Java, Taint и SAST: что это и зачем, и причём здесь ГОСТ 71207
На Java пишется огромное количество серверного кода. Отсюда следует, что написанные на ней веб-приложения должны быть устойчивы к специальным уязвимостям. И эта небольшая статья как раз про один из способов борьбы с ними — SAST. И ещё про то, что такое taint-анализ и как он во всём этом участвует....
Исполнение требований Центробанка с помощью ПК Efros Defence Operations
Финансовые организации обладают большим количеством конфиденциальной информации, такой как персональные данные, сведения о финансовых транзакциях, банковские реквизиты, что делает их привлекательной целью для киберпреступников. Поэтому к безопасности инфраструктуры и данных таких организаций...
Регуляторика РБПО. Часть 2 – Требования в финансовой отрасли
Всем привет! С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Мы продолжаем цикл статей, посвященный регуляторике разработки безопасного ПО (РБПО). Первая статья об общих требованиях доступна по ссылке (там же можно увидеть, что планируется в...
Регуляторика РБПО. Часть 1 – Введение. Общие требования
Привет, уважаемые любители защищенных приложений! В нашем блоге мы привычно освещаем практические кейсы разработки безопасного ПО (РБПО), но заметили, что вас также интересует мир регуляторики. Понимаем, не осуждаем и поэтому сегодня открываем серию статей с обзором актуальных нормативных...
Надежность в процессах. Часть 1
Прежде, чем объединяться, нам надо решительно размежеваться (Business continuity management vs Business Process Continuity vs Dependability in technics) Синонимы: Надежность в процессах = надежность процессов = надежность операций = операционная надежность (с учетом синонимии словосочетаниями «сущ....
Легко и просто: как автоматизация упрощает работу с ГОСТ 57580.1
ГОСТ 57580.1 — это национальный стандарт безопасности банковских и финансовых операций. Стандарт был введен в действие 1 января 2018 года и стал обязательным для всех кредитных и некредитных финансовых организаций. А теперь давайте разберемся, что это за стандарт, как он помогает и почему его...
Как обеспечить цифровую доступность по всем правилам: опыт Яндекс Капчи
Привет! Меня зовут Павел Конон, я аналитик в команде Антиробота в Яндексе. Занимаюсь развитием инструмента капчи в команде Антиробота. Думаю из названия команды понятно, что мы работаем над системой онлайн классификации источников запросов — робот или человек. Сегодня хочу рассказать о том, как мы...
Повышаем качество обслуживания трафика в российских криптошлюзах: нюансы внедрения QoS
Вспомните обычный рабочий созвон или видеоконференцию – с задержкой связи, эхом или торможением видео. Как правило, это происходит из-за плавающей пропускной способности каналов связи. И если для одних видов трафика (электронная почта или обмен короткими текстовыми сообщениями), подобные задержки...
757‑П или Как ввести в ступор небольшие НФО
И снова здравствуй, дорогой читатель. В предыдущем материале мы в общих чертах рассмотрели сложности обеспечения информационной безопасности в финансовых организациях, посетовали на большое количество регулирующей документации и немного посмеялись с мемасиков. Но делу время, а потехе час....
Сложности обеспечения ИБ в финансовых организациях
Обеспечение информационной безопасности в финансовой организации — очень нетривиальная задача. Особенно если учитывать, что бытность отдела/службы/департамента по защите информации в российской действительности можно сравнить с жонглированием бензопилами руками и ногами в тёмной комнате. В этой...
Производительность криптошлюзов: обещания вендоров и суровая реальность
Кадр из м/ф "Крылья, ноги и хвосты" «Производительность данного оборудования в режиме шифрования – 100 Мбит/c», – гласит вендорский буклет/инструкция/сайт. Что означает эта цифра? В каких условиях она получена и чего ожидать пользователю на практике? В этом посте мы рассмотрим, что понимают под...
Больше чем compliance. Как выявлять кибератаки и выполнять требования ГОСТ Р 57580.1-2017 с помощью SIEM-системы
«ГОСТ Р 57580.1-2017 „О безопасности финансовых (банковских) операций“ обязателен для выполнения кредитными и некредитными финансовыми организациями» — эта сухая фраза из стандарта, как, впрочем, и весь документ, порождает множество вопросов. На кого конкретно распространяются его требования? В...
Шифруем по-русски, или отечественные криптоалгоритмы
В данной статье простыми словами описаны криптоалгоритмы, являющиеся актуальными на данный момент российскими стандартами защиты информации, и подобраны ссылки на материалы, которые при желании помогут разобраться с ними глубже. А также, в конце статьи приведены работы с результатами криптоанализа...
Потроха IPsec, меримся с TLS 1.3, ГОСТ и Go
Приветствую! Очень хочется рассказать про устройство современного стэка IPsec протоколов ESPv3 и IKEv2. IPsec, как мне кажется, незаслуженно обходится многими стороной и детального разбора его работы, его протоколов и возможностей я не видел на русском языке. Кроме того, сделаю странное — сравню...
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
В предыдущих публикациях мы рассмотрели основы информационной безопасности, обсудили законодательство в области защиты персональных данных и критической информационной инфраструктуры, а также затронули тему защиты информации в финансовых учреждениях с применением стандарта ГОСТ Р 57580. Настала...
ГОСТ Р 57580. От тенденций к действенной автоматизации
После введения в действие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций....
Шифруемся по ГОСТу: памятка по настройке динамической маршрутизации трафика
Если ваша компания передаёт или получает по сети персданные и другую конфиденциальную информацию, подлежащую защите в соответствии с законодательством, требуется применять шифрование по ГОСТу. Сегодня мы расскажем, как внедрили такое шифрование на базе криптошлюза (КШ) S-Terra у одного из...
Российские ЭЦП для самых маленьких
Цифровой документооборот входит в нашу жизнь уверенными шагами и если для юридических лиц это уже суровые будни, то многие физические лица могли с этим еще не столкнуться. Но со временем оставаться в стороне становится всё сложнее и нужно приспосабливаться к меняющимся условиям, иначе можно...
Назад