Технологии
Конференция ФСТЭК. Часть 4. SDLC и виртуализация
033
В заключительной, 4-й части рассказа о конференции ФСТЭК, я коснусь последних двух вопросов, которые находятся в прицеле ФСТЭК, — виртуализации и безопасности программировании. Первую тему на конференции очень неплохо осветил Крафтвей, рассказав о существующих угрозах и закладках на аппаратном уровне и способах борьбы с ними, сделав акцент на технологии Secure Boot (UEFI).
Бизнес без опасности
Международная ИБ
Здравый смысл безопасника или не читайте перед обедом немецких газет
1721
Безопасника от журналиста, падкого на сенсации, отличает здравый смысл и взвешенная позиция. Именно так я хотел бы посмотреть на последние «разоблачения Сноудена», описанные в немецком «Шпигеле» в конце прошлого года и которые стали активно обсуждать именно сейчас. Что мы узнаем из этих материалов? В 2007-м году у АНБ был «
Бизнес без опасности
Бизнес
Финансовая эффективность программ Bug Bounty для разработчиков
536
О программах Bug Bounty слышали многие. Это программа финансового вознаграждения, получаемого независимыми исследователями, находящими уязвимости в программном обеспечении того или иного производителя. Такие программы есть у многих компаний — Facebook, Microsoft, Google, Avast, PayPal, Mozilla, Qiwi, Yandex. И это только верхушка айсберга —
Бизнес без опасности
Законодательство
Разъяснение ФСТЭК по 17-му и 21-му приказам
442.5к.
Вчера под вечер ФСТЭК опубликовала информационное сообщение о том, как следует читать отдельные фрагменты 17-го и 21-го приказа, устанавливающие требования по защите персональных данных и государственных информационных систем. Я не буду пересказывать само сообщение ФСТЭК (оно достаточно понятно написано), а просто перечислю те вопросы, на которые оно
Бизнес без опасности
Обучение
Повышение осведомленности по вопросам SDLC: один из примеров
022
Про SDLC я писал неоднократно. И про повышение осведомленности тоже. И вот решил совместить 😉 Выложу несколько наших плакатов, которые направлены на формирование у разработчиков правильных мыслей о безопасном ПО.
Бизнес без опасности
Угрозы
Пора менять подходы к нейтрализации угрозы НДВ
660
Недавно я писал про недекларированные возможности. Заметка была связана со сложностями в проведении оценки отсутствия недекларированных возможностей для продукции американского происхождения. До этого были и еще записи (тут, тут и тут). На мой взгляд, сейчас назрела необходимость пересмотра этого устаревшего подхода к поиску недокументированных возможностей
Бизнес без опасности
Международная ИБ
Анализ качества ПО: международный опыт (презентация с РусКрипто)
023
Вчера на РусКрипто делал презентацию по обеспечению качества ПО с точки зрения ИБ и международного опыта. Учитывая выделенных 12 минут на доклад, особо много не писал — скорее пробежался по опыту ведущих ИТ-компаний, занимающихся данной задачей. Обеспечение качества ПО: международный опыт from Alexey Lukatsky
Бизнес без опасности
Разное
Об анализе качества кода системно и архитектурно
149
К теме анализа качества кода я уже обращался неоднократно и буду и дальше эту тему поднимать. Но все это эпизодические вкрапления, несвязанные в единое целое. Как должен выглядеть процесс создания качественного кода у разработчика или у потребителя, имеющего собственное подразделение по разработке? Картинка достаточно «
Бизнес без опасности
Законодательство
А где установлена обязанность проводить анализ качества кода?
1716
Анализ качества кода на Уральском форуме в Магнитогорске стал одной из самых актуальных тем — ему было посвящено целых 3 доклада и отдельные высказывания представителей ГУБиЗИ и ДРР Банка России. С точки зрения здравого смысла очевидно, что анализировать качество кода нужно. Это повышает стабильность, надежность и защищенность готового продукта.
Бизнес без опасности
Законодательство
Контроль качества ПО с точки зрения ИБ становится обязаловкой?!
14
Об анализе кода я писал не раз и даже спрогнозировал в конце прошлого года, что тема эта поднимется с колен и начнет свое победное шествие по миру. И дело даже не в том, что по другому очень сложно бороться с НДВ, которое так необдуманно было вставлено в ПП-1119, а в том, что этого требует современное […]
Бизнес без опасности