Выпуск No10. Новости :: 2004-04-17

Москва: о национальном стандарте обеспечения информбезопасности в банках
Статег.Ру
В рамках конференции "Информационная безопасность в кредитно-финансовой сфере: стратегия развития" специалистами в области защиты информации в банках и представителями органов власти вновь обсуждался Проект стандарта по обеспечению информационной безопасности (ИБ) организаций Банковской системы России. По мнению многих участников конференции, стандарт увидит свет летом текущего года.
С 8 по 9 апреля в подмосковном доме отдыха "Заря" прошла Вторая ежегодная конференция "Информационная безопасность в кредитно-финансовой сфере: стратегия развития", организаторами которой выступили Центральный Банк России, Государственная техническая комиссия при президенте РФ, Ассоциация российских Банков и IT-компания "АНДЭК". В качестве информационных спонсоров были привлечены "Аналитический банковский журнал" и журнал "Банковские технологии".
Как и предполагалось, центральной темой конференции стал Проект стандарта по обеспечению ИБ в кредитно-финансовых учреждениях, который активно обсуждался представителями банков (в том числе и Центрального Банка России), Гостехкомиссии и АРБ с одной стороны и IT-общественностью, с другой. Это уже не первая попытка прийти к единому мнению относительно контроля и регулярной оценки уровня ИБ в организациях Банковской Системы РФ (БС РФ). Однако, как заметил Андрей Курило, заместитель начальника Главного управления безопасности и защиты информации Банка России, сейчас вопрос стандартизации стоит наиболее остро и медлить с внедрением Проекта нельзя.
В частности Андрей Курило сообщил: "Кредитно-финансовые организации РФ сейчас находятся в сложном положении, поскольку российская банковская система не имеет общих унифицированных требований. Именно это подвигло нас сделать революционный шаг и создать для банковской системы России свой национальный стандарт по обеспечению ИБ. Стандарт будет представлять собой пакет документов, во главе которого будет находиться первая книга под названием "Обеспечение информационной безопасности для организаций БС РФ". Сам стандарт, возможно, будет принят уже в этом году".
Также на конференции были рассмотрены возможные перспективы развития стандартизации в области ИБ в целом, состояние нормативной базы по этому вопросу и существующие на сегодняшний день угрозы безопасности информации в банках. Развитию стандартизации в российских банковских учреждениях был посвящен доклад Александра Велигуры, председателя комитета по информационной безопасности АРБ, заместителя генерального директора "АНДЭК" по специальным проектам. "Если представить систему банковских стандартов в виде многоуровневой пирамиды, то самым верхним окажется общий национальный стандарт ЦБ. Он задаёт философию всей системе требований и правил, именно поэтому он так важен, - считает г-н Велигура. - Уровнем ниже будут находиться вспомогательные документы, такие как общая схема банковских бизнес-процессов, классификатор угроз ИБ и так далее. Следующий уровень - "Рекомендации по организации ИБ в банке". Далее будут располагаться требования по ИБ для автоматизированных банковских систем. При этом две составляющие каждого уровня (кроме верхнего) - организационно-процедурные и технические требования. Но даже там, где всё, казалось бы, отрегулировано, есть вопросы, не регламентированные общими документами. И эти вопросы необходимо решать в первую очередь".
Нормативная база по обеспечению ИБ в банках анализировалась Борисом Скородумовым, заместителем генерального директора Института банковского дела АРБ в докладе "Закон "О техническом регулировании" и информационная безопасность". Г-н Скородумов привёл цитату Уильяма А. Вульфа (Президента Национальной Инженерной Академии США) применительно к теме конференции: "Истина состоит в том, что мы не знаем, как создавать надёжные информационные системы. Главный вывод - необходима разработка совершенно новых методов обеспечения безопасности информационных систем". В своей речи Борис Скородумов заметил, что до недавнего момента в России не существовало адаптированной для российской банковской системы документальной базы. "Сегодня в нашей стране действуют выпущенные Гостехкомиссией документы, которые носят исключительно технический характер. Они регламентируют вопросы несанкционированного доступа, блокировки каналов утечки информации, типы угроз и прочее. Но эти документы касаются не только банков, но и всех остальных компаний, для которых актуальна защита информационных ресурсов. Слабая сторона этих документов в том, что они не учитывают специфики банковской сферы".
Резюмируя высказывания, как представителей банковского сообщества, так и специалистов IT-компаний, генеральный директор компании "АНДЭК", председатель комитета АРБ по стандартам и унифицированным правилам, а так же заместитель председателя подкомитета №3 "Защита информации в кредитно-финансовой сфере" Технического комитета №362 "Защита информации" (ПК 3 / ТК 362) Федеральной службы по техническому регулировании и метрологии (бывший Госстандарт России) Вячеслав Степанов отметил: "Очевидно, что большая часть работы по Проекту стандарта позади. Я уверен в том, что его обнародование, а затем и внедрение не заставит себя ждать, поскольку в данном случае сроки диктует само состояние нормативной базы кредитно-финансового рынка".
.

Faktura.ru впервые в РФ застраховала информационные риски по мировым стандартам
InfoSecurity.Ru
Страховая компания "Ингосстрах" застраховала деятельность по эксплуатации информационной системы межбанковского процессингового центра электронного документооборота Faktura.ru, а также деятельность оператора системы - ЗАО "Центр Корпоративного обслуживания" по предоставлению участникам системы информационного и технологического обслуживания. Согласно заключенному договору ОСАО "Ингосстрах" представляет межбанковскому процессинговому центру Faktura.ru страховую защиту в отношении информационных активов от рисков компьютерных атак против страхователя, действий компьютерных вирусов, а также противоправных действий. Также страхование распространяется на электронное оборудование и дополнительные расходы по экстренному восстановлению бизнеса при наступлении страхового случая.

Во Франции запретили распространять информацию об уязвимостях
securityfocus.com
Во Франции приняты поправки в закон "О Цифровой Экономике" в котором существенно изменился подраздел о наказании за определенные нарушения в сторону резкого ужесточения применяемых мер к нарушителям данного закона, а также очень круто были изменены (и добавлены новые) пункты, определяющие эти самые преступления. Незаконным была признана любая информация, раскрывающая подробности уязвимостей и технологии взлома.
Согласно статьи 34 закона "О Цифровой Экономике", незаконным является публикация или хранение информации об уязвимостях, кода эксплоитов, информации об технологии взлома. Также является не законным наличие или распространение любого хакерского ПО или чтение рассылок по безопасности, типа "bugtraq" или "Full Disclosure". Даже те, кто попробуют использовать инструментарий, имеющий отношение к проверке уязвимостей компьютерных систем, автоматически будут обвинены в пиратстве, если не докажут обратное.

Новые сертификаты "Информзащиты"
Стратег.Ру
Компания "Информзащита" получила пять новых сертификатов Гостехкомиссии России на средства защиты информации, выпускаемые компанией Internet Security Systems (ISS). В число продуктов, получивших сертификаты, вошли сетевой сенсор RealSecure Server Sensor 7.0, системы анализа защищенности Internet Scanner 7.0 и Database Scanner 4.3 и система централизованного управления RealSecure SiteProtector 2.0. Сертификация данных средств защиты информации позволит применять их у более широкого круга заказчиков, в частности в государственных организациях.

Самым опасным инструментом становится браузер
SecurityLab.ru
В понедельник Ассоциация индустрии компьютерной технологии (CompTIA) распространила второй ежегодный отчет по ИТ-безопасности. В опросе приняли участие почти 900 организаций, которые должны были указать 15 главных, с их точки зрения, проблем безопасности. Согласно полученным результатам, за последние шесть месяцев 36,8% организаций подвергались хотя бы одной атаке, связанной с браузером. Эта цифра на 25% превышает аналогичный показатель из прошлогоднего отчета.

Софт :: Управление политикой ИБ

Digital Security: КОНДОР+ 2.2 – новая версия программного комплекса управления политикой информационной безопасности компании.

Компания Digital Security объявляет о выходе новой версии программного комплекса управления политикой информационной безопасности компании КОНДОР+ .
Разработанный программный комплекс КОНДОР+ включает в себя более двухсот вопросов, ответив на которые, специалист получает подробный отчет о состоянии существующей политики безопасности, а так же модуль оценки уровня рисков соответствия требованиям ISO 17799. В отчете отражаются все положения политики безопасности, которые соответствуют стандарту и все, которые не соответствуют, а также существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом. Причем, к тем элементам, выполнение которых может вызвать затруднение, даются комментарии и рекомендации экспертов.

Отличия версии 2.2

• Возможность внесения пользовательского комментария к каждому вопросу. Комментарий с указанием даты и времени его добавления и "привязкой" к соответствующему требованию по желанию пользователя может быть внесен в итоговый отчет по системе.
• Редактирование весовых коэффициентов (рисков) требований, заданных по умолчанию
• Возможность отменить ответ на вопрос (пометить вопрос как неотвеченный)
• Сохранение отчета в форматах PDF, JPEG, WMF
• Справочные материалы в виде типовой политики безопасности с библиотекой положений, регламентов, инструкций

Софт :: Сканеры сетевой безопасности
Обновился популярный сканер сетевых (TCP ИUDP) портов nohack scanner. Имеется как GUI (nhs.zip) так и command line версия (nhsc.zip). Обе версии доступны здесь.

Софт :: Безопасность Интернет
Вышел Symantec's Norton Internet Security 2004 Professional от компании Symantec. В новую версию включен антиспамный модуль.

Софт:: Управление подлинностью документов
Продукт Secure2trust от компании Avoco Secure для ОС Windows 2000, Windows 95/98, Windows NT, Windows XP.
Продукт позволяет создавать документы и полностью контролировать их существование. Даже если будут существовать копии этого документа, можно будет убедиться, что копия имеет необходимые элементы, подтверждающую первоначальное происхождение. Можно контролировать распечатку, копирование, просмотр и т.д. подобных документов.

Софт :: Аудит ИБ
Продукт WinBlox v6.0 автор - liudieyu@umbrella.name для ОС: UNIX, Windows 2000, Windows NT, Windows XP
WinBlox позволяет контролировать файловые операции и запуск програм из командной строки на ОС Windows 2000 и более поздних.

Версия 1.4.4 программы Logrep для ОС: Linux, POSIX, Windows 2000, Windows NT.
Logrep позволяет собирать и обрабатывать информацию из различных журналов (логов). Поддерживает формат HTML для формированя отчётов. Поддерживает работу с такими популярными программами как: Snort, Squid, Postfix, Apache, syslog, iptables/ipchains, NT event logs, Firewall-1, wtmp, Oracle listener, и Pix.

Софт :: VPN
Securepoint Firewall and VPN Server v4.0 (S4) для ОС Linux, Windows 2000, Windows 95/98, Windows NT
Securepoint Firewall and VPN Server высоко производительное приложение для обеспечения безопасности сетевых активов. Обладает графическим интерфейсом с большим числом функций (настроек, формирования отчётов). VPN функции поддреживают PPTP и IPSec (X.509 сертификаты, цифровые подписи RSA). Можно использовать сетевой экран на стандартном PC с 2 - 16 сетевыми картами (включая Ethernet, ADSL, ISDN). Простота установки и администрирования..

Рекомендуемые рассылки и дискуссионные листы:

• Автоматизированное тестирование программного обеспечения;
• Тестирование и качество;
• Тестирование программного обеспечения;
• Дискуссионный лист “Анализ и оценка безопасности информационных технологий”;
• Дискуссионный лист “Тестирование ПО”.
  

Наши форумы: Форум Тестировщика и его новая ветвь - Форум Тестера Безопасности.

Проект Тестер - все аспекты вопросов тестирования!