Компания IBM объявила о предоставлении комплекса услуг в области информационной безопасности для среднего бизнеса. Для компаний этого уровня IBM предлагает Express Penetration Testing Services - набор услуг по поиску уязвимостей с помощью имитации сетевой атаки. Express Multi-Function Security Bundle позволяет компании сформировать защиту с помощью устройства класса UTM. С помощью пакета услуг Express Managed Multi-Function Security Bundle клиенты могут сформировать многофункциональную систему по управлению информационной безопасностью, работающую в режиме 24х7. Пакет услуг для построения экономически эффективной защиты серверов называется у IBM Express Managed Protection Services for Server. Он так же предоставляется в режиме 24x7. Для компаний, связанных с международными платежными системами, IBM предлагает пакет Express PCI Assessments, с помощью которого можно обеспечить соответствию стандарта PCI DSS.

Компания RSA, входящая в группу EMC, представила комплекс Data Security System, который состоит из технологий и услуг для предотвращения утечки данных, шифрования данных, управления ключами и других новых механизмов обеспечения информационной безопасности. Data Security System позволяет организовать защиту данных на основе политик, найти и классифицировать конфиденциальные данные, внедрить механизмы защиты и создать систему наблюдения и контроля соблюдения политик. Кроме того, компания RSA представила продукт RSA Key Manager, предназначенный для вычислительных центров. Он обеспечивает эффективное централизованное управление жизненным циклом ключей шифрования в масштабах корпорации. Кроме того, консалтинговое подразделение EMC разработала пять новых профессиональных услуг, с помощью которых клиентам смогут проверить свои политики безопасности, проанализировать риски, найти и классифицировать конфиденциальную информацию, разработать программы информационной безопасности и оценить уровень безопасности систем хранения данных.

Разработчик сканера безопасности Xspider, компания Positive Technologies выпустила 17 апреля новый продукт MaxPatrol, который не только находит уязвимости, но также проверяет информационную среду предприятия на соответствие требованиям безопасности различных стандартов. MaxPatrol представляет собой распределенную систему сканирования, которая занимается проверкой состояния различных компонентов информационной системы, централизованным сбором информации и подготовкой отчетов. Система является модульной, что позволяет оптимизировать ее использование на предприятии и минимизировать влияние тестов на работоспособность информационной системы.
Сканирующая система состоит из пяти различных сканеров: сетевого, Web-приложений, баз данных и системного, а также модуля для имитации тестов на проникновение, который повторяет действия реального хакера. Причем MaxPatrol может эффективно работать даже в распределенной системе с территориально разнесенными филиалами, подключенными по относительно медленным, в том числе и спутниковым, каналам. Это достигается с помощью разнесения сканирующего модуля и системы сбора информации о сканировании. Отчеты, генерируемые MaxPatrol, удовлетворяют соответствующим международным нормам, описанных стандартами ISO 27001, PSI DSS и другими официальным рекомендациями. (Правда, стандарт ЦБ РФ пока не поддерживается, так как он, по словам разработчиков, слишком высокоуровневый.)

Ссылки:
Тест на соответствие

В международном банке HSBC, который имеет отделение в том числе и в России, корпоративным стандартом предусмотрена следующая конфигурация защиты мобильных компьютеров для сотрудников: шифрование дисков с помощью продукта Safeboot, подключение к корпоративной сети по защищенному соединению iPassConnect, VPN-клиент от компании Cisco, аутентификация с помощью RSA SecureID. Кроме того, при подключении к корпоративной сети производится проверка конфигурации компьютера по технологии NAC. Обязательным требованием также является наличие на компьютере персонального межсетевого экрана и антивируса. Для доступа к корпоративной электронной почте можно использовать устройства Blackberry, однако в российском отделении это затруднительно. Мобильные компьютеры в подобной конфигурации используются топ-менеджерами, ИТ-персоналом и в точках мобильных продаж.

Подавляющее большинство компаний имеет среди корпоративной информации данные, являющиеся конфиденциальными. Однако далеко не везде сотрудники проходят тренинги по работе с ней. Как показывает практика, 96% компаний обладает тем или иным объемом информации, не подлежащей разглашению. Это может быть информация о клиентах, финансовая информация, личные данные сотрудников. Как показал опрос, проведенный организацией IT Governance, лишь в половине компаний сотрудники понимают обязанности, связанные с обращением с такой информацией. Между тем, все технические меры по защите информации, предпринимаемые компанией, будут неэффективными без полной их поддержки сотрудниками. Исследование показало, что в повседневной деятельности сотрудники регулярно отступают от принятых в компании правил. Во многом это связано со сложностью выработанных "правильных" процедур.
Служба информации OSP

Ссылки:
Работа важнее безопасности

В группе компаний "Информзащита" пополнение - создана новая компания TrustVerse, которая будет заниматься разработкой собственной операционной системы Linux XP. "Интереснее продавать собственную ОС с защищенной архитектурой, чем писать навесные средства защиты для других", - прокомментировал такой шаг Петр Ефимов, президент ГК "Информзащита". Новая компания планирует выпустить дистрибутив TrustVerse Linux XP Desktop 2008, который будет поставляться в трех вариантах: Home Edition (1800 руб.), Enterprise Edition с поддержкой централизованного управления (5400 руб.) и Secure Edition со встроенными системами защиты (9200 руб.). В версии SE должны появиться механизмы защиты, полностью соответствующие требованиям ФСТЭК и ФСБ: шифрование по ГОСТ, контроль действий программ и пользователей и соблюдение других требований политики безопасности. Планируется сертификация Linux XP SE в системах ФСТЭК и ФСБ, первые результаты которой могут появиться уже к концу года.

Компания Fort-Ross провела первую конференцию, ориентированную на директоров по информационной безопасности предприятий. На ней обсуждались темы построения эффективной стратегии защиты предприятия, соответствия стандартам безопасности и российскому законодательству, повышению осведомленности сотрудников в области информационной безопасности и других. На конференции выступал проповедник компании LogLogic Антон Чувакин, который отметил, что обсуждаемые в России темы соответствуют тому, что обсуждают в аналогичных кругах США. Он также предсказал отсутствие эпидемий мобильных вирусов, разочарование в системах полного шифрования жестких дисков и технологии NAC. Поскольку вирусов сейчас значительно больше, чем легитимных программы, то Чувакин предсказывает развитие технологии белых списков программ, которые поддерживать значительно проще.

Компания "ТрансТелеКом" (ТТК) успешно прошла сертификацию на соответствие системы менеджмента информационной безопасности международному стандарту ISO/IEC 27001:2005. Сертификация служит подтверждением высокого качества предоставляемых услуг по обеспечению конфиденциальности, целостности и доступности информации клиентов. Оценка соответствия стандарту проводилась экспертами швейцарской компании SGS (Societe Generale de Surveillance S.A.). Аудиторы SGS провели проверку соблюдения требований стандарта в головном офисе и на четырех площадках ТТК в Москве и не выявили ни одного критического несоответствия, что послужило обоснованием для выдачи сертификата на трехлетний срок. Международный статус стандарта и его репутация на телекоммуникационном рынке делают сертификат серьезным преимуществом ТТК при участии в международных тендерах.
Служба информации OSP

Ссылки:
"ТрансТелеКом" подтвердил свою безопасность

Symantec и Bell Integrator успешно завершили проект по внедрению решения класса Security Compliance в "ВымпелКоме". Безагентная технология Symantec, внедренная специалистами Bell Integrator, полностью автоматизировала управление и контроль над внутренними политиками ИТ-безопасности "ВымпелКома". Реализация подобного решения в масштабах ИТ-инфраструктуры автоматизирует контроль над соответствием требованиям закона Сарбанеса-Оксли (SOX). Сложности обязательного соблюдения требований SOX по эффективному контролю за ИТ и рост расходов на SEC (Security and Exchange Commission) уже заставили провести делистинг с Нью-Йоркской фондовой биржи (NYSE) таких гигантов, как BASF, SGL group, Bayer. Российские публичные компании, торгующиеся на NYSE, ищут эффективные механизмы соответствия высоким требованиям финансового рынка. Первый опыт автоматизации управления внутренними политиками ИТ-безопасности на основе решения Symantec демонстрирует, что проблема может быть успешно решена силами российских специалистов.
Служба информации OSP

Ссылки:
"ВымпелКом" сможет управлять ИТ-безопасностью

Компания "КапиталЪ Страхование" объявила о внедрении системы контроля периферийных устройств DeviceLock от компании SmartLine. Внедрение системы было проведено в рамках реализации политики информационной безопасности, принятой на предприятии. Страховая компания имеет сильно распределенную корпоративную сеть. Ей пришлось установить 700 комплектов защиты, чтобы обезопасить себя от утечек конфиденциальной информации. Основной целью внедрения подобной системы защиты является сертификация системы управления информационной безопасностью компании по стандарту ISO27001.

Ссылки:
ОАО "КапиталЪ Страхование" приняло решение о внедрении DeviceLock

Компания TopS BI провела аудит безопасности у российской судоходной компании "Новороссийское морское пароходство". В рамках аудита была проверена существующая на предприятии система управления информационной безопасностью, а также проверена защищенность работающих на предприятии систем ShipNet, AMOS BS и AMOS mail. Пароходство стремиться сделать свои перевозки безопасными, что предполагает в том числе и их информационную безопасность. По результатам аудита будут подготовлены рекомендации по дальнейшему улучшению системы управления информационной безопасностью, целью которого является подготовка системы для сертификации по стандарту ISO 27001.

Ссылки:
«Новороссийское морское пароходство» провело анализ систем информационной безопасности

Главной проблемой в области ИТ-безопасности, оказывающей прямое влияние на деятельность организаций, является недостаток информации о лучших практиках. Именно нехватку таких знаний назвали 16% компаний, опрошенных Advanced Technology Alliance. Следом с минимальным отрывом следуют такие сугубо технологические проблемы, как защита данных и управление доступом. Как признались аналитики, такой результат стал для них неожиданным. Согласно их ожиданиям, недостаток информации мог войти в число проблем, но никак не в качестве главной "болевой точки". При этом практически все профессионалы в области ИТ-безопасности выразили озабоченность тем, что их компании вопросам безопасности уделяют явно недостаточное внимание. Чаще всего, это выражается в том, что существующие угрозы не принимаются в расчет до момента происхождения первого инцидента. Лишь после этого со стороны руководства предпринимаются усилия по предотвращению подобных случаев.
Служба информации OSP

Ссылки:
Для безопасности не хватает знаний

В течение нынешнего года в 62% компаний планируют увеличить расходы на информационную безопасность. Как утверждают аналитики компании InsightExpress, основным направлением инвестиций будет обеспечение деятельности удаленных сотрудников. При этом 37% собираются увеличивать расходы на защиту информации более чем на 10% по сравнению с предыдущим годом. Исследование показало, что расходы на безопасность будут расти из-за больших финансовых потерь, которые несут компании, подвергающиеся сетевым атакам и атакам на отдельных сотрудников, в том числе удаленных. Неожиданностью стало то, что принятие такого рода решений в немалой мере зависит от демографического фактора. Самый высокий процент ИТ-специалистов, планирующих повышение расходов, отмечен в странах, которые относительно недавно вышли на интернет-орбиту и стали строить корпоративные сети: больше всего руководителей, которые значительно повышают расходы на безопасность, выявлено в Китае, Индии и Бразилии. Что характерно, именно в этих трех странах рискованное поведение удаленных сотрудников (открытие подозрительных почтовых вложений, пиратский вход в сеть чужую точку доступа и т.д.) распространено гораздо больше, чем в регионах, имеющих более длительную историю корпоративного пользования "всемирной паутиной".
Служба информации OSP

Ссылки:
В Китае, Индии и Бразилии рискуют чаще

Компания "Вымпелком" завершила внедрение системы Symantec Control Compliance Suite. Система автоматизирует оперативный сбор данных о состоянии информационной безопасности инфраструктуры и позволяет проводить оперативное формирование отчетов при проведении аудитов. Наличие в компании эффективного контроля ИТ - одно из обязательных требований акта Сарбейнса-Оксли (SOX). Кроме того, внедренное решение помогает обнаруживать и предупреждать попытки взлома сети, мошенничества с использованием ИТ-инструментов и кражи данных. Проектные работы осуществляла российская компания Bell Integrator. По оценкам руководства "Вымпелком", затраты на приобретение и внедрение новой системы окупятся за полтора года.
Служба информации OSP

Ссылки:
Безопасность под контролем

Компания "Информзащита" выпустила средство для защиты конфиденциальных данных под названием Security Studio. Оно включает в себя систему управления правами доступа пользователей, строгую аутентификацию в том числе и по eToken, контроль обращений к конфиденциальной информации и аудит действий пользователей и администраторов, прозрачное шифрование данных (в том числе и на сменных носителях), контроль настроек операционной системы и приложений, гарантированное уничтожение данных и централизованное управление. По технологии Security Studio - это модульный конструктор, построенный в архитектуре клиент-сервер и использующий для управления иерархические принципы. Продукт поддерживает операционные системы Windows 2000/XP/2003 и частично Linux и IOS (только по контролю настроек ОС).

Ссылки:
«Информзащита» выпустила Security Studio для защиты конфиденциальных данных

System IBM z стал единственным в мире сервером, получившим максимальный уровень сертификации Common Criteria Evaluation Assurance - Level 5 по защищенности логических разделов, что позволяет применять его в госучреждениях США. На данный момент такую сертификацию прошел мэйнфрейм System z9, и планируется проведение сертификации для System z10. Когда клиенты подключают к мэйнфрейму дополнительные ресурсы и распределяют их между разделами с целью уменьшения затрат и выделения ресурсов по требованию, сертификация EAL5 гарантирует, что открытые виртуальное разделы с выполняющимися в них ОС будут обладать таким же уровнем безопасности, как подключенные к мэйнфрейму System z отдельно стоящие физические серверы, то есть физическая безопасность виртуального раздела находится на максимально возможном уровне. Это позволяет клиентам распределять ресурсы по требованию без какого-либо риска для любой информации, благодаря чему повышается производительность и обеспечивается круглосуточная доступность.
Служба информации OSP

Ссылки:
Безопасная виртуализация

Компания RSA, подразделение безопасности EMC, объявило что платформу управления событиями безопасности enVison уже купило более тысячи клиентов. Платформа обеспечивает управление записями системных журналов, их аудит и мониторинг, а также подготовку отчетов. Причем в системе уже есть отчеты, которые соответствуют стандартам PCI DSS, SOX, FISMA, GLBA и HIPAA. По итогам своей деятельности продукт enVision получил награду Global Product Excellence in Event Management Customer Trust от издания Info Security Products Guide как лучший продукт прошедшего года. Чтобы еще ускорить распространение технологии компания RSA позволила своим партнерам со статусом RSA SecurWorld также внедрять его у своих клиентов.

Ссылки:
Более 1000 клиентов выбирают платформу RSA ENVISION(r) для ускорения развития бизнеса

Подавляющее большинство ИТ-сотрудников полагает, что пользователям предоставляются излишние права доступа к информационным ресурсам. Согласно результатам опроса, проведенного Ponemon Institute, 78% из них считают, что сотрудники их компании часто получают неоправданно широкий доступ, неадекватный выполняемым функциям. Еще 19% выразили неуверенность. Таким образом, доля компаний, в которых обстановку с управлением правами доступа можно признать благополучной, весьма мала. Процессы принятия решений о предоставлении доступа весьма различаются. 29% практикуют предоставление доступа по запросу конкретного сотрудника, еще 25% - по требованию со стороны руководства департамента, а 21% называет в качестве основного ролевой принцип. 25% признали отсутствие систематизированного подхода. Что касается применяемых решений для управления правами доступа, то более трети компаний используют собственные разработки, а 30% - приобрели с этой целью готовое решение.
Служба информации OSP

Ссылки:
Слишком много прав

Угрозы, спровоцированные "человеческим фактором", вызывают большие опасения, чем технологические. 75% опрошенных компанией Deloitte организаций указывают ошибки сотрудников как главную причину инцидентов в области безопасности, таких как утечка данных и критические сбои информационных систем. Для сравнения, технологические сбои беспокоят лишь 48% компаний, а действиям контрактных сотрудников и бизнес-партнеров не доверяют 28%. Еще больше опасаются неподобающих действий сотрудников при ежедневной работе с информационными системами: халатность при их эксплуатации пользователями назвал 91% респондентов. Что характерно, информационная безопасность по-прежнему часто воспринимается бизнес-руководителями исключительно как проблема ИТ. В 40% компаний за нее отвечает исключительно ИТ-отдел, а в 45% руководство информируется о произошедших инцидентах только по непосредственному запросу.
Служба информации OSP

Ссылки:
Человек опаснее технологий

февраля 2008 года в китайской части Internet правилами Министерства информационной индустрии КНР запрещается размещать порнографические, жестокие и обманывающие пользователя материалы. Лицензии на радиовещание или трансляцию потокового видео в Internet смогут лишь компании, контролирующиеся государством. Так министерство намерено добиваться "морального оздоровления" китайского общества. Это одна из многочисленного ряда мер, которые китайские власти проводят для этой цели, одновременно усиливая одну из самых мощных Internet-цензур в мире.
Служба информации OSP

Ссылки:
Китай усиливает надзор за Internet