Тематический бюллетень
| Вид материала | Бюллетень |
| В Великобритании намерены создать базу данных звонков, электронных адресов и интернет-активности граждан Комплекс стандартов Банка России: новости 2008 года Выставки, конференции, курсы |
- Тематический бюллетень, 1078.94kb.
- Тематический бюллетень, 1186.6kb.
- Тематический бюллетень, 656.11kb.
- Тематический бюллетень, 870.43kb.
- Тематический бюллетень, 1019.68kb.
- Тематический бюллетень, 842.39kb.
- Тематический бюллетень, 853.6kb.
- Тематический бюллетень, 876.73kb.
- Бюллетень новых поступлений 2007 год, 816.76kb.
- Бюллетень новых поступлений 2007 год, 897.56kb.
20.05.08 11:39
В Великобритании намерены создать базу данных звонков, электронных адресов и интернет-активности граждан
Власти Великобритании намерены создать массивную правительственную базу данных, в которой должны храниться сведения о каждом телефонном звонке, адресе электронной почты и времени, проведенном в интернете. Власти рассматривают данную инициативу, как часть стратегии по борьбе с терроризмом и преступностью.
Доступ к базе должны предоставлять провайдеры связи и ряд федеральных ведомств по запросу Департамента внутренней безопасности, который, впрочем, также должен на эту операцию получить санкции суда.
Как пишет сегодня лондонская Times, информация в базе должна хранится по крайней мере 12 месяцев, однако в ряде случаев может быть выдана санкция на продление срока хранения.
Как и обычно бывает в таких случаях, против данной инициативы высказались правозащитники, считающие, что база будет нарушать права граждан на неприкосновенность частной жизни, а также те, кто считает, что рано или поздно сведения из этой базы окажутся в руках у хакеров.
Кроме того, технические эксперты говорят, что размер базы будет по истине огромный, так как в стране одних лишь SMS-сообщений ежегодно отправляется 57 млрд, а количество электронных писем превышает 3 млрд в день.
Сторонники данного предложения говорят, что наличие базы существенно ограничит свободу действий террористов, так как они в основном координируют свои действия по мобильной связи или через интернет.
www.cybersecurity.ru
26.05.08 00:00
Комплекс стандартов Банка России: новости 2008 года
В рамках конференции "FinSec: информационная безопасность финансовых организаций" прозвучит доклад Александра Николаевича Велигуры (председателя комитета по информационной безопасности Ассоциации российских банков, заместителя генерального директора ООО "Андэк технолоджиз", канд. физ.-мат. наук, CISA) на тему "Комплекс стандартов Банка России: новости 2008 года":
"Прошло более четырех лет с момента выхода первой версии Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0.
С самого начала было понятно, что необходим целый комплекс документов, способствующих внедрению рекомендаций стандарта. Наряду с совершенствованием основного базового стандарта, проводилась работа по определению облика этого комплекса и созданию входящих в него документов.
При использовании этих документов необходимо иметь возможность оценивать степень соответствия состояния информационной безопасности своей организации требованиям "Общих положений". При этом желательно добиться единого понимания того, что считать выполнением тех или иных положений данного стандарта.
Результатом этих и других соображений стала разработка стандарта аудита и подробной методики аудита.
Стандарт аудита (СТО БР ИББС-1.1) содержит рекомендации по организации процесса аудита, не детализируя вопросы, на которые требуется получить ответ в ходе аудита, и вид результата.
Методика оценки соответствия (СТО БР ИББС-1.2) основывается на использовании так называемых частных показателей ИБ, представляющих собой вопросы, относящиеся к тем или иным аспектам обеспечения ИБ согласно "Общим положениям".
Существующая система документов включает в себя еще два документа, имеющих статус "рекомендаций в области стандартизации Банка России" (далее – "РС"):
- РС БР ИББС-2.0 (Рекомендации по документации);
- РС БР ИББС-2.1 (Руководство по самооценке).
В настоящее время готовятся еще два новых документа статуса "РС":
- РС БР ИББС-2.2 (Методика оценки рисков нарушения ИБ) и
- РС БР ИББС-2.3 (Методика классификации информационных активов).
Предполагается, что при применении комплекса стандартов использовать именно эти методики необязательно, то есть, например, требование "Общих положений" о проведении оценки рисков может быть реализовано и с помощью другой методики.
Кроме того, готовится новая редакция основного стандарта СТО БР ИББС-1.0. В нем будет опущен ряд декларативных положений, а также положений, которые на практике по разным причинам не используются.
С учетом практики уточняется и конкретизируется ряд требований стандарта.
В связи с этим соответствующие изменения планируется внести и в "Методику оценки", что сделает ее более точно соответствующей "Общим положениям" и более гибкой в применении.
В то же время основа подхода к обеспечению ИБ в стандартах не меняется, то есть если достигнут достаточно высокий уровень соответствие требованиям действующих версий стандартов, то он сохранится и в отношении новых редакций", - Александр Велигура, председатель комитета по информационной безопасности АРБ.
Конференция состоится 3 июня а Президент-отеле (Москва, ул. Большая Якиманка, 24).
С программой мероприятия можно ознакомиться на сайте конференции www.finsec.ru.
www.itsec.ru
ВЫСТАВКИ, КОНФЕРЕНЦИИ, КУРСЫ |
16.05.08 00:00
20 мая в Москве состоялся семинар-практикум «Пример построения защиты сетевой инфраструктуры современного предприятия»
20 мая компания «Поликом Про» вместе с ведущими производителями систем защиты бизнес-процессов – Cisco, Trend Micro и Aladdin – провела семинар-практикум «Пример построения защиты сетевой инфраструктуры современного предприятия», на котором представила комплексное решение и практический подход к защите этой области инфраструктуры, а также продемонстрировала работу решения в режиме реального времени.
Существуют разные подходы к построению защиты компьютерных сетей от несанкционированного проникновения извне и вредоносного кода. Наиболее эффективные из них учитывают все основные аспекты информационной безопасности, то есть представляют собой комплексное интегрированное решение по защите сетей. Такое решение включает в себя защиту по всем основным направлениям. Во-первых, оно позволяет защитить сеть во время удалённого доступа пользователей к компьютерной сети компании. Во-вторых, защищает сеть при организации гостевого доступа к ресурсам. В-третьих, организует контроль и соблюдение политик безопасности в сети, защиту от спама и антивирусный контроль информации, приходящей извне. Наконец, включает в себя всестороннюю интегрированную защиту рабочих станций корпоративной сети.
Организаторы мероприятия представят решение, удовлетворяющее всем перечисленным условиям, на своём семинаре-практикуме, который пройдёт 20 мая в Москве.
Решение, представляемое интегратором, основано на решении компании Cisco под названием Self-Defending Network («самозащищающаяся сеть»). Концепция компании Cisco по защите бизнес-процессов современного предприятия строится на системном подходе к обеспечению безопасности и базируется на пяти «китах»: платформа безопасной сети, контроль и защита от угроз, конфиденциальная связь, защищенные транзакции, оперативное руководство и управление политиками.
Каждый из перечисленных пунктов работает в совокупности с остальными и выполняет определённые функции. Так, платформа безопасной сети представляет собой гибкое основание, обеспечивающее возможность добавления передовых технологий и услуг, а решение по контролю и защите от угроз защищает не только уязвимые оконечные точки, но и множество точек по всей инфраструктуре сети. Решение по конфиденциальной связи позволяет организации использовать в процессе коммерческой деятельности средства передачи данных, голосовых сообщений, видео, а также пользоваться беспроводной связью. Решение по защищенным транзакциям помогает обеспечить безопасность и работоспособность уязвимых приложений и сохранить в тайне наиболее важную хранящуюся в них информацию, а решение по оперативному руководству и управлению политиками представляет собой набор интегрированных, совместимых и адаптируемых инструментов управления безопасностью.
Предложенный формат – семинар-практикум – позволил участникам не просто узнать о том, какие продукты используются при построении защиты в данном решении, но и посмотреть, как это работает.
Цель семинара – представить практическое решение, показать работу и взаимодействие его компонентов. Демонстрация работы была проведена на стенде, который являет собой комплекс решений по защите сетевой инфраструктуры компании.
На этом примере было показано, как решаются реальные задачи, с которыми ежедневно сталкиваются отделы информационной безопасности предприятий при организации защиты бизнес-взаимодействий.
В качестве демонстрации был представлен стенд, показывающий работу корпоративной сети компании. В этой компании присутствуют внутренние сотрудники, мобильные сотрудники и партнёры по бизнесу. Все сотрудники компании должны получать доступ к корпоративным ресурсам вне зависимости от местонахождения, и при этом компьютеры сотрудников должны проверяться на соответствие сетевым политикам, принятым в компании. Так же все компьютеры сотрудников должны быть защищены от компьютерных вирусов и другого вредоносного кода.
При этом у компании есть бизнес-партнёры, которые тоже должны получать доступ к ресурсам компании, как во внутренней сети, так и через Internet, используя при этом специально созданные гостевые учётные данные.
Семинар-практикум прошел в режиме интерактивного общения со специалистами по различным вопросам защиты сетей.
www.mskit.ru
23.05.08 00:00