Обработка и защита персональных данных: часто задаваемые вопросы

Блог компании ИТ-ГРАД


В последнее время все чаще и чаще поднимается вопрос о защите персональных данных (ПДн). Ведь федеральные законы, постановления правительства РФ обязывают защищать информацию ограниченного доступа, а в случае несоблюдения этих требований — привлекать организации к ответственности со всеми вытекающими последствиями. Для тех, кому интересна тема защиты персональных данных, мы подготовили ответы на часто задаваемые вопросы.

Читать дальше →

Облачная услуга «PCI DSS хостинг»

Блог компании ИТ-ГРАД

Количество услуг, предлагаемых облачными провайдерами, растет ежегодно. Какие-то из них востребованны, какие-то не очень, иные при определенных условиях являются обязательными. В этом посте остановимся подробнее на услуге PCI DSS хостинга (PCI DSS Compliant Hosting), которая актуальна для организаций, использующих облачную инфраструктуру, внутри которой хранятся, обрабатываются или передаются данные платежных карт. Напомним, что с середины 2012 года все организации, вовлеченные в процесс хранения, обработки и передачи данных платежных карт, должны соответствовать требованиям стандарта PCI DSS, о чем мы рассказывали в статье «Сертификация PCI DSS: часто задаваемые вопросы».

Читать дальше →

Облачный (IaaS/SaaS) сервис-провайдер и проблемы безопасности: три шага на пути предотвращения угроз

Блог компании ИТ-ГРАД

Перевод текста подготовлен по материалам сообщества CloudTech. Оригинал статьи можно посмотреть по ссылке.

Сегодня ИТ-компании всего мира сталкиваются с огромным количеством угроз в области безопасности, вне зависимости от используемой инфраструктуры — будь то традиционное окружение, инфраструктура NextGen или облачные технологии. Эксперты приводят весьма неутешительную статистику:

  • Ежедневно фиксируется около 400 000 новых вредоносных объектов.
  • Приобретают известность новые виды вредоносных программ, к ним можно отнести Ransomware, Scareware и многие другие, нацеленные в основном на банковский сектор.
  • Зачастую вектор атак направлен на публичные облака, инфраструктуру SaaS- и IaaS-провайдеров, мобильные устройства.
  • Увеличивается использование злоумышленниками так называемых ботнетов и других решений автоматизации атак.
  • Возрождаются давно забытые атаки типа Heartbleed, ShellShock и Poodle.
  • Вектор атак становится более масштабным, они влекут огромные финансовые потери. Страдают как небольшие, так и крупные, именитые компании (Sony, Target, E-bay).

Остается открытым вопрос: как сегодня облачный сервис-провайдер защищает себя и своих клиентов от всевозможных видов угроз и атак в пору использования инновационных технологий, решений удаленного доступа, а также постоянно растущих требований к производительности, масштабируемости, гибкости и эластичности?

Читать дальше →

DPI на службе облака

Блог компании ИТ-ГРАД
Как приложения для глубокого анализа трафика помогают IaaS-провайдерам
 
Введение



Тема реализации и обеспечения безопасности в последние годы не теряет своей популярности. Согласно многочисленным оценкам экспертов и сводкам аналитиков, активность различного рода угроз только возрастает. Облачные площадки хостинг-провайдеров, куда компании все чаще и чаще переносят свою инфраструктуру, становятся излюбленным объектом «нападения». Деструктивность целей очевидна: вывести из рабочего баланса жизненно важный сервис, приложение, систему, перекрыть доступ к рабочим площадкам и это далеко не всё. Именно поэтому игроки рынка облачных услуг озабочены вопросами выбора решений и технологий, способных минимизировать имеющиеся риски.

Читать дальше →

Сертификация PCI DSS: часто задаваемые вопросы

Блог компании ИТ-ГРАД


В последнее время Visa и MasterCard все более активно требуют соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий. В этой статье мы ответим на основные вопросы, которые волнуют организации, перед которыми встала задача сертификации по стандарту PCI DSS.

Читать дальше →

Защита данных в облаке: с чего начать

Безопасность
Защита данных в облакеКогда мы говорим о защите данных в облаке, то мы подразумеваем… Простого ответа на этот вопрос нет, так как он в значительной степени возникает из тех инструментов и технологий, которые используются. С точки зрения ИТ-специалистов, обилие потенциальных векторов атаки делает защиту облачных систем куда как более сложной, чем защиту традиционных систем. Но это совсем не значит, что нужно планировать защиту от всех этих факторов — при первоначальной формулировке модели угроз значительная их часть отсеивается.

Логика такова:

Во-первых, нужно понимать, какие модели защиты данных могут применяться в облаке.
Во-вторых, определиться какие из задач защиты информации будут решаться своими силами, а какие — передаваться на аутсорсинг.
И в-третьих, нужен хотя бы приблизительный список инструментов, которые будут использоваться при переносе данных в облако.

И на основе этих суждений определяются задачи, которые будут решаться — внутри компании и извне.

Читать дальше →

Интервью с администратором Silk Road 2.0

Безопасность
Silk Road 2.0Silk Road — подпольный рынок, на котором можно найти все что угодно. От марихуаны до оружия, если это производится на продажу и это нельзя найти в легальной продаже, скорее всего это можно найти там. Точнее можно было раньше — до того как ФБР арестовала человека, который, предположительно, руководил Silk Road, администрировал работу, платил за серверы и так далее. Его звали Росс Ульбрихт и сейчас он под арестом по обвинениям, которые включают заказ на убийство нескольких людей, которые распространяли конфиденциальные сведения о Silk Road и самом Ульбрихте. Можно с уверенностью утверждать, что в ближайшее время он на свободу не выйдет, особенно учитывая что ФБР получило доступ к кошельку Silk Road, который был основным источником средств Ульбрихта.

Но его дело живет. Хотя сам сайт — торговая площадка для совершения операций — был закрыт, но форумы, которые были основным местом общения сообщества, образовавшегося вокруг Silk Road остались. На этих форумах сразу нашлось несколько индивидуумов, которые пожелали заполнить образовавшийся пробел. Идея Silk Road 2.0 витала в воздухе, но ситуация была непростая.

До сих пор никто не знает как ФБР вышло на Ульбрихта. Некоторые сведения указывают на то, что он был неосторожен и допустил утечку информации, которая раскрывала его истинную личность, но многие не исключают вероятности наличия внедренных ФБР агентов среди персонала Silk Road. Паранойя царит на форумах, где не редки предположения и обвинения друг друга в работе «кротами» на правоохранительные агентства и дискуссии относительно того, какие из клонов Silk Road на самом деле приманки, созданные правоохранителями органами и наиболее эффективных способов анонимизации личности и в интернете (и все это на сайте который располагается в так называемой Dark Web — сегменте интернета который не индексируется поисковыми системами доступен только через анонимизирующую сеть TOR). Некоторые даже предполагают что ФБР не отключило серверы форумов Silk Road только для того чтобы продолжить шпионить и собирать информацию о его обитателях. И все же, некоторые собрали достаточно доверия и средств чтобы запустить рыночные процессы снова, предположительно, на этот раз с большими предосторожностями.

Ars Technica недавно взяло интервью у администратора Silk Road 2.0, который также называет себя Dread Pirate Roberts. Кстати, DPR — имя персонажа из романа The Princess Bride. Пират, который передавал свое дело по наследству другому человеку вместе с неизменным именем и личиной, который продолжал начатое им. Люди менялись но персонаж продолжал жить (на самом деле, имя так хорошо подходит сложившейся ситуации, что поневоле думаешь, уж не предвидел ли Ульбрихт свою судьбу?..). Мы попытаемся понять мотивацию и логику человека, который(ая/ые — нет никакой возможности знать, он это, она или даже один человек или группа людей) стоит за крупнейшим нелегальным интернет-рынком в мире. Что движет им? На эти вопросы попробует ответить интервью.

Читать дальше →

Прогнозы на год грядущий: исход из США, сертифицированный облачный компьютинг

Исследования и прогнозы в IT
Cloud Computing (Облачные вычисления)Различные информационные агентства предсказывали, что скандал с массовой прослушкой NSA коммуникаций как в пределах, так и за пределами США, будет иметь далеко идущие последствия, в том числе и экономические, и в том числе для экономики самих США. Назывались разные оценки того, какой ущерб будет нанесен экономике США компаниями, которые будут перемещать данные за пределы США, у облачных провайдеров, до которых NSA не сможет добраться.

Технически, впрочем, NSA может добраться до провайдера в любой точке планеты, вопрос скорее стоит в объеме усилий, которые для этого придется затратить и целесообразности этих усилий. Другое дело что с провайдерами, расположенными на территории США, вопросы “решаются” гораздо проще — применением административного и политического ресурса, противодействовать которому коммерческие организации не могут. Потому данные перемещаются в дата-центры на территории других стран, с более строгими законами по защите коммерческой тайны.

Эти предсказания уже начали воплощаться в жизнь.

Читать дальше →

Модель «клиентского шифрования» набирает популярность

Криптография
При использовании облачного приложения и хранении данных в облаке, вам приходится доверять сохранность своих данных той компании, которая предоставляет услуги, вместе со всеми вытекающими из этого рисками. Это компромисс, без принятия которого облачный компьютинг не мог бы существовать, и мы уже привыкли рассматривать его, если и не как нечто само собой разумеющееся, то как необходимое и неизбежное зло.

На протяжении некоторого времени эта схема работала без «побочных эффектов», но это время прошло. Череда взломов крупных и хорошо защищенных (по крайней мере, мы так думаем) сервисов продемонстрировала, что непреодолимой защиты не существует. Но это только часть проблемы.

Читать дальше →

Мультифакторная авторизация

Безопасность
Мультифакторная авторизацияЭтот год начался в вереницы громких взломов и компьютерных атак на крупные, популярные ресурсы известных корпораций. Реальность наших дней такова, что от атаки не застрахован никто, а уязвимости существуют везде. Чем сложнее становится интернет, тем меньше наша способность уследить за уязвимостями в разных его компонентах, а самым слабым звеном, как правило, является стык – системы авторизации. Они же зачастую становятся объектами атаки хакеров.

Похищена личность, просьба вернуть за вознаграждение


Случаи «кражи личности» пока что не так распространены, но и тех случаев, которые произошли, достаточно, чтобы озаботиться сохранностью наших личных данных в хранимых на просторах сети. Сейчас любой, чья жизнь (профессиональная карьера, заработки) накрепко связана с интернетом оставляет в нем много следов и определенную часть «себя» – цифровую идентичность, «аватар», представляющий нас в информационном пространстве.

Читать дальше →