вторник, 27 декабря 2016 г.

ИТ-аудит

Источник - https://habrahabr.ru/post/151610/

Я хотел бы осветить вопрос соблюдения требований к управлению ИТ отдела в рамках внешнего финансового аудита компании. Цель статьи заключается не в описании сопутствующих законов, а в их конкретном влиянии на управление ИТ отдела.

Вероятно, многие из вас уже сталкивались с этими требованиями в виде либо каждодневной рутины, либо авралов в конце календарного года (больше склоняюсь ко-второму), но лично я, кроме упоминаний таких понятий как SOX, HIPAA, SAS 70 (заменен на SSAE 16) и ITGC, не встречал сколько-нибудь исчерпывающего описания этого вопроса.



Не так давно, в рамках своей работы я подготовил презентацию для новых сотрудников, которая дает минимальное представление об этом виде деятельности нашей фирмы. Собственно говоря, сама презентация и сподвигла меня на написание данной статьи. Здесь я хочу заметить, что мой опыт работы на территории стран СНГ весьма ограничен – я больше работаю с международными компаниями.

Если вас интересует данный вопрос, добро пожаловать.

Скрипты выгрузки всех пользователей из MS Active D...

Информационная безопасность: Скрипты выгрузки всех пользователей из MS Active D...:

Одной из стандартных процедур проведения аудита ITGC для каталога Active Directory является получение выгрузки всех пользователей домена. На основании полученных данных далее формируются процедуры тестирования, к примеру изучение списка администраторов или выявление пользователей с истекшим паролем.  Наиболее эффективным для формирования такой выгрузки будет использование стандартного интерфейса PowerShell, примеры которого мы и рассмотрим в данной статье

Экспресс выгрузка скриптом на PowerShell

Ниже представлен скрипт PowerShell, как один из наиболее простых и быстрых способов получить  список всех пользователей  домена AD в  формате CSV, который без проблем открывается тем же Excel'ем. 

$objSearcher = New-Object System.DirectoryServices.DirectorySearcher
$objSearcher.SearchRoot = "LDAP://ou=Users,ou=Departmets,dc=test,dc=ru"
$objSearcher.Filter = "(&(objectCategory=person)(!userAccountControl:1.2.840.113556.1.4.803:=2))"
$users = $objSearcher.FindAll()
# Количество учетных записей
$users.Count 
$users | ForEach-Object {
   $user = $_.Properties
   New-Object PsObject -Property @{
   Должность = [string]$user.description
   Отдел = [string]$user.department
   Логин = [string]$user.userprincipalname
   Телефон = [string]$user.telephonenumber
   Комната = [string]$user.physicaldeliveryofficename
   ФИО = [string]$user.cn
    }
} | Export-Csv -NoClobber -Encoding utf8 -Path  С:\list_domen_users.csv 
Для того что бы скрипт отработал на вашей системе, необходимо его чуть подкорректировать, а именно вписать необходимые параметры, т.е. как в данном примере это параметры Users в подразделении Departments в домене Test.ru. А так же указать путь к месту сохранения файла list_domen_users.csv 

После выгрузки, если сразу открыть list_domen_users.csv, будет выглядеть в не читабельном виде, однако, станалртыми средствами мы легко его приведем в нужный нам формат. Открываем в Excel list_domen_users.csv, выделяем первый столбец , затем заходим во вкладку "Данные" и нажимаем "Текст по столбцам". Выбираем "с разделителями" и нажимаем "Далее". Готово!

!Необходимо заметить, что  данный скрипт не отобразит более 1000 пользователей. Для небольшой компании вполне подойдет,  а тем же у кого в домене огромное количество пользователей стоит прибегнуть к методам описанным ниже.

СЗПДн. Анализ. Обеспечение безопасности при использовании СКЗИ

Блог Сергея Борисова про ИБ: СЗПДн. Анализ. Обеспечение безопасности при исполь...: Думаю, что многие, кто использует сертифицированные СКЗИ сталкивались с инструкцией утвержденной приказом ФАПСИ от 13 июня 2001 г. №152 ...

понедельник, 26 декабря 2016 г.

Сравнение мер Приказа 21, 382-П, СТО БР ИББС и 152-ФЗ

Сергей Сторчак сравнил меры по обеспечению безопасности персональных данных для 4 уровня защищенности персональных данных в соответствии с требованиями:
 - Приказа ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
 - Стандарта Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" и Рекомендации в области стандартизации Банка России;
 - "Положения о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (утв. Банком России 09.06.2012 N 382-П);
 - Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

 Согласно Приказа 21 необходимо выполнить 27 мер по обеспечению безопасности персональных данных. С учетом вышеизложенных нормативных документов их сумма увеличивается до 60.

Таблица - здесь


Все доверяют свои паспорта курьерам?

Люблю безопасность до безобразности: Все доверяют свои паспорта курьерам?:

Не секрет, что в последнее время банки активно продолжают осваивать дистанционные методы работы со своими клиентами. Делается это для привлечения дополнительной «продвинутой» аудитории в ряды своих клиентов. Такой формат работы всегда начинается с заявки на продукт на сайте банка. Чаще всего в качестве продукта выступает банковская карта, но это может быть и вклад, и брокерский счет, и даже услуга по конвертации валюты.
Итак, после уточнения по телефону желаний клиента, а также паспортных данных к вам выезжает работник банка или вовсе курьер из сторонней организации. Такой выездной работник привозит клиенту необходимые документы, например, договор на банковскую карту. Тут же он начинает фотографировать ваш паспорт и вас. Я давно предполагал, что на этом этапе могут легко утекать паспортные данные. Я всегда спрашивал у курьеров с помощью чего они фотографируют и пересылают мои персональные данные. И получал ответ, что не нужно беспокоиться, т.к. у них всё передается в защищенном виде и курьер не имеет доступа к пересылаемым фотографиям. Как это делается на самом деле, я хочу показать из обсуждения на банковском форуме:

Теперь формально. Согласно Википедии приложение WhatsApp принадлежит американской компании Facebook, а значит все таким образом переданные данные уже находятся в США!  Что же касается банков, то это однозначно является нарушением закона «О персональных данных», и даже тянет на трансграничную передачу данных. Уверен, что в согласиях на обработку персональных данных о таких американских компаниях вряд ли говорится.
Я намеренно не указываю, о каком банке в данном случае идёт речь, т.к. предполагаю, что эта проблема может носить массовый характер. Просто перечислю некоторые банки, которые предлагают подобные дистанционные сервисы:
·         Тинькофф банк (карты, вклады, инвестиции)
·         ОТП Банк (продукт Touchbank, карта)
·         Русский Ипотечный банк (карты, вклады)
·         МДМ Банк (продукт Ubank, карта)
·         Банк Открытие (продукт Рокетбанк, Смарткарта)
·         БКС Банк (мультивалютные карты, конвертация валюты)

Впрочем, мне несколько раз удавалось отказаться от фотографирования себя лично, но вот фотографии паспорта, конечно же, всегда передавались, наверное, подобным образом в банк.

Идеальный шторм: главные угрозы информационной безoпасности

SearchInform – Блог об информационной безопасности: Идеальный шторм: главные угрозы информационной без...: Специалисты отрасли и профильные издания назвали главные проблемы, которые предстоит решать в сфере информационной безопасности в следующие...

Журнал кафедры СИБ ВГТУ "Информация и безопасность"


С 1998 года кафедрой «Системы информационной безопасности» Воронежского государственного технического университете издается журнал «Информация и безопасность». 

С архивами журнала можно ознакомиться на сайте кафедры

http://kafedrasib.ru/index.php/nauchnaya-rabota/informatsiya-bezopasnost

Желающим узнать куда идёт наука в области ИБ пригодится.

воскресенье, 25 декабря 2016 г.

Вредоносное ПО Alice заставляет банкоматы выдавать наличные

Для заражения банкомата необходим физический доступ к его портам.
В ноябре текущего года эксперты Европола и Trend Micro обнаружили новое семейство вредоносного ПО, позволяющее злоумышленникам с физическим доступом к портам банкомата заставить устройство выдавать наличные. По словам исследователей, Alice используется по крайней мере с 2014 года.
Получив физический доступ к портам USB или CD-ROM, преступники загружали на систему банкомата вредонос, а затем подключали клавиатуру, с помощью которой взаимодействовали с ПО. Для запуска Alice злоумышленники должны были вводить PIN-код. Данная мера призвана защитить вредонос от дельнейшего исследования на случай, если он будет обнаружен сотрудниками банка.
PIN-код также играл роль идентификационного номера, присвоенного каждому «денежному мулу» и позволяющего киберпреступникам отслеживать, кто, когда и где снял деньги с банкомата. «Денежные мулы» представляют собой низшее звено преступной группировки, занятое исключительно снятием и перемещением похищенных денежных средств.
После введения PIN-кода начиналось выполнение вредоносного кода. В отличие от других подобных программ Alice состоит лишь из одного компонента, соединяющего процессы вредоноса с диспенсером банкнот.
В Alice реализована поддержка протокола RDP, однако злоумышленники никогда им не пользовались. Дело в том, что для использования RDP им нужно было либо заранее знать пароль RDP для каждого банкомата, либо угадать его с помощью брутфорс-атаки.


Выводы-2016: вымогатели — звезды киберпреступного мира

Оглядываясь на уходящий 2016 год, эксперты заключили, что предсказания прошлого года в той или иной мере сбылись, а некоторые тенденции развились даже раньше, чем предполагалось. Кроме того, специалисты «Лаборатории Касперского» сделали шесть неочевидных выводов из событий информационной безопасности в уходящем году, а также рассмотрели самые опасные угрозы 2016 года.
Звание самой опасной угрозы 2016 года по праву заслужили вредоносные программы-вымогатели. Появилось больше новых семейств, модификаций, атак и жертв. За год обнаружено 62 новых семейства вымогателей, а за три квартала текущего года количество модификаций увеличилось в 11 раз. Наиболее атакуемыми странами стали Япония, Италия и Хорватия. Пальму первенства среди вымогательского ПО держали CTB-LockerLocky и TeslaCrypt.
Другими «звездами» ландшафта киберугроз стали целевые кибершпионские атаки, кражи средств у банков, «хактивизм» и угрозы, исходящие от IoT-устройств.
Среди выводов из 2016 года специалисты «Лаборатории» выделили следующие основные:
Масштабы киберпреступного мира растут
В мае была обнаружена крупная торговая площадка для киберпреступников — xDedic, через которую злоумышленники продавали и покупали учетные данные скомпрометированных серверов. Всего для продажи были доступны данные 70 тыс. (по некоторым данным, 176 тыс.) серверов организаций, даже не подозревавших о проблеме. Хотя xDedic — не первый подпольный маркетплейс, это свидетельство зрелости и сложности экосистемы Дарквеба.

суббота, 24 декабря 2016 г.

#RussiansDidIt


В 2016 году как никогда стало модным обвинять во всех бедах Россию и лично Владимира Путина. Русские якобы взломали почту Хиллари Клинтон, поставили пророссийских политиков во главе Молдовы и Болгарии, и даже обеспечили победу Дональда Трампа на президентских выборах в США. По соцсетям идут тысячи сообщений с тегом #RussiansDidIt ("Русские сделали это").

Судя по зарубежной прессе всё это происки русских хакеров. Не могу сказать насколько в этом виноваты именно хакеры и именно русские. Но в последнее время всё больше сообщений о взломах финансовых организаций и краже денег именно русскими хакерами.




Может и на самом деле "Russians Did It" ? :)

Прогнозы в области информационной безопасности на 2017 год



Если вам казалось, что в 2016 году было трудно, пристегните ремни: в следующем году станет еще сложнее.
Нынешний год принес настоящий шквал инцидентов, связанных с информационной безопасностью, – от массового фишинга с использованием налоговой информации, брешей в WordPress, компрометации корпоративной электронной почты и DDoS-атак до подозрений во «взломе» президентских выборов.
При этом нет оснований полагать, что в 2017-м ситуация улучшится – все может стать только хуже с учетом того, что злоумышленники продолжают развивать навыки социальной инженерии, находят новые способы подсовывать вредоносы, взламывать уязвимые базы данных и с помощью мобильных технологий проникать в корпоративные сети и аккаунты частных лиц.
Своими прогнозами на 2017 год поделились два эксперта по кибербезопасности – Мэтт Диркс, глава компании Bomgar, создавшей ПО удаленного администрирования, и Скотт Миллис, директор по технологиям компании Cyber adAPT, поставляющей защитные средства для мобильных устройств.
Также мы попросили поделиться своими прогнозами представителей известных российских компаний из сферы информационной безопасности.

Легко вычисляемые пароли



Намедни пришла ко мне хорошая девушка Марина, которой поручили провести в её отделе проверку соблюдения требований парольной защиты. И задала она вопрос - "Как определить, пароль у пользователя легко вычисляемый или нет?". Дали мы ей пару вариантов ответа. Но вопрос на самом деле не такой простой как кажется.
Откроем ради интереса любую инструкцию или положение о парольной защите. Для примера найдём в Консультанте+ Приложение к Приказу ФАС России от 23 октября 2012 г. N 654 ПОЛОЖЕНИЕ ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ФЕДЕРАЛЬНОЙ АНТИМОНОПОЛЬНОЙ СЛУЖБЫ
2. Общие требования к паролям
 2.1. Личные пароли пользователей АС ФАС России должны выбираться с учетом следующих требований:
...
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, password и т.п.);
...
Возникает сразу вопрос "кем вычисляемый?", "где общепринятые?"Например имя Каллисфен легко вычисляемо или нет? Чем оно хуже или лучше имени Владимир или Андрей? Фамилия Хватаймуха тоже не легко вычисляемая. Если, конечно это не фамилия пользователя, который использует этот пароль. 

пятница, 23 декабря 2016 г.

вторник, 20 декабря 2016 г.

Арбитражная практика: Иск ООО "Аквамарин" к АО "Сбербанк России" по списанию средств через Интернет-банкинг

ПЯТНАДЦАТЫЙ  АРБИТРАЖНЫЙ  АПЕЛЛЯЦИОННЫЙ  СУД
Источник http://15aas.arbitr.ru/cases/cdoc?docnd=840349611

Газетный пер., 34/70/75 лит А, г. Ростов-на-Дону, 344002, тел.: (863) 218-60-26, факс: (863) 218-60-27 
E-mail: info@15aas.arbitr.ru, Сайт: http://15aas.arbitr.ru/
ПОСТАНОВЛЕНИЕ
арбитражного суда апелляционной инстанции
по проверке законности и
 обоснованности решений (определений)
арбитражных судов, не вступивших в законную силу 
город Ростов-на-Донудело № А32-21723/2013
05 июня 2014 года15АП-5093/2014 

Резолютивная часть постановления объявлена 26 мая 2014 года.
Полный текст постановления изготовлен 05 июня 2014 года.
Пятнадцатый арбитражный апелляционный суд в составе:
председательствующего судьи Шимбаревой Н.В.,
судей Д.В. Николаева, Н.В. Сулименко 
при ведении протокола судебного заседания секретарем судебного заседания Красиной А.Ю.
при участии:
лица, участвующие в деле, не явились 
рассмотрев в открытом судебном заседании апелляционную жалобу общества с ограниченной ответственностью «Аквамарин»
на решение Арбитражного суда Краснодарского края
от 27.01.2014 по делу № А32-21723/2013
по иску общества с ограниченной ответственностью «Аквамарин»
к ответчику: открытому акционерному обществу «Сбербанк России»
при участии третьего лица: общества с ограниченной ответственностью «ПермСтройРесурс»
о взыскании незаконно списанных денежных средств
принятое в составе судьи Егорова А.Е.
УСТАНОВИЛ: 
     ООО «Аквамарин» (далее - истец, общество) обратилось в Арбитражный суд Краснодарского края с иском к ОАО «Сбербанк России» (далее - ответчик, банк) о возмещении вреда в сумме 1 400 000 руб. и взыскании 27 000 руб. расходов по уплате государственной пошлины.
     Заявленные требования мотивированы тем, что на основании электронного платежного документа от 26.04.2013 № 341 с расчетного счета истца № 40702810852460000351 списано 1 400 000 руб., в графе о назначении платежа указано: «Предоставление беспроцентного займа, согласно договора 19 от 25.04.2013 г. (общая сумма дог. 1 400 000,00)». По утверждению истца, никакие платежи общество не осуществляло и с организацией, которой перечислены деньги, никаких взаимоотношений не имеет. Банком согласно распоряжению № 148 от 30.04.2013 была создана согласительная комиссия для проведения технической экспертизы достоверности электронной подписи платежного поручения. С актом работы согласительной комиссии истец не согласился.

понедельник, 19 декабря 2016 г.

Перспективы и тенденции электронного документооборота

В докладе Натальи Храмцовской на ежегодной конференции-выставке по управлению информацией и электронным документооборотом DOCFLOW 2015 под названием «Есть ли будущее у СЭД ЕСМ-систем?» была дана оценка текущего положения дел в плане применения СЭД и ECM-систем в деловой деятельности и государственном управлении, основных факторов, влияющих на сферу их использования, и перспектив развития и внедрения систем данного типа в России.
По наблюдениям Натальи Храмцовской, особенности российского рынка СЭД ЕСМ – многоукладость, использование самых различных подходов и технологий – от бумажного делопроизводства до современных методов управления контентом на основе ИКТ, мобильных и облачных вычислений. В то время, как некоторые компании еще только начинают осваивать простые системы, у других задача – интегрирование сложных систем, но и те, и другие осваивают информационные технологии. Причем, при наличии разного уровня освоения ИКТ организациями все еще есть запас «непуганых пользователей». Это означает, что существуют ниши для продуктов различного класса, с различным функционалом.
Большинство внедренных СЭД-систем ориентировано на «конвейерное производство» бумажных и бумагоподобных организационно-распорядительных документов (ОРД): такие СЭД не рассчитаны на то, чтобы применяться в качестве корпоративных хранилищ информации и документов, в них отсутствуют развитые инструменты структуризации, поиска и бизнес-аналитики, не поддерживаются отслеживание сроков хранения, экспертиза ценности, уничтожение и передача на архивное хранение.

Арбитражная практика: осуществление ответчиком списания суммы с расчетного счета истца без распоряжения истца и с нарушением порядка, установленного соглашением на обслуживание клиента по системе «iBank»


АРБИТРАЖНЫЙ СУД КУРГАНСКОЙ ОБЛАСТИ
Именем Российской Федерации 
Р Е Ш Е Н И Е 
г. Курган               Дело № А34-1785/2010
 
установил:

19 июля 2010 года 
    
     Резолютивная часть решения объявлена 12 июля 2010 года.
     В полном объеме решение изготовлено 19 июля 2010 года.
    
Арбитражный суд Курганской области в составе судьи Останина Я.А.,
при ведении протокола судебного заседания судьей Останиным Я.А.,
рассмотрев в открытом судебном заседании дело по исковому заявлению   индивидуального предпринимателя Горланова Виктора Николаевича
к открытому акционерному обществу «Урало-Сибирский Банк»
о взыскании 112039 руб.
при участии в судебном заседании:
от истца: Курбыко Т.М., доверенность от 16.11.2009, в реестре за № 1-3954;
от ответчика: Пугачева Е.А.,  доверенность от 06.05.2010, в реестре за № 1-2114; Зорин А.В., доверенность  от 02.06.2010 № 21, в реестре за № 1-2426; Фомина Н.А., доверенность от 25.02.2010 № 12, в реестре за № 1-773,

     Индивидуальный  предприниматель  Горланов Виктор Николаевич (далее - истец) обратился в Арбитражный суд Курганской области с исковым заявлением к открытому акционерному обществу «Урало-Сибирский Банк» (далее - ответчик) о взыскании убытков в размере 112039 руб.
     В обоснование заявленных требований ссылается на осуществление ответчиком списания суммы 112039 руб. с расчетного счета истца без распоряжения истца и с нарушением порядка, установленного договором банковского счета № 36 от 29.05.2005, соглашением на обслуживание клиента по системе «iBank» для обслуживания клиента посредством обмена электронными документами с применением электронно-цифровой подписи (ЭЦП) клиента. Указывает, что банк, несмотря на полученное 31.08.2009 заявление, не произвел в установленном соглашением и «Положением о порядке проведения технической экспертизы при возникновении спорных ситуаций», не сформировал разрешительную комиссию, не произвел техническую экспертизу открытого ключа ЭЦП, не составил акта по результатам рассмотрения заявления. Также указывает, что ответчиком при осуществлении операции было нарушено Положение о порядке осуществления безналичных расчетов физическими лицами в Российской Федерации от 01.04.2003 № 222-П, предусматривающее перечисление денежных средств юридическим лицом физическому только по заработной плате, выплатам социального характера и другим выплатам, Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» - в платежном поручении отсутствует информация о получателе - о месте его жительства или месте пребывания, дате и месте рождения.

Арбитражная практика: о взыскании ущерба, причиненного ненадлежащим исполнением обязательства по сохранности денежных средств на банковском счете

Источник: http://15aas.arbitr.ru/cases/cdoc?docnd=839575083

ПЯТНАДЦАТЫЙ  АРБИТРАЖНЫЙ  АПЕЛЛЯЦИОННЫЙ  СУД
Газетный пер., 47б лит А, г. Ростов-на-Дону, 344002, тел.: (863) 218-60-26, факс: (863) 218-60-27
E-mail: info@15aas.arbitr.ru, Сайт: http://15aas.arbitr.ru/

ПОСТАНОВЛЕНИЕ
арбитражного суда апелляционной инстанции
по проверке законности и
 обоснованности решений (определений)

арбитражных судов, не вступивших в законную силу 
город Ростов-на-Донудело № А53-17590/2012
20 марта 2013 года15АП-1550/2013 

Резолютивная часть постановления объявлена 13 марта 2013 года.
Полный текст постановления изготовлен 20 марта 2013 года.
Пятнадцатый арбитражный апелляционный суд в составе:
председательствующего судьи  Винокур И.Г.
судей Д.В. Николаева, Н.В. Шимбаревой 
при ведении протокола судебного заседания секретарем судебного заседания
Е.С. Тан-Бин 
при участии:
от АКБ ОАО "Инвестбанк": представитель Шамшина Е.П. по доверенности от 03.12.2012
от НОУ высшего профессионального образования Институт управления, бизнеса и права г. Ростова-на-Дону: представитель Лещенко С.В. по доверенности от 24.01.2013 
рассмотрев в открытом судебном заседании апелляционную жалобу НОУ высшего профессионального образования Институт управления, бизнеса и права г. Ростова-на-Дону,
на решение Арбитражного суда Ростовской области
от 25.12.2012 по делу № А53-17590/2012
о взыскании ущерба; о возврате списанных денежных средств
по иску НОУ высшего профессионального образования Институт управления, бизнеса и права (г. Ростова-на-Дону, ИНН 6161005770, ОГРН 1026102898502)
к ответчику АКБ ОАО "Инвестбанк"
(г. Ростов-на-Дону, ИНН 3900000866, ОГРН 1023900001070)
при участии третьих лиц: ООО  "БИФИТ", ОАО  "БИФИТ"
принятое в составе судьи Никоновой О.В.
УСТАНОВИЛ: 

      Негосударственное образовательное учреждение высшего профессионального образования Институт управления бизнеса и права (далее - Институт) обратилось в Арбитражный суд Ростовской области с иском к АКБ «Инвестбанк» (ОАО) (далее - Банк) о взыскании ущерба, причиненного ненадлежащим исполнением обязательства по сохранности денежных средств на банковском счете в размере 1 980 000 рублей, возврате денежных средств, необоснованно списанных за использование системы дистанционного банковского обслуживания в размере 900 рублей.

воскресенье, 18 декабря 2016 г.

ЕЩЕ РАЗ О ЮРИДИЧЕСКОЙ ЗНАЧИМОСТИ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ

Постоянная ссылка на материал: http://ecm-journal.ru/post/Eshhe-raz-o-juridicheskojj-znachimosti-ehlektronnykh-dokumentov.aspx

ЕЩЕ РАЗ О ЮРИДИЧЕСКОЙ ЗНАЧИМОСТИ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ 
Вадим Малых
06 июля 2015 г. 12:57

Юридическая значимость

Вопрос о юридической значимости документов многим кажется малоинтересным и незаслуживающим особого внимания. Однако, сам термин практически у всех на слуху. В частности, за это можно благодарить отечественных e-invoice операторов, которые свои улуги называют не иначе как юридически-значимым документооборотом (ЮЗД), нимало не смущаясь отсутствием какого-либо законодательно закрепленного значения этого термина и тем, что раньше объект их автоматизации и документооборотом то никто не называл.
Употребить этот термин спокойно может даже человек с юридическим образованием. «Ваш скан не будет иметь юридическую значимость». А попросите его четко сформулировать, что это значит?
В свежем терминологическом ГОСТе по делопроизводству (ГОСТ Р 7.0.8 — 2013 — http://www.consultant.ru/document/cons_doc_LAW_163800/) есть определение: юридическая значимость документа — свойство документа выступать в качестве подтверждения деловой деятельности либо событий личного характера.
Скан не является юридически значимым? Вы уверены? А почему? Он не может быть подтверждением? На каком основании? Есть сомнения в его подлинности? Вот! Кажется мы подбираемся к чему-то важному!

Арбитражная практика: Организация не обеспечила должной степени защиты своего компьютера и флеш-накопителя

Несанкционированное списание денежных средств со счетов организаций при банковском обслуживании неизменно вызывает судебные разбирательства с традиционным вопросом «кто виноват?». Судам приходится внимательно разбираться с этим вопросом и проводить судебные экспертизы.

Арбитражный суд Челябинской области в июне 2013 года рассмотрел дело № А76-24697/2012, в котором ключевым документом, на основе которого суд принял решение, стало экспертное заключение о том, в какой степени обществом были выполнены рекомендации банка по информационной безопасности.

Суть спора

В сентябре 2012 года в ОАО «ТрансКредитбанк» с использованием системы «Клиент-Банк» поступило платежное поручение от клиента - Дорожной территориальной организации Российского профессионального союза железнодорожников и транспортных строителей на Южно-Уральской железной дороге (ДОРПРОФЖЕЛ ЮУЖД) о перечислении денежных средств в размере более 5,5 млн. рублей на счет ООО «Монолит».

Платежное поручение было исполнено банком. Через несколько дней ДОРПРОФЖЕЛ сообщил банку о несанкционированном списании денежных средств с его расчетного счета.

Сайт «No More Ransom» поможет в борьбе с троянами-вымогателями

Сайт «No More Ransom» – это результат инициативы Национального подразделения по киберпреступлениями полиции Нидерландов, Европейского центра по борьбе с киберпреступностью Европола и двух антивирусных компаний – «Лаборатории Касперского» и Intel Security – с целью помочь жертвам троянцев-вымогателей снова получить доступ к своим зашифрованным данным, не выплачивая денег преступникам.

сайт No More Ransom начинался как совместная инициатива Европола, полиции Нидерландов, Intel Security и «Лаборатории Касперского». На нем можно найти информацию о троянах-вымогателях, советы по защите от них и, что самое главное, бесплатные утилиты для расшифровки пострадавших файлов.

https://www.nomoreransom.org/ru/index.html

суббота, 17 декабря 2016 г.

Просто про ЭЦП

Общие понятия

Электронная подпись (ЭП) – это особый реквизит документа, который позволяет установить отсутствие искажения информации в электронном документе с момента формирования ЭП и подтвердить принадлежность ЭП владельцу. Значение реквизита получается в результате криптографического преобразования информации.
Сертификат электронной подписи – документ, который подтверждает принадлежность открытого ключа (ключа проверки) ЭП владельцу сертификата. Выдаются сертификаты удостоверяющими центрами (УЦ) или их доверенными представителями.
Владелец сертификата ЭП – физическое лицо, на чье имя выдан сертификат ЭП в удостоверяющем центре. У каждого владельца сертификата на руках два ключа ЭП: закрытый и открытый.
Закрытый ключ электронной подписи (ключ ЭП) позволяет генерировать электронную подпись и подписывать электронный документ. Владелец сертификат обязан в тайне хранить свой закрытый ключ.
Открытый ключ электронной подписи (ключ проверки ЭП) однозначно связан с закрытым ключом ЭП и предназначен для проверки подлинности ЭП.
Ниже представлены схема подписания электронного документа и схема проверки его неизменности.

Профессиональные стандарты в области ИБ

Приказ Минтруда России от 01.11.2016 N 599н
"Об утверждении профессионального стандарта "Специалист по технической защите информации"
(Зарегистрировано в Минюсте России 25.11.2016 N 44443)
Источник публикации
Официальный интернет-портал правовой информации 28.11.2016 http://publication.pravo.gov.ru/Documen … 1611280033
Начало действия документа - 09.12.2016





Специалист по защите информации в автоматизированных системах

Трояны-вымогатели — security-тема года

Каждый год 31 декабря эксперты «Лаборатории Касперского» ходят с друзьями в баню подводят итоги. Итоги года состоят из объективной статистики из нашей облачной системы Kaspersky Security Network, и субъективного выбора ключевых событий в сфере безопасности и их оценки. Причем субъективная оценка не менее важна, чем наглядные цифры статистики по разным типам атак. В предсказаниях на 2016 год особое внимание было уделено таргетированным атакам: им наши специалисты дали более высокий приоритет, чем высококлассным атакам с помощью самого совершенного кибероружия. Все дело и в потенциальном ущербе, и в том, что подобрать ключи к защите компании можно, даже и вовсе не пользуясь «вредоносным ПО». 

В результате получается, что видов атак может быть великое множество, и оценить их все хором, измерить среднюю температуру «по больнице» не получится. Статистика дает лишь половину понимания ландшафта киберугроз, вторая половина — это опыт специалистов и его приложение к конкретному набору софта, железа и людей в конкретной компании или индустрии. Ежегодный Kaspersky Security Bulletin реализует данную дихотомию в отношении завершающегося отчетного периода. 

Как обычно, рекомендую смотреть полный отчет: здесь и здесь. Я же хочу подробно обсудить две ключевые темы: развитие троянов-вымогателей и измерение скорости реакции на инциденты в реальных деньгах. 

пятница, 16 декабря 2016 г.

Новогодний анекдот про ПДн

"Дорогой Виталик! Это пишет тебе Дедушка Мороз. Не могу прислать Лего. Ты не вложил в письмо своё согласие на обработку персональных данных"

понедельник, 12 декабря 2016 г.

Что защищать? О инвентаризации объектов защиты

Давно гуляющая по просторам Интернета аксиоматическая статья для начинающего безопасника о том, что защищать и с чего начать работу по защите информации в организации.

Инвентаризация информационных систем.

Вообще говоря, данная тема должна рассматриваться в позже, где будут освещены вопросы построения моделей защиты, так как все это относится к области информационной безопасности, называемой "Анализ и управление рисками". Однако мы разделили части серии статей описанием различных атак, так как, на наш взгляд, это облегчит читателю изучение темы, связанной с рисками, поскольку он будет иметь представления о конкретных, а не абстрактных угрозах информационным системам. Поэтому не удивляйтесь, изучая в дальнейшем другую литературу по информационной безопасности, что инвентаризация и классификация объектов и субъектов, возможно, будут представлены как первая часть оценки рисков.

Итак, теперь мы представляем, что такое информационная безопасность, пришли к единому языку и терминологии, создали команду, с которой будем работать. Прежде чем начинать строить защиту информационного пространства, необходимо перейти от абстрактных понятий "объект/субъект" к конкретным информационным системам или, проще говоря, ответить на вопрос: а что мы будем защищать?

воскресенье, 11 декабря 2016 г.

Краткий обзор требований Положения Банка России 552-П



Закон Яровой для банков
6 декабря 2016 года в МинЮсте зарегистрировано новое Положение ЦБ РФ от 24.08.2016 № 552-П “О требованиях к защите информации в платежной системе (далее – ПС) Банка России (далее - Положение № 552-П) (вступает в силу по истечении 10 дней после дня его официального опубликования). 

Принтер – самое слабое звено информационной безопасности

Стоит ли говорить, что информационную безопасность предприятия никогда нельзя настроить «раз и навсегда»? Враг не дремлет, ищет новые пути, совершенствует свой инструментарий. Тем более угрозы множатся в наше нестабильное время, когда соблазн получить дополнительных доход для хороших, но безработных специалистов, велик как никогда.


На форуме DLP-Эксперт, все участники были едины во мнении, что практически без внимания служб информационной безопасности в организациях остаются «невинные» устройства, такие как принтеры, сканеры, МФУ, факсы и копировальные аппараты. А ведь они уже давно не являются примитивными железками. У всех у них есть свой процессор, память, операционная система; у многих – жесткий диск и сетевой интерфейс.

По мнению Александра Глотова, руководителя отдела продуктового маркетинга офисного оборудования Xerox Russia, «Эксперты уже достаточно давно призывают рассматривать МФУ как полноценный сервер, и подходить к проблеме обеспечения его безопасности соответствующим образом». Он говорит, что довольно часто приходится сталкиваться с ситуацией, когда ни служба ИТ, ни служба безопасности не уделяют вопросам эксплуатации печатающих устройств почти никакого внимания. И в таком случае страдает не только безопасность, но и функциональность: многие возможности МФУ просто не используются, хотя и могли бы.
Но не только пользователи недооценивают уязвимость периферийных устройств: мнение производителей также не всегда неоднозначно. Одни считают потенциальные риски небольшими. Другие – приводят конкретные примеры уязвимостей и делятся опытом о происходивших атаках.

Как обеспечить конфиденциальность информации при печати?

Что происходит, когда документ с конфиденциальными данными отправляется на сетевой принтер? С точки зрения информационной безопасности, возникают риски перехвата документа в сети и доступа к нему посторонних лиц, пока сотрудник не заберет его с принтера. Для решения этой проблемы существуют специальные инструменты.


Защита конфиденциальной информации в современных условиях высокотехнологичных угроз является одним из базовых условий успешного ведения бизнеса. Несанкционированный доступ к закрытой, критически важной для компании информации может привести к необратимым последствиям для ее дальнейшего развития. Поэтому так важно предельно минимизировать эти риски с помощью комплексных мер обеспечения безопасности. На сегодняшний день все усилия в этом направлении, как правило, ограничиваются построением системы физического доступа в компании (СКУД) и усилением защиты ее цифровых информационных ресурсов (межсетевые экраны и VPN-шлюзы, двухфакторная аутентификация, антивирусы и др.). А вот вопрос обеспечения безопасности данных при печати документов в компании зачастую остается открытым.


суббота, 10 декабря 2016 г.

Инструменты для оценки ИБ по 382-П и СТО БР

От Артема Агеева:
 - http://www.itsec.pro/search/label/НПС
http://bis-expert.ru/blog/3375/44470

Мониторинг событий информационной безопасности с помощью ZABBIX

Мониторинг событий информационной безопасности с помощью ZABBIX https://habr.ru/p/215509/

Матрица доступа для виртуальных подсетей

ИБ в СПб: Матрица доступа для виртуальных подсетей: The Matrix has you... (C) Заметка о настройке правил доступа между виртуальными локальными сетями ( VLAN ) в локальной вычислительной...

Автоматизация ведения поэтажных планов АС

ИБ в СПб: Автоматизация ведения поэтажных планов АС: Можете ли вы ответить на вопрос о инфраструктуре вашей организации - где находятся ваши компьютеры? А конкретнее, в каком помещении ка...

вторник, 6 декабря 2016 г.

Управление инцидентами информационной безопасности от А до Я

Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. На вебинаре будут рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности. 

Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»

суббота, 19 ноября 2016 г.

Книги: Конфиденциальное делопроизводство и защищенный электронный документооборот

Конфиденциальное делопроизводство и защищенный электронный документооборот: учебник

Логос 2011 г.  452 страницы

Раскрыты сущность и особенности конфиденциального делопроизводства. Освещены вопросы документирования конфиденциальной информации, оформления конфиденциальных документов, их учета, организации конфиденциального документооборота, классификации и систематизации конфиденциальных документов, обеспечения разрешительной системы доступа и режима конфиденциальной информации, подготовки конфиденциальных документов для передачи в архив и уничтожения. Дан анализ современных нормативных правовых актов в сфере информации ограниченного доступа и конфиденциальной документированной информации: персональных данных; служебной, профессиональной, коммерческой тайн; секретов производства и др.Для студентов высших учебных заведений, обучающихся по направлениям подготовки 032000 «Документоведение и архивоведение», 080500 «Менеджмент», 090100 «Информационная безопасность», а также специальностям 032001 «Документоведение и документационное обеспечение управления», 080507 «Менеджмент организации», 090103 «Организация и технология защиты информации».

"Познавательный фильм": Защита информации

Фильм 2014 года. Но для популяризации идей защиты информации вполне подойдёт.

Мы живём в эпоху информационного общества, без информационных технологий мы рискуем выпасть из жизни. Но как и кто поддерживает защиту информации и её распространение? В НИИ изучают и изобретают новые и новые методы кодирования, защиты, распространения и распознания информации? Как это происходит? Можно ли верифицировать личность по голосу? Какую информацию о человеке несёт в себе биение сердца?

понедельник, 14 ноября 2016 г.

Игорь Ашманов. Технологии информационной войны.

Интервью Игоря Ашманова 2015 года о технологиях информационной войны. Как происходят информационные вбросы. Что можно узнать мониторя социальные сети.


среда, 26 октября 2016 г.

Схема оценки соответствия по СТО БР ИББС-1.2-2014

Криптоанархист: Схема оценки соответствия по СТО БР ИББС-1.2-2014:



Внезапно обнаружил у себя схему, которую рисовал когда-то для оценки соответствия по СТО БР ИББС-1.2-2014. Немного причесал и выкладываю ее здесь, чтобы приносила пользу общественности. Как обычно, замечания и предложения приветствуются.


На всякий случай, сделаю краткую аннотацию. 
  • Данная схема иллюстрирует методику, содержащуюся в документе СТО БР ИББС-1.2-2014.  
  • СТО БР ИББС-1.2-2014 описывает методику определения степени соответствия стандарту Банка России СТО БР ИББС-1.0-2014. 
  • Оценка проводится организациями БС РФ регулярно, не реже чем раз в 2 года.
  • Оценка производится путем аудита или самооценки, которые выполняются согласно СТО БР ИББС-1.1 и  РС БР ИББС-2.1 соответственно. 
  • По результатам оценки разрабатывается "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014", которое направляется в ЦБ.
  • Оценка производится на основе показателей ИБ. В методике описываются частные и групповые показатели. Групповые показатели вычисляются на основе частных как среднее арифметическое. На основе групповых показателей, вычисляются итоговые показатели по трем направлениям: текущий уровень ИБ, менеджмент ИБ и уровень осознания ИБ. Отдельно есть также уровни соответствия требованиям по защите ПДн. Полученные результаты фиксируются в "Подтверждении соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2014"
Что еще почитать: