» областями применения технологии, в т.ч. и в аспекте безопасности. Это можно сделать тут.
     4.       В свете не утихающих рейдерских захватов и передела бизнеса в Украине, полезной может оказаться эта статья
     5.       Интересная статья о взаимоотношениях с поставщиками решений информационной безопасности размещена тут.
     6.       Прогноз о развитии безопасности в России находится тут.
     7.       И о новом сегменте рынка безопасности можно почитать в том же источнике.
     8.       В свете того, что все чаще и чаще специалисты начали готовиться к сдаче CISM актуальны переводы вопросов для оценки, которые размещены в данном блоге.
     9.       Интересно о защищенных носителях.
    10.      И напоследок отличная статья, где в очень доступной форме написано про сертификацию PCI DSS - публикация размещена тут.

понедельник, 18 марта 2013 г.

Методика распределения задач в рамках проекта с учетом психологических особенностей

            Данная статья содержит информацию о психологических особенностях сотрудников и их склонностях к разным типам работы.
Вся представленная информация получена экспертным путем и апробирована в рамках реального проекта по подготовке компании к прохождению аудита на соответствие PCI DSS по версии 2.0.
Применение данного подхода позволило получить 40% рост эффективности в рамках второй фазы проекта.
Я не сомневаюсь, что все функциональные и проектные менеджеры используют данный подход в той или иной мере, но его эффективность заставляет задуматься о более серьезном его изучении.
Ниже представлены данные в рамках реального проекта, как пример применения данной методики.  
В рамках проекта был проведен анализ задействованных в проекте сотрудников компании. Ниже представлены результаты анализа 10 задействованных человек по следующим качествам:
1.      Тип мышления: стратегический или тактический.
2.      Этические нормы: высокие, средние, низкие.
3.      Уровень мотивации: высокий или низкий.
4.      Умение принимать самостоятельные решения: высокий или низкий.
5.      Приверженность изменениям: высокая, средняя, низкая.
6.      Подход к решению задач: проактивный или реактивный.
7.      Стрессоустойчивость: высокая, средняя, низкая.
Результаты анализа приведены в Таблице 1.

понедельник, 4 февраля 2013 г.

Особенности прохождения аудитов VISA и MASTERCARD

Прошло уже около года с того времени как я обещал написать данную статью. Так получилось, что за то время много чего изменилось. Я сделал выбор заниматься консалтингом по вопросам информационной безопасности, и в частности подготовки компаний к прохождению аудита PCI DSS, VISA и MASTERCARD, не будучи наемным сотрудником. Уехал из Москвы, как города, который не подходит мне для жизни, хотя изобилует предложениями о работе и хорошими зарплатами, но все же выбрав Киев. Тут я вырос и мне нравится этот город. А зиму, как и планировал, стараюсь проводить на островах в Азии.

Вторым направлением, которым я стал заниматься, стало то, что давно было моим хобби и давало мне самые приятные эмоции. Сейчас кроме консалтинга по безопасности я читаю тренинги по личной эффективности, и предоставляю услуги коучинга,  а если простыми словами, то помогаю людям достигать их целей. Приятно общаться с людьми, которые интересны сами по себе, развиваются и стремятся к достижению своих целей, зачастую именно такие задаются вопросами эффективности и коучинга. Вдвойне приятно когда получается быть полезным таким людям.  

Я давно ничего существенного не писал в блоге, по этой причине прошу мне простить 2 абзаца сверху, имеющие косвенное отношение к теме статьи. С чего-то нужно начинать.
Данная статья посвящена аудитам платежных систем VISA и MASTERCARD. В статье будут поставлены акценты на отличия от PCI DSS. Так же будет рассмотрены этапы подготовки и прохождения аудита. По возможности рассмотрены отличия между аудитами VISA и MASTERCARD. Будут даны рекомендации, на какие из вопросов обратить внимание, на каком этапе и каких аудиторов привлекать и чего от них требовать. Даны рекомендации как построить процесс подготовки и прохождения аудита.

вторник, 30 октября 2012 г.

Электронные деньги в Украине: спорные моменты

В ответ на замечания ведущего, президента Украинского аналитического центра Александра Охрименка, который высказал свою позицию по этому вопросу, глава департамента связей с общественностью WebMoney Украина Маргарита Ормоцадзе решила высказать позицию компании по этим вопросам.
“Ваш эксперт приводит такую фразу, что объем денег на электронных кошельках ограничен суммой в 8 тысяч гривен, и что это нужно для того, чтобы у людей не украли деньги. Вообще, ограничения в 8 тыс. гривен прописаны в постановлениях Национального банка, и это связано только с ФАТФ. Потому что есть рекомендации ФАТФ по минимальным ограничениям для денежных переводов. Они действуют в мире вообще.
Что касается закона, который в том числе регулирует вопрос электронных денег. Сейчас он вступил в силу, и мы будем видеть на рынке электронных платежей тенденцию по появлению новых игроков. Сам рынок интересен многим компаниям. К сожалению, у нас из-за отсутствия до последнего времени закона Национальный банк не согласовывал правила систем электронных денег. На согласования свои правила подавало много игроков, в том числе мы, в том числе большие украинские банки, но официально эта процедура была заморожена, именно потому что не было закона. Сейчас эта проблема решена, и в Украине появится много систем электронных денег”, – отметила Ормоцадзе.
Позиция эксперта
Александр Охрименко по просьбе редакции Finance.UA прокомментировал замечания пресс-службы WebMoney.
По его словам, внесение изменений в законодательную базу Украины, которые были сделаны в результате принятия закона № 10658 действительно существенные. Фактически, этот закон заложил основы новой платежной системы в Украине, во многом скопировав зарубежный опыт. Хотя реальные результаты этого закона будет заметны только через 3-5 лет, когда действительно более активно население будет использовать платежные карточки для расчетов в торговых сетях, и появятся новые методы платежей с помощью Интернета и мобильных устройств. Ничто не стоит на месте. И если раньше платежная карточка была экзотикой, то пройдет время и расчет наличными в магазине будет экзотикой.

вторник, 23 октября 2012 г.

Мировые тенденции


На прошлой неделе я был приглашен в Мюнхен для посещения конференции в рамках мирового цикла конференций по вопросам рисков безопасности, которые организовывает компания «AboveSecurity».
Что же самого интересного для меня было на данной конференции? Пожалуй, поход в Хофберхаус. Я его полюбил еще несколько лет назад, но на этот раз он завоевал меня с еще большей страстью. Во-первых атмосферой, которая царит на первом этаже. Такую атмосферу очень трудно создать в одночасье или найти. Ее нужно заслужить от удовлетворенных людей. А во- вторых - кухней. Такой рульки и такого поросенка как тут больше нет ни где. Что же касается пива, то оно в Мюнхене вкусно, где бы ни было употреблено.
Если говорить более серьезно о полезном в рамках самой конференции, то тут тоже есть что отметить.
Во-первых, грамотная организация события. Во вторых сам формат: сначала выступают докладчики, а во второй половине отведенного времени докладчики перемещаются за столы участников и можно обсудить любые интересующие вопросы. Так же порадовал широкий круг приглашенных участников от США и Канады до Тринида и Табаго.  Было само собой интересно обсудить особенности законодательства разных стран и кто как работает в правовом поле. Порой было удивительно как некоторые вообще в нем (правом поле) могут работать.
Самым интересным для меня было послушать про развитие ботнетов на смартфонах.
Новым стало понятие «Холизма» и идея о том, что безопасность очень трудно оценивать по частям и только комплексная оценка позволяет показать ее реальный уровень.
Так же интересно было узнать как обстоит ситуация с безопасностью в странах персидского залива и Африки из первых рук.
Особая благодарность организаторам, за радушие и атмосферу, которая способствовала общению и что самое главное, не мешала ему.
Кстати, может именно по тому, и было все на уровне и доклады были интересны, что половина, из выступавших, имела степень МВА и уже давно не говорит на языке технологий, а мыслит процессами. При этом еще и понимая достаточно глубоко большинство сфер деятельности компаний и направлений бизнес процессов. Таких людей всегда приятно слушать.

пятница, 5 октября 2012 г.

UISG 8

Сегодня удалось на несколько часов попасть на конференцию UISG 8 в Киеве.
Был очень рад видеть много знакомых людей. А вот формат мероприятия заметно изменился. Если ранее это были собрания активных единомышленников, то сейчас это скорее формат обычной конференции. Безусловно, место проведения, стало более «крутым» чем ранее, но платой за это стала потеря атмосферы как таковой. Изюминка радости встреч исчезла, что ли. А может она исчезла для меня. Да и не совсем понятна ниша конференции. Как для «тусовки», так слишком много людей с улицы. А если аналог массовой конференции, то до IDC не дотягивает. Сложно сказать к чему это приведет.
В любом случае организаторы молодцы, так как проводят нужное мероприятие, приглашают интересных людей, и даже их кормят не только интеллектуальной пищей, но и бутербродами с кофе.
Посмотрим куда со временем приведет изменяющийся формат встреч.

понедельник, 30 июля 2012 г.

Материалы вебинара «Безопасность — необходимое зло или главный союзник любой компании?»

26 июля мной был прочитан вебинар на тему: «Безопасность — необходимое зло или главный союзник любой компании?». 
В рамках первой части семинара были рассмотрены причины формирования искаженного мнения о безопасности в компании, основными из которых являются:
- Закрытость и непонятность процессов безопасности другим подразделениям компании.
- Отсутствие сервис ориентированной модели.
- Не умение общаться на языке бизнеса.
- Высокая стоимость технических средств и использование лишь малой части их возможностей.
- Неумение показать свои достижения и результаты, в выгодном для бизнеса свете.
- Неумение и нежелание работать с человеческими ресурсами.
- Нежелание строить коммуникации с другими подразделениями компании.
Во второй части семинара были предложены апробированные методы, позволяющие решить рассмотренные задачи. А именно:
- Правильное позиционирование безопасности в компании.
- Построение удобной и понятной системы взаимодействия с безопасностью для других подразделений.
- Как правильно продать себя и свои услуги в компании.
- Разработка, внедрение и использование показателей эффективности (KPI).
- Технические средства лишь как средства безопасности, но не как суть.
- Построение процессов взаимодействия и коммуникаций безопасности на языке бизнеса.
- Построение коммуникаций между отделами и с человеческими ресурсами компании.
Семинар ориентирован на сотрудников и руководителей отделов безопасности, руководителей компаний и их замов, курирующих данные направления, специалистов смежных областей, которые по своему роду деятельности часто взаимодействуют с безопасностью: бизнес аналитиков, менеджеров проектов, руководителей структурных подразделений, аудиторов.
Те, кто не смогли посетить данный вебинар, могут скачать презентацию доклада тут:
Полная запись вебинара доступна тут (размер 85 Мб):
Для просмотра можно использовать KMPlayer версии 3.0 и выше.

Желаю всем интересной и плодотворной недели.