Одна из проблем безопасников и не только их - оперативный поиск необходимых нормативных и околонормативных документов по своей сфере деятельности. Богатые люди покупают доступ к системам Консультант+ или Гарант. Остальные гуглят и сохраняют основные документы себе на компьютер или смартфон и потом забывают обновить файлы после очередных изменений в нормативке. В общем, все мечтают о такой "кладовочке", где бы лежали все актуальные документы.
Спасибо компании "Имбасофт" (https://imbasoft.ru/), которые уже не первый год на Хабре ведут обновляемую страничку
"Справочник законодательства РФ в области информационной безопасности" .
Страничка содержит структурированный справочник нормативных документов по самым разным аспектам информационной безопасности.
Вот сегодня 25.06.2020, а последний раз страничка обновлялась 22.06.2020. Оперативно!
Я храню ссылку на эту страничку в своём разделе "Избранное" в Телеграмме. И вам советую не очень далеко её прятать.
четверг, 25 июня 2020 г.
суббота, 13 июня 2020 г.
Информационная безопасность на удаленке
Несмотря на то, что удаленная работа сотрудников, связанная с пандемией COVID19 должна бы подходить к концу, есть вероятность, что удаленный режим работы может применяться для обеспечения непрерывности бизнеса и в других ситуациях.
Решил многочисленные рекомендации по организации безопасной удаленной работы сотрудников собрать в одном месте, чтобы не потерять.
1. Неплохая публикация от RASSE - https://vc.ru/services/118939-informacionnaya-bezopasnost-na-udalenke-kak-spravitsya-s-riskami
Классифицированы основные угрозы безопасности при организации удаленного доступа сотрудников к корпоративным электронным сервисам:
1) Использование личных (домашних) устройств:
· хранение конфиденциальной информации на личных устройствах (локальные диски, флешки и пр.)
· использование слабых паролей, а зачастую их отсутствие · отсутствие автоматической блокировки устройств
· отсутствие последних обновлений безопасности как ОС, так и прикладного ПО
· отсутствие антивирусных систем
2) Использование незащищенных каналов связи. К незащищенным каналам можно отнести как публичные, так и домашние сети. Общие для них особенности:
· при использовании беспроводных сетей — недостаточное шифрование (или полное его отсутствие)
· уязвимости маршрутизирующих устройств (слабые пароли, уязвимые прошивки, ненастроенный файервол и т.п.)
· использование уязвимых протоколов
3) Использование публичных сервисов для обмена файлами:
· к таким сервисам можно отнести: Google Диск, Облако Mail.ru, Яндекс Диск и т.п.
· если файл доступен всем, у кого есть ссылка, то он может быть проиндексирован поисковыми машинами, после чего документ станет доступен в поиске, что, в свою очередь, может привести к его утечке.
Даны советы по защите.
2. «Ростелеком-Солар» сделал отдельный сайт с советами по организации работы сотрудников на удпленке - https://naudalenke.rt-solar.ru/
Чтобы помочь вам справиться с возникающими на удаленке проблемами, «Ростелеком-Солар» подготовил интерактивные курсы и гайды по безопасной удаленной работе.
1. Удаленная работа - https://naudalenke.rt-solar.ru/upload/gide/1.pdf
2. Руководство удаленной командой - https://naudalenke.rt-solar.ru/upload/gide/2.pdf
3. Онлайн совещания - https://naudalenke.rt-solar.ru/upload/gide/3.pdf
3. Компания Group-IB тоже опубликовала свои рекомендации по цифровой гигиене при удаленной работе https://www.group-ib.ru/brochures/StaySafe-Workinghome-ru.pdf
Решил многочисленные рекомендации по организации безопасной удаленной работы сотрудников собрать в одном месте, чтобы не потерять.
1. Неплохая публикация от RASSE - https://vc.ru/services/118939-informacionnaya-bezopasnost-na-udalenke-kak-spravitsya-s-riskami
Классифицированы основные угрозы безопасности при организации удаленного доступа сотрудников к корпоративным электронным сервисам:
1) Использование личных (домашних) устройств:
· хранение конфиденциальной информации на личных устройствах (локальные диски, флешки и пр.)
· использование слабых паролей, а зачастую их отсутствие · отсутствие автоматической блокировки устройств
· отсутствие последних обновлений безопасности как ОС, так и прикладного ПО
· отсутствие антивирусных систем
2) Использование незащищенных каналов связи. К незащищенным каналам можно отнести как публичные, так и домашние сети. Общие для них особенности:
· при использовании беспроводных сетей — недостаточное шифрование (или полное его отсутствие)
· уязвимости маршрутизирующих устройств (слабые пароли, уязвимые прошивки, ненастроенный файервол и т.п.)
· использование уязвимых протоколов
3) Использование публичных сервисов для обмена файлами:
· к таким сервисам можно отнести: Google Диск, Облако Mail.ru, Яндекс Диск и т.п.
· если файл доступен всем, у кого есть ссылка, то он может быть проиндексирован поисковыми машинами, после чего документ станет доступен в поиске, что, в свою очередь, может привести к его утечке.
Даны советы по защите.
2. «Ростелеком-Солар» сделал отдельный сайт с советами по организации работы сотрудников на удпленке - https://naudalenke.rt-solar.ru/
Чтобы помочь вам справиться с возникающими на удаленке проблемами, «Ростелеком-Солар» подготовил интерактивные курсы и гайды по безопасной удаленной работе.
1. Удаленная работа - https://naudalenke.rt-solar.ru/upload/gide/1.pdf
2. Руководство удаленной командой - https://naudalenke.rt-solar.ru/upload/gide/2.pdf
3. Онлайн совещания - https://naudalenke.rt-solar.ru/upload/gide/3.pdf
3. Компания Group-IB тоже опубликовала свои рекомендации по цифровой гигиене при удаленной работе https://www.group-ib.ru/brochures/StaySafe-Workinghome-ru.pdf
пятница, 12 июня 2020 г.
GDPR на русском языке
Если вдруг ваша организация надумает при обработке персональных данных соблюдать не только 152-ФЗ, но и Общий регламент защиты персональных данных Европейского союза GDPR, то текст GDPR на русском языке вы можете найти здесь - https://gdpr-text.com/ru/
Там же можно почитать текст сразу на нескольких языках и таким образом подтянуть свой английский :)
А на рисунке ниже вы найдёте алгоритм определения того, нужно ли вам соблюдать GDPR.
Там же можно почитать текст сразу на нескольких языках и таким образом подтянуть свой английский :)
А на рисунке ниже вы найдёте алгоритм определения того, нужно ли вам соблюдать GDPR.
четверг, 11 июня 2020 г.
ИБ. Взгляд снизу: Осведомленность #поИБэ
ИБ. Взгляд снизу: Осведомленность #поИБэ: В помощь безопасникам (для внутренней рассылки в компании) Предлагаю с периодичностью раз в неделю (или раз в месяц/квартал) с целью по...
Полезные рассылки от Валерия Естехина
Полезные рассылки от Валерия Естехина
Рупор "бумажной" безопасности: Что значит не понял инструкцию? Надо было спросить...
Рупор "бумажной" безопасности: Что значит не понял инструкцию? Надо было спросить...: Свежий пример судебной практики, полезный для подготовки к проведению внутренних расследований и привлечению к дисциплинарной ответст...
Интересный судебный кейс по привлечению к ответственности работника за использование незарегистрированных носителей информации
Интересный судебный кейс по привлечению к ответственности работника за использование незарегистрированных носителей информации
И снова о паролях. Рекомендации Microsoft
В последнее время появляется много советов от различных экспертов по созданию и использованию паролей. От требований по сложности пароля акцент смещается на его длину. Основных советов два - использовать длинные парольные фразы и применять программные менеджеры паролей.
На этом фоне необычно выглядят рекомендации по использованию паролей, выпущенные Microsoft (https://docs.microsoft.com/ru-ru/microsoft-365/admin/misc/password-policy-recommendations?view=o365-worldwide).
Описанные ниже принципы управления паролями часто используются в компаниях, но, согласно исследованиям, это зачастую приводит к отрицательным последствиям.
На этом фоне необычно выглядят рекомендации по использованию паролей, выпущенные Microsoft (https://docs.microsoft.com/ru-ru/microsoft-365/admin/misc/password-policy-recommendations?view=o365-worldwide).
- Не увеличивайте минимальную длину паролей (8 символов). Больше не значит лучше.
- Не требуйте использовать определенные группы символов, например *&(^%$.
- Не требуйте регулярной смены паролей для учетных записей пользователей.
- Запретите использовать распространенные пароли, чтобы в системе не было самых уязвимых паролей.
- Попросите сотрудников не использовать пароли от рабочих учебных записей для личных целей.
- Потребуйте использования многофакторной проверки подлинности.
- Включите запросы многофакторной проверки подлинности с учетом рисков.
- Не используйте такие же пароли, как на других сайтах, или аналогичные им.
- Не используйте в качестве пароля одно слово, например password, или частые фразы, например Iloveyou.
- Используйте пароли, которые будет сложно угадать даже тем, кто хорошо вас знает. Не включайте в них имена и дни рождения своих родных и друзей, названия любимых групп или фразы, которые вы часто произносите.
Распространенные требования к паролям и их негативное влияние
Описанные ниже принципы управления паролями часто используются в компаниях, но, согласно исследованиям, это зачастую приводит к отрицательным последствиям.
понедельник, 1 июня 2020 г.
Подписаться на:
Сообщения (Atom)