пятница, 29 апреля 2022 г.

Как оплачивать услуги в (ISC)2

Недавно я писал заметку, как сейчас можно оплачивать услуги в ISACA. Аналогичная схема применима и к (ISC)2. Человек с телеграмм-чата последовал моему совету, запросил у техподдержки реквизиты. Техподдержка прислала реквизиты, написала, чтобы он в платеже указал свои данные (имя и ID) и после совершения платежа отправил информацию об этом. 

Thank you for contacting us.

Yes, members do have an option to pay via wire. Please find the wire instructions attached. We ask members to use their name and (ISC)2 Member ID as reference so that our finance department could locate your payment and apply it to your account. Please note that we do not cover any bank charges. Please send the payment confirmation directly to our Finance department on ARprocessing@isc2.org.

Перевод был выполнен также через Тинькофф банк и дошел на третий день. На форумах пишут, что такая "скорость" связана с тем, что Тинькофф банк сперва держит платеж 3 дня и только потом отправляет.

На днях поступила официальная инфа, что Тинькофф банк до конца года будет переименован, ну а SWIFT - живи!

вторник, 26 апреля 2022 г.

Опасные и безопасные протоколы

Из учебника CompTIA Security+ публикую скриншотами опасные и безопасные протоколы. В общем случае первых не должно быть в сети, они должны быть замещены на вторые. 

Конечно всё это нужно делать не шаблонно, а вдумчиво.




вторник, 19 апреля 2022 г.

Про книгу CompTIA Security+

Приобрел для себя новую старую книгу Security+ от CompTIA. Новую, потому что это новая версия курса SY0-601, а старая, потому что я много лет назад успешно сдавал по этому курсу экзамен. За последний десяток лет многие технологии ИБ заметно ушли вперед, поэтому настало время освежить текущие знания и поднабрать новых. Конечно, заметное место в учебнике придаётся технологиям от Microsoft, но если смотреть честно, то повсеместный отход от них в России вряд ли произойдет.


Привожу разделы ИБ, из которых состоит данный курс:

Section 1: Security Aims and Objectives

Chapter 1, Understanding Security Fundamentals

Chapter 2, Implementing Public Key Infrastructure

Chapter 3, Investigating Identity and Access Management

Chapter 4, Exploring Virtualization and Cloud Concepts

Section 2: Monitoring the Security Infrastructure

Chapter 5, Monitoring, Scanning, and Penetration Testing

Chapter 6, Understanding Secure and Insecure Protocols

Chapter 7, Delving into Network and Security Concepts

Chapter 8, Securing Wireless and Mobile Solutions

Section 3: Protecting the Security Environment

Chapter 9, Identifying Threats, Attacks, and Vulnerabilities

Chapter 10, Governance, Risk, and Compliance

Chapter 11, Managing Application Security

Chapter 12, Dealing with Incident Response Procedures


Позднее переведу и выложу вопросы и ответы, которые идут после каждого раздела.

воскресенье, 17 апреля 2022 г.

Про мобильные приложения

По мере усиления санкционного нажима на Россию со стороны якобы цивилизованного сообщества уже началось удаление мобильных приложений ряда банков из иностранных репозиториев. Пока это касается только банков, попавших в санкционные списки, но лучше готовиться и остальным. Санкционная война еще далека от завершения, если она вообще когда-нибудь закончится.


Риски очевидны:

1. Обновления. Мобильные приложения перестанут обновляться, а значит в них будут копиться уязвимости. Надо учесть, что далеко не все и не всегда качестве выстраивают безопасную разработку приложений, проводят контроль версий, статические и динамические проверки кода и т.д.

2. Новый функционал. Отсутствие обновлений в равной мере относится и к функционалу. И если он перестанет обновляться, то приложения перестанут справляться с задачами бизнеса. В них попросту не будут появляться новые продукты и новые фишки.

3. Юзабилити. Зачем терпеть неудобства, если можно их не терпеть. Уже сейчас наметился переток клиентов из банков под санкциями в другие, как правило средние по размерам, кредитные организации, до которых наши бывшие западные партнеры вероятно еще не скоро доберутся. Это касается и физических и юридических лиц.

Что имеем:

- Банки под санкциями начали выкладывать пакеты мобильных приложений на своих сайтах, прикладывая инструкции, как их устанавливать, включая возможность недоверенной загрузки приложений.

- Некоторые компании заявляют о создании российских репозиториев для мобильных приложений. Можно полагать, что в результате конкуренции из нескольких таких репозиториев останется один самый лучший.

Вместе с этим еще необходимо как-то переводить иностранные смартфоны под управление российских ОС.

Альтернативным выходом может быть доработка «толстых» web клиентов, адаптируя их к мобильным устройствам. Здесь даже получается экономия – не потребуется одновременно поддерживать две фронт-части одного ДБО.

 

Санкции – время возможностей!

суббота, 9 апреля 2022 г.

Отзыв на книгу CISA от Doshi

Хочу поделиться впечатлениями об учебнике CISA Study Guide от Hemang Doshi.

Во-первых, автор очень кратко даёт материал. Буквально по странице, а то и меньше на каждую тему. Во-вторых, половину книги занимают вопросы. При размере учебника под 600 страниц, 300 отведены на вопросы. Это, с одной стороны, очень хорошо. Я полностью прочитал информационную часть, благо она написана действительно достаточно простым языком и почти не содержит редких плохо известных слов. Если сравнить её с оригинальным CRM от ISACA под 1000 страниц, то можно, как говорится, почувствовать разницу. У Doshi очень хорошо поставлены вопросы, в них именно то, что, как мне кажется, должно быть на экзамене.

Также у Doshi также есть свой ютуб-канал, где есть много видео по разным разделам курсов от ISACA. Еще есть платные учебные курсы. Таким образом его вопросники представляют ценность для подготовки. Но учитывая текущую политическую обстановку, я читал учебник именно для ознакомления с материалом, а не для сдачи экзамена. В целом у меня сложилось впечатление, что материал даётся слишком по верхам и поэтому для лучшего изучения курса нужно читать оригинальный учебник. Но в качестве preview курса, книга от Doshi очень хороша. 

Рекомендую. 

среда, 6 апреля 2022 г.

Про резервное копирование и восстановление

Один из аспектов непрерывности бизнеса, создание планов восстановления ИС, если что-нибудь случится. Одна из проблем, с которой часто сталкиваются банки, заключается в том, что направление по резервному копированию не входит в информационную безопасность. Так исторически у нас сложилось. Однако, если посмотреть иностранную литературу, то данные процессы входят в обязанности ИБ. В этой связи, а на самом деле по причине всеми известных геополитических обострений, полагаю не откладывая проверить у себя в организациях, как устроен процесс резервного копирования и самое главное восстановления информации.

Нужно начать с выборки ключевых информационных систем, от которых зависит функционирование организации.

После этого нужно выяснить из каких серверов состоят эти системы. Наверняка в организации должна быть политика резервного копирования, включающая план резервного копирования. В плане должно быть прописано, что именно и с какой периодичностью должно бекапиться. Именно на соответствие плану и требуется проверить фактические бекапы. Я всегда запрашиваю в ИТ скриншоты настроек ПО, логи, что резервные копии выполнены, и инфо о том, где они хранятся.

Теперь начинается самое интересное. Нет смысла выполнять резервное копирование, если не умеешь восстанавливать из бекапов системы. Поэтому очень важно заставлять ИТ на регулярной основе проверять резервные копии. Причем не только на распаковку, но и на реальное восстановление из них информации. Желательно, чтобы это всё было прописано в политике резервного копирования и восстановления. Я всегда запрашиваю скриншоты, логи об этом и прошу подписать акт об этом.

Ну и в свете всё тех хе санкций, теперь еще нужно убедиться, что ПО для резервного копирования не отключат, а значит и его возможно придется импортозамещать. Или бекапить системы в общепризнанных форматах, которые могут быть легко восстановлены иным многочисленным ПО.