Pull to refresh
  • by relevance
  • by date
  • by rating

Проверяем виртуальную инфраструктуру VMware на соответствие требованиям стандартов безопасности

Information Security
vGate Compliance Checker — это бесплатная утилита разработки компании «Код Безопасности», позволяющее проверить соответствие виртуальных инфраструктур требованиям отраслевых стандартов и лучших мировых практик.

Результатом работы приложения является отчет (который можно выгрузить в HTML-формат), содержащий информацию о соответствии проверяемого сервера (нескольких серверов) требованиям отраслевых стандартов и лучших мировых практик.

Может стать полезным инструментом не только для специалистов по информационной безопасности.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views5.5K
Comments 3

Соответствие стандартам и политикам в сканерах уязвимостей и SIEM

Positive Technologies corporate blogInformation SecuritySystem Analysis and Design
Английский термин compliance означает соответствие одному из высокоуровневых стандартов (таким как SOX, PCI DSS, Basel II, GLBA). Проводить проверку на соответствие этим документам необходимо для того, чтобы определить, насколько хорошо в вашей организации соблюдаются требования, описанные данными стандартами (разрешенная длина паролей, наличие внутренних регламентов и политик, время устранения уязвимостей и т. п.).

Помимо международных стандартов существуют их отечественные аналоги, корпоративные политики и требования NIST.Проводить оценку соответствия этим документам также необходимо. Стандарты содержат наборы требований: выполнение всех требований стандарта фактически означает соответствие ему. Пример отдельного требования: «Должен иметься дисциплинарный процесс для служащих, которые произвели нарушение защиты» (ИСО/МЭК 2005 A.8.2.3).
Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views10.7K
Comments 14

SIEM для ИТ и ИБ

Positive Technologies corporate blogInformation SecuritySystem Analysis and Design
С появлением первых средств защиты информации возникли первые насущные вопросы: как узнать, что возведенные баррикады работают и защищают? как быстрее реагировать на оповещения? как понять, какие угрозы удалось предотвратить? Работает ли наш файерволл, можно узнать, выполнив ICMP ping: если правила в ACL (access control list) работают, то ответов, содержащих echo reply, быть не должно. Можно через консоль устройства просмотреть журнал событий, разбирая сотни или тысячи строк вручную и пытаясь увидеть отраженную или выявленную угрозу.
Читать дальше →
Total votes 14: ↑12 and ↓2 +10
Views10.8K
Comments 15

Интернет вещей — маркетинг или реальная угроза

Qrator Labs corporate blogResearch and forecasts in IT
Пятница, Хабр! Это — доклад Артёма ximaera Гавриченкова, технического директора Qrator Labs с конференции «Хакер, вендор, клиент», прошедшей 21 апреля в Москве. За видео в конце публикации спасибо Кириллу Ермакову.

Снова здравствуйте.

С чего бы начать? Вы удивитесь — с глобального потепления.


Читать дальше →
Total votes 28: ↑22 and ↓6 +16
Views7K
Comments 8

Обход правил разграничения доступа в средствах защиты от НСД

Information Security
Sandbox
На российском рынке информационной безопасности существует целый класс продуктов, разработанных для выполнения требований регуляторов (ФСТЭК, ФСБ, Роскомнадзор и прочие). Эти продукты называются «СЗИ от НСД», что означает — средства защиты информации от несанкционированного доступа. Основные функции таких продуктов — реализация независимо от операционной системы аутентификации пользователей, правил разграничения доступа к файлам и директориям (дискреционно — как в операционных системах, и мандатно — для гостайны, где есть разные уровни информации), контроль целостности, управление подключением устройств и всякие другие функции. Про подобные продукты на Хабре есть короткая статья, правда ей уже больше пяти лет, но в целом мало что изменилось. Все эти продукты, по большей части, нужны для комплаинса в чистом виде, но, тем не менее, с помощью этих средств реализуется большинство политик безопасности в госорганах, госкомпаниях, оборонке и т.д.

Логично предположить, что эти продукты безопасны и правильно выполняют свои функции, но я выяснил, что это совсем не так. В данной статье будем рассматривать исключительно СЗИ от НСД под операционную систему Windows, так как не смотря на тренд импортозамещения, большинство госкомпьтеров всё равно работает под ней. В Windows есть множество особенностей и тонкостей, которые могут сыграть злую шутку с разработчиками средств защиты. Не будем сейчас говорить обо всех нюансах, разберем только один, который позволяет обойти политики разграничения доступа к файлам.
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views27.6K
Comments 8

Встречайте Open Source License Compliance Handbook

Open sourceCreative CommonsGitHubDevelopment ManagementLegislation in IT
Translation

Большой зоопарк опенсорсных лицензий неизбежно приводит к тому, что приходится нередко задаваться вопросами касательно их совместимости, тех или иных применимых лицензионных условий в зависимости от соответствующего сценария использования. Замечательно, конечно, что существуют подробные разъяснения по тем или иным лицензиям (см., например, о GPL 2.0 или MPL 2.0; и даже по лицензии MIT умудрились сделать большой и подробный обзор).


Но действительно хорошо и полезно, когда появляются сравнительные обзоры, посвященные сразу ряду, а то и многим лицензиям в совокупности. Один из таких проектов, появившийся буквально недавно в 2019 году — Open Source License Compliance Handbook.


Этот материал именно о нем, читайте детали ниже.

Читать дальше →
Total votes 25: ↑25 and ↓0 +25
Views4.3K
Comments 5

Extending Azure security capabilities

Microsoft corporate blogCloud computingMicrosoft AzureCloud services

As more organizations are delivering innovation faster by moving their businesses to the cloud, increased security is critically important for every industry. Azure has built-in security controls across data, applications, compute, networking, identity, threat protection, and security management so you can customize protection and integrate partner solutions. 


We keep investing in security and we are excited to share exciting updates this week at Hannover Messe 2019. We are excited to announce that Dedicated Hardware Security Module Service (HMS) in UK, Canada, and Australia, Azure disk encryption support for Virtual Machine Scale Sets (VMSS) are generally available. Also Advanced Threat Protection for Azure Storage, the Regulatory Compliance Dashboard, and support for virtual machine sets are now generally available as part of Azure Security Center.



Read more →
Total votes 5: ↑5 and ↓0 +5
Views781
Comments 0

Открыт конкурс докладов на #PAYMENTSECURITY 2019

Conferences
Для многих представителей платежной индустрии стран Еврозоюза и СНГ за последние три года конференция #PAYMENTSECURITY стала комфортной площадкой для обмена опытом и получения новых знаний в области финансовых технологий и информационной безопасности.

4 и 5 июля 2019 года. ФИНТЕХ и ИНФОБЕЗ. Мы снова замешаем и взболтнем две стихии в одном конференц-зале «Павловский» отеля "Crowne Plaza St. Petersburg Airport".

#PAYMENTSECURITY 2019 в Питере. Регистрация открыта! Белые ночи включены!

Подробности
Total votes 8: ↑8 and ↓0 +8
Views395
Comments 0

Building a global legal network for open source

Community management
Sandbox
In late 2006 I became the first coordinator of the Free Software Foundation Europe’s legal department. It was called, for reasons lost to time, the “Freedom Task Force,” and it constituted myself, Carlo Piana as the General Counsel, and several volunteers with connections to organizations like gpl-violations.org. Our goal was strait forward. We wanted to enhance knowledge and communication across Europe with respect to open source software and to ensure that both commercial and non-commercial actors in the space would get the full benefit from its potential.

One may ask why a legal department was being used for what sounds like a relatively general goal. Such a question can be answered with context from the time period. In 2006 one of the main discussions about sustainability for open source was related to legal matters, particularly concerns or challenges related to patents and copyright matters. Simplifying things somewhat, there were open questions regarding whether patent challenges could make open source expensive or unsustainable for commercial actors, and there were open questions regarding whether parties could or should follow the terms of open source licenses.

On the latter point, and somewhat amusingly when used from the perspective of today, some parties were of the opinion that the terms of open source licenses might not be mandatory. Harold Welte, the team at gpl-violations.org and lawyers like Dr. Till Jeager in Germany are owed a debt for laying this question conclusively to rest not only in their own nation but globally. While it may seem superficially counter-intuitive, their work to ensure clarity a substantial foundation to encourage and sustain commercial investment in the sphere. After all, when it comes to investment, a clear, unambiguous and level playing-field is vital.
Read more →
Total votes 5: ↑5 and ↓0 +5
Views546
Comments 0

Вебинар «Как пережить комплаенс? Оптимальный подход к выполнению требований регуляторов»

Digital Security corporate blogInformation SecuritySocial networks and communities


Не всегда аудит ИБ в компании ограничивается увлекательным пентестом: в ряде случаев требуется провести оценку соответствия разного рода нормативам и стандартам. Особенно активно пугают аббревиатурами 382-П, ОУД4, КИИ, 152-ФЗ, при этом о практических вещах не говорят: как соблюсти все требования и логично организовать компаленс-аудит в компании. Об этом расскажем мы 8 августа на вебинаре Digital Security «Как пережить комплаенс? Оптимальный подход к выполнению требований регуляторов».
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views1.8K
Comments 5

Кадровая алхимия: каков оптимальный состав команды центра ГосСОПКА?

Ростелеком-Солар corporate blogInformation SecurityPersonnel ManagementLegislation in IT
image

Эта статья пригодится тем, кто работает в компании, признанной субъектом критической информационной инфраструктуры (КИИ), а значит — обязанной выполнить требования №187-ФЗ и построить центр ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак), соответствующий требованиям ФСБ России.

В прошлой статье мы затронули самые основы этой темы и рассказали о требованиях ФСБ к техническим средствам, которые должны использоваться в центре ГосСОПКА. Однако эти требования (едва ли не впервые) распространяются не только на технические средства защиты, но и на реализацию конкретных процессов мониторинга, реагирования и расследования инцидентов ИБ. Поэтому сегодня мы расскажем о том, какие кадровые ресурсы вам понадобятся, чтобы все эти процессы обеспечить.
Читать дальше →
Total votes 27: ↑19 and ↓8 +11
Views3.5K
Comments 7

Как regtech-компании помогают сектору финансовых услуг контролировать риски, связанные с COVID-19

Data MiningFinance in IT
Translation
Ирландская regtech-компания Corlytics выпустила новое решение, помогающее финансовым учреждениям ориентироваться в чрезвычайной ситуации, связанной с пандемией Covid-19.
Финансовые учреждения могут сыграть важную роль в поддержании стабильности и безопасности в условиях нынешнего кризиса во всем мире. Но одновременно им приходится реагировать на собственные операционные вызовы в быстро меняющейся среде.

Система трекинга регулирования Covid-19 от Corlytics предоставляет участникам рынка удобную информационную панель, которая позволяет быстро и точно отслеживать изменения в области регулирования и риска, связанные с пандемией.



Как и все программное обеспечение Corlytics, решение анализирует поток информации от регуляторов, государственных органов и других источников и использует продвинутую аналитику для выявления тем и тенденций по мере их возникновения.

Аналитика доступна клиентам в различных разрезах – по юрисдикции, источнику и теме, а комплексная функциональность помогает быть в курсе важной информации в части управления комплаенсом, аудитом и рисками, а также правовых вопросах.
Читать дальше →
Total votes 6: ↑3 and ↓3 0
Views303
Comments 0

Ликбез по Compliance: разбираемся в требованиях регуляторов в области ИБ

Инфосистемы Джет corporate blogInformation SecurityStudying in ITLegislation in ITConferences
Привет, Хабр!

И у карантина есть плюсы — у нас появилось время подготовить еще несколько учебных вебинаров по информационной безопасности (вебинары по основам ИБ смотрите тут). Хакеры и сетевые атаки — это, конечно, захватывающе, но почти любой безопасник сталкивается и с другой стороной ИБ — требованиями регуляторов. Поэтому этот цикл вебинаров мы сделали по теме Compliance ИБ. Полезно будет и студенту, и опытному безопаснику, который хочет освежить память и узнать о последних изменениях в нормативке.

Мы уже провели два ликбеза и планируем еще как минимум два онлайн-мероприятия. Под катом — подробности предстоящих онлайн-встреч и записи прошедших вебинаров.


Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views2.8K
Comments 1

8 самых новых бесплатных курсов от Microsoft

Microsoft corporate blogProgrammingMicrosoft AzureStudying in ITRemote work
Привет, Хабр! Иногда они возвращаются, и мы не про фильм. Уже третья подборка бесплатных курсов от Microsoft на подходе. В этот раз мы решили немного изменить концепцию, и пройдемся не по ролям представителей IT-индустрии, а по статусам самих курсов. Новые курсы, курсы для начинающих и курсы для продвинутых специалистов. Начнем!

В первой подборке (этой) вы найдете 8 самых новых и релевантных наших бесплатных курсов, появившихся на платформе Microsoft Learn совсем недавно. Стоит отметить, что на момент выпуска статьи 4 из 8 курсов пока не переведены на русский язык. К сожалению, мы пока не успели их локализовать, но занимаемся этим вопросом. Так что проверьте, вдруг они уже переведены.

Кстати!

  • Все курсы бесплатные (вы даже сможете попробовать платные продукты бесплатно);
  • 4/8 на русском языке;
  • Начать обучение можно мгновенно;
  • По окончании вы получите бейдж об успешном прохождении обучения.

Присоединяйтесь, подробности под катом!

Эта серия статей


Предыдущая серия статей, начало 2020 года


Более ранняя серия статей, 2019 год



Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views18.8K
Comments 7