Сколько стоит «суверенный» Рунет?
Трудно посчитать, сколько копий было сломано в спорах об одном из самых грандиозных сетевых проектов российских властей: суверенном интернете. Свои «за» и «против» высказывали популярные спортсмены, политики, руководители интернет-компаний. Как бы то ни было, закон подписан и реализация проекта...
30-летний юбилей безудержной незащищённости
Когда «чёрные шляпы», – будучи санитарами дикого леса киберпространства, – оказываются особенно успешными в своём чёрном деле, жёлтые СМИ пищат от восторга. В результате мир начинает смотреть на кибербезопасность серьёзней. Но к сожалению не сразу. Поэтому, несмотря на всевозрастающее количество...
Об open-source реализациях хэш-функции ГОСТ Р 34.11-2012 и их влиянии на электронную подпись ГОСТ Р 34.10-2012
В свое время реализация отечественных криптографических алгоритмов в библиотеке libgcrypt очень меня вдохновила. Стало возможным задействовать эти алгоритмы и в Kleopatra и в Kmail и в GnuPg в целом, рассматривать библиотеку libgcrypt как алтернативу openssl с ГОСТ-ым engine. И все было...
Новое в сертификации средств защиты информации
Около года назад, 3 апреля 2018-го года ФСТЭК России опубликовал приказ №55. Он утвердил Положение о системе сертификации средств защиты информации. Это определило, кто является участником системы сертификации. Также оно уточнило организацию и порядок сертификации продукции, которая используется...
Криптографические токены PKCS#11: просмотр и экспорт сертификатов, проверка их валидности
В комментариях к статье «Англоязычная кроссплатформенная утилита для просмотра российских квалифицированных сертификатов x509» было пожелание от пользователя Pas иметь не только «парсинг сертификатов», но и получать «цепочки корневых сертификатов и проводить PKI-валидацию, хотя бы для сертификатов...
Как назвать: политика конфиденциальности и политика приватности
Английскую версию политики приватности – privacy policy – ошибочно переводят как «политика конфиденциальности». В чем здесь ошибка? «Политика конфиденциальности» – это переводческая традиция, которую вы можете встретить даже на русскоязычных версиях таких платформ как Google и Apple. Однако,...
[Из песочницы] Почему шаблон политики приватности вам не подойдет?
Копирование и генерирование политики приватности Копирование шаблонной политики приватности или использование генераторов (автоматическое составление) – весьма распространенная практика. Действительно, в некоторых случаях это может сэкономить время, если речь идет о копировании повторяющейся...
Информационная безопасность интернета вещей: кто вещь, а кто хозяин?
Источник Ни для кого не секрет, что в области интернета вещей (Internet of Things, IoT), пожалуй, меньше всего порядка в плане обеспечения информационной безопасности (ИБ). Сегодня мы наблюдаем развивающуюся технологию, постоянно меняющийся ландшафт отрасли, прогнозы, порой уводящие в сторону от...
ИБ по-американски. Часть 2. А можно поподробнее о NIST 800-53 и причём тут управление рисками?
*Как ни посмотри, безопасность — это и твоя ответственность* В прошлой своей статье «ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?» я рассказал об основе, вокруг которой и строится весь документ NIST SP 800-53, а именно о контролях безопасности. Т.е. тех...
ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?
*Виновен в разглашении конфиденциальной информации! Ваш ТЕЛЕФОН говорит только то, что говорите ВЫ...* В последний раз я освещал вопрос обеспечения ИБ в США почти год назад в материале, посвящённом разработке Фреймворка управления рисками ИБ. Настало время более подробно рассказать о том, как...
[recovery mode] Локальный интернет?
Несмотря на всю «желтизну». Надёжность – это правильно, но люди, не делайте Интернет «нашим» или «вашим». Сделайте его лучше действительно общим, чтобы никто не смог его контролировать при всём желании – ни Штаты, ни Россия, ни кто-то ещё. Как – это вопрос к спецам. www.interfax.ru/russia/397541...
Используем DNS не по назначению
Умные люди обнаружили, что через DNS-серверы можно передавать на компьютеры пользователей не совсем ожидаемый ими контент. Маленькая демонстрация этого показана в Whois-записи веб-сервера jamiehankins.co.uk. Например, вот что демонстрирует людям авторитетный Whois-сервер по ссылке...
[Из песочницы] Основные международные стандарты и лучшие практики проведения аудита информационных технологий
В 60-х годах прошлого века, начало внедрения информационных систем для бухгалтерского учета в коммерческом секторе, привело к появлению новой профессии в сфере ИТ — ИТ-аудитора. Вскоре была создана первая профессиональная ассоциация ИТ-аудиторов – «Electronic Data Processing Auditors Association»,...
Переход к ISO/IEC 27001:2013. Тонкости перевода и не только
Привет, Хабр! 25 сентября 2013 года был опубликован обновленный стандарт ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования» (Information security management systems — Requirements), пришедший на смену аналогичному стандарту 2005-го года. Мне в руки попал Transition...