Методы и способы защиты информации

Оперативно переводя сотрудников на дистанционную работу, нужно учесть сопряжённые с этим сложности и не забыть про попытки киберпреступников использовать уязвимые места. Предлагаем шесть шагов, которые позволят вам подойти к этому вопросу подготовленными.

Что в 2020 году подразумевает требование «проектировать по ГОСТу», становится ли оно менее обязательным? Что делать, если государственный регулятор не предлагает замену для ГОСТов 34-й серии? И вообще, какими стандартами стоит руководствоваться при оформлении проектной документации? Отвечает Николай Зенин, специалист с 12-летним опытом формирования таких требований.

Обнаруживаем действия киберпреступников в корпоративной сети и классифицируем их в соответствии с матрицей MITRE ATT&CK, которая показывает, какие тактики и техники применялись в ходе кибератаки.

Подход к информационной безопасности всегда является комплексным. Не бывает инструмента, который закрыл бы все «дыры» и не создал новые. Во множестве групповых политик (GPO) Windows — та же ситуация. Такое положение обусловлено их количеством, но, к счастью, есть эталонные настройки политик безопасности и инструменты для работы с ними.

Обеспечение безопасности при помощи средств криптографической защиты информации (СКЗИ) — не очень сложная задача, если все технологические участки находятся на хост-машине. Однако для того чтобы передавать и шифровать информацию одновременно, необходимо построить грамотный технологический процесс программного обеспечения. Мы расскажем, как это сделать.

Целевые атаки (Advanced Persistent Threat, APT) можно назвать отличительной чертой любой серьёзной киберпреступной группировки, стремящейся проникнуть в сеть коммерческой или государственной организации. За последние годы атакующие настолько отточили свои инструменты, что выявлять и отражать таргетированные нападения становится всё сложнее. Предлагаем рассмотреть традиционные методы борьбы с APT и их недостатки, а также более эффективные альтернативы.

Согласно Федеральному закону от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» владельцы объектов, соответствующих критериям для включения в критическую информационную инфраструктуру (КИИ), обязаны предоставлять сведения о кибератаках и других подобных происшествиях в Национальный координационный центр по компьютерным инцидентам (НКЦКИ), а также в Центральный банк РФ (если субъект КИИ осуществляет деятельность в банковской сфере и в иных областях финансового рынка) в требуемые сроки и в требуемом формате. Рассмотрим использование решения Kaspersky Threat Management and Defense для взаимодействия с НКЦКИ.

Архитектура систем, построенных на современных информационных технологиях, становится всё сложнее. Вместе с этим растёт и количество угроз, оказывающих влияние на основные свойства информации — конфиденциальность, целостность и доступность. Для того чтобы противостоять угрозам информационной безопасности, система защиты информации должна обладать высокой эффективностью. Дать оценку её эффективности, в свою очередь, можно путём проведения аттестационных испытаний.

Технологии интернета вещей начинают проникать во все отрасли нашей жизни, и здравоохранение не является исключением. Феномен «умных больниц» перестаёт быть чем-то удивительным и становится реальностью почти для каждого. Однако создание умной больницы является крайне непростой задачей, так как при этом необходимо обеспечить слаженность работы всех устройств, безопасность, защищённость системы и данных, конфиденциальность каждого пациента. В обзоре описаны возможные виды уязвимостей, угрозы и сценарии атак, рассмотрены активы умных больниц и предложены рекомендации для руководства и отрасли.

Защита персональных данных состоит из комплекса технических и организационных мероприятий. Основываясь на практическом опыте, эксперты Cross Technologies дают пошаговое описание эффективного внедрения мер второго типа (организационного характера) путём обучения сотрудников. Представлены рекомендации, которые позволяют разработать эффективный и полезный обучающий курс, соответствующий потребностям бизнеса и разных категорий персонала.