Ответы пользователя по тегу Информационная безопасность
  • Хранить пароли в connection string не рекомендуется. А где?

    @brutal_lobster
    Скорее не из соображений безопасности - а из соображений простоты управления :)
    Храните в конфигурационном файле.

    А при компрометации сервиса, который подключается к БД, вас не спасет сокрытие реквизитов доступа.
    Ответ написан
    Комментировать
  • Где найти литературу по информационной безопасности на предприятие ?

    @brutal_lobster
    Что значит с нуля? Очень зависит от вашей цели, что вы можете делать и что вы хотите получить. Тема так-то слишком широкая.

    Смотрите остальные стандарты + в сторону ISMS и cobit/риск-менеджмента.
    Есть книжки обзорного плана, достаточно нормальные чтобы окунуться:
    www.amazon.com/Alan-Calder/e/B00JDYLRPQ
    Ответ написан
    Комментировать
  • Насколько сложно «взломать» корректику (CoRreCtica)?

    @brutal_lobster
    Вложите немного денег и используйте эцп :)
    А так - вы слишком усложняете процесс проверки. Нормальной практикой является публикация md5/sha-1/sha-256 сумм. Проверять не долго :)

    Тем более, хранить чексумму в самом файле или имени файла смысла нет. "Злоумышленнику" ничего не стоит изменить и сам файл, и название файла, и чексумму правильную указать..

    А чтобы не было проблем с троянами - выкладывайте сами и следите за появлением раздач)
    Да и надо ли кому-то заморачиваться именно вашей софтиной, когда проще сделать репак игрульки?
    Ответ написан
    Комментировать
  • Как защититься от smtp spoofing?

    @brutal_lobster
    Как указали выше - всё очень плохо :)
    Но вы можете посмотреть в сторону SPF и DKIM, спамфильтры покрутить..
    Ответ написан
    Комментировать
  • Что значит Класс МЭ Уровень НДВ Класс ИСПДн?

    @brutal_lobster
    Классификации описаны в руководящих документах фстэк.
    Вкладка - специальные нормативные документы и приказы.
    fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty

    Классы МЭ, уровни НДВ зависят от выполнения конкретных требований и контролей безопасности в продуктах.
    Классы испдн характеризуют саму информационную систему и зависят от объема перс. данных и их типа. Но классы испдн немного устарели - смотрите ПП 1119.

    А нужно это все - для определения минимальных требований безопасности к продуктам для использования в системах разной степени секретности и критичности.
    Если в вашей системе обрабатываются секретные или персональные данные - то в некоторых случаях вам необходимо будет использовать только сертифицированные МЭ конкретных классов.
    Ответ написан
    Комментировать
  • Есть хорошие anti keylogger программы?

    @brutal_lobster
    Надежно - одноразовые пароли.

    А со стороны клиента можно говорить только о некотором уровне надежности. Всё упирается в вероятность и полноту взлома вашей машины. После того, как вам подсадят трояна/руткита - утилиты слабо помогут. (ок, помогут, но опять же только в определенных случаях..)

    Следуйте лучшим практикам, обновляйтесь часто, используйте антивирусное ПО, не ходите на подозрительные сайты, на запускайте скрипты из интернета, мониторинг осуществляйте, юзайте эти утилиты и т.д.

    Если паранойя позволяет - используйте изолированное и hardened доверенное устройство для критичных транзакций и только для этих транзакций.
    Ответ написан
    Комментировать
  • Как сделать простую и легкую виртуализацию (песочницу) для отдельных приложений?

    @brutal_lobster
    Если вам для малвари - рекомендую www.cuckoosandbox.org
    Ответ написан
    Комментировать
  • Какие руководства или курсы посоветуете администратору для усиления защиты облачного сервиса?

    @brutal_lobster
    Вам нужно посмотреть на ISO 27001/27002 и Cobit. Может быть немножко NIST SP800-144 (и другие SP).

    Или на курсы по обеспечению комплексной ИБ/мастер-класс консультанта какого-нибудь. Фреймворки и стандарты всё таки тяжело читать. Еще сложнее успешно адаптировать (или хоть как-то эффективно применить) под себя.

    Документация текущего положения дел - это хорошо, но оно не даёт полной картины.
    А грамотность защиты сервиса - это миф :) Особенно, если информация о ней сакральна и зависит от пары сотрудников.

    Начните паралелльно работу на высоком уровне - установите цели, составьте политику безопасности, какие-нибудь базовые общие регламенты. Определите и улучшайте сам процесс управления/обеспечения безопасности вашего сервиса.

    Сотрудника необходимо знакомить в первую очередь не с используемыми технологиями и конкретными мерами контроля - а с самим процессом.
    Ответ написан
    1 комментарий