Выпуск №7. Новости ИБ. 2004-04-06.

Aladdin выпустил решения eToken для аутентификации в СУБД Oracle
CNews.ru
Компания Aladdin Software Security R.D., разработчик систем аутентификации и защиты информации, сообщила о выходе нового решения eToken для аутентификации в СУБД Oracle.
Дальнейшие исследования подтвердили принципиальную возможность интеграции технологии eToken с СУБД Oracle, а работа технических специалистов компании Aladdin обеспечила применение USB-ключей и смарт-карт eToken для аутентификации пользователей с рабочих станций под управлением операционной системы Microsoft Windows 2000/XP. Для аутентификации используется цифровой сертификат X.509 v.3, установленный на eToken. Связанный с ним закрытый ключ шифрования хранится в защищенной памяти, доступ к которой имеет только встроенный в eToken криптопроцессор. Чтобы выполнить криптографические операции с закрытым ключом, пользователь должен ввести персональный PIN-код. Таким образом обеспечивается строгая двухфакторная аутентификация. Данная технология аутентификации прозрачна для приложений, использующих стандартные программные интерфейсы для доступа к базе данных Oracle - OCI, JDBC или ODBC. Это означает, что переход на данную технологию аутентификации не требует изменений в существующих приложениях.
Выход коробочного решения для клиентских рабочих станций под управлением Windows 2000/XP планируется на середину апреля 2004 г. Продажа продукта планируется через технологических и бизнес-партнеров компании Aladdin, одновременно являющихся партнерами Oracle. Стоимость коробочного решения в стандартной поставке Enterprise на 50 пользователей не будет превышать $99 для одной рабочей станции. В состав комплекта будет входить: CD-ROM с программным обеспечением и информационными материалами от компании Aladdin, USB-ключ eToken PRO с размером памяти 32 КБ, брошюра "Краткое руководство", гарантийный талон.

Novell анонсировал ПО автоматического управления Windows-обновлениями
infosecurity.ru
На выставке CeBIT 2004 корпорация Novell продемонстрировала новый продукт под названием Novell ZENworks Patch Management. Как явствует из названия, он призван помочь системным администраторам и специалистам по информационной безопасности упорядочить обновления и заплатки для операционных систем семейства Windows.

Гейтс отчитался об успехах в сфере безопасности
securitylab.ru
По словам Гейтса, эффективность новых мер безопасности, принятых Microsoft в рамках инициативы trustworthy computing, подтверждается цифрами. За первые 320 дней поставок Windows Server 2003 вышло девять бюллетеней безопасности с «критическими» и «серьезными» предупреждениями, против 40 за аналогичный период поставок предыдущей версии операционной системы Windows 2000 Server. По SQL 2000 вышли три таких бюллетеня за 15 месяцев после выпуска Service Pack 3, вместо 13 за 15 месяцев до его выпуска

ДСТСЗИ СБУ выдал экспертное заключение на "Гриф-2000"
bezpeka.com
Департаментом специальных телекоммуникационных систем и защиты информации Службы безопасности Украины выдано экспертное заключение на комплекс средств защиты информации от несанкционированного доступа "Гриф-2000" производства киевского ООО "Институт компьютерных технологий".
Комплекс "Гриф-2000" функционирует в среде операционной системы Windows 2000 Professional.
Согласно экспертному заключению № 57 от 16.03.2004 г. комплекс "Гриф-2000" может использоваться для защиты информации, составляющей государственную тайну, в автоматизированных системах класса "1".

Создается глобальная база уязвимостей в программном и аппаратном обеспечении
bezpeka.com
В Open Source Vulnerability Database (OSVDB) собрана информация от профессионалов по информационной безопасности за последние два года, и теперь планируется начать её свободное распространение, а также ежедневное пополнение базы новыми сведениями.
По словам основателя проекта Тайлера Оуэна (Tyler Owen), получение надежной и полной информации о возможных проблемах в защите - обычное занятие десятков веб-сайтов и почтовых рассылок, но в OSVDB создатели постараются создать базу данных и системное описание тысяч уязвимостей. При этом проект не ограничивается какими-то конкретными продуктами, рассчитывая вобрать в себя информацию по всем видам аппаратуры и операционных систем.
Что до регуляционной стороны такого проекта, то в этом квартале должны появиться основные положения, включающие в себя временные ограничения по скорости сообщения об обнаруженных уязвимостях производителям продуктов и широкой общественности.

20 и 23 апреля в Москве пройдет 6-я всероссийская практическая конференция "Стандарты в проектах современных информационных систем".
Стратег.Ру

Как сообщают организаторы мероприятия, в рамках работы конференции также пройдут учебно-консультационные семинары:

• "Архитектурный подход – системное управление реализацией ИТ-стратегии и тактики".
• "Управление ходом выполнения проекта в условиях неопределенности. Тренинг и проектно-деловая игра".
• "Использование подходов и технологий УП в реализации внутренних проектов компании".
• "Роль заказчика и конечного пользователя в создании и внедрении информационной технологии".
• "Международные и отечественные стандарты в области системной инженерии и пути их эффективного применения (ISO/IEC 15288, 9001, 15443, ГОСТ РВ 51987 и др.)".
• "CIO: путь от управления "железом" к стратегическому управлению компанией".

Регистрация на эти мероприятия проводится независимо от регистрации на основные два дня конференции по E-mail: conf@fostas.ru; а также по тел.: (095) 155-4949, 155-4049. Запись на семинары будет происходить до 12 апреля 2004 г

Неделя безопасности в Москве
bezpeka.com
10-я Юбилейная Выставка MIPS 2004 (26-29 апреля), 1-я Московская Конференция "Интегрированные системы безопасности: новейшие технологии", конкурс "Лучший инновационный продукт" включены в Неделю безопасности Москвы.

Рекомендуемые рассылки и дискуссионные листы:

• Автоматизированное тестирование программного обеспечения;
• Тестирование и качество;
• Тестирование программного обеспечения;
• Дискуссионный лист “Анализ и оценка безопасности информационных технологий”;
• Дискуссионный лист “Тестирование ПО”.
  

Наши форумы: Форум Тестировщика и его новая ветвь - Форум Тестера Безопасности.

Новые сайты проекта:
Запущены в эксплуатацию сайты рассылок “Автоматизированное тестирование ПО” и “Тестирование ПО” .
Сайты доступны по отдельным адресам. Сегодня на сайтах представлены развёрнутые описания рассылок и дополнительная информация (формы подписок, количество подписавшихся).

Проект Тестер - все аспекты вопросов тестирования!