пятница, 16 мая 2014 г.

Safe Game.

Одной из важных проблем в обеспечении  безопасности информационных систем является качество программного кода сервиса или продукта с точки зрения безопасности сервиса для информационной системы.

Что такое безопасность прикладного программного продукта или сервиса? Это в первую очередь отсутствие возможностей с использованием программного продукта обойти правила и ограничения информационной системы пользователя. Другим важным элементом является отсутствие возможностей у пользователя изменить логику работы программы непредусмотренным автором способом, позволяющим получить доступ к данным в обход имеющимся системам разграничения доступа или повлиять на работоспособность системы в целом.

К сожалению, идея написания безопасного кода никогда не была приоритетной в большинстве software компаний.

Совместно с кадровым агентством Сухорукова мы придумали устроить соревнования программистов по безопасному программированию. Пока мы её попытаемся реализовать в рамках работы Новосибирской Positive Hack Day 21 и 22 мая.

Суть соревнования заключается в том, что мы предоставляем участнику предустановленный web-сервер с php и sql-базой. В день соревнования участникам выдаётся задание на 3 часа по программированию некоего web-сервиса, например, форума или динамической страницы. Победитель определяется среди участников реализовавших наиболее полно конкурсное задание и чей код содержит наименьшее количество уязвимостей.

Мы планируем не ограничивать участников в использовании сторонних библиотек и решений.

Зарегистрироваться для участия в соревновании можно здесь

суббота, 18 мая 2013 г.

Хакспейс в Новосибирске.



Несколько слов о месте где будет хакспейс PHD III. Мне удалось договориться с Новосибирским академпарком о размещении на их территории хакспейса. Фактический мне удалось вклинится в предпринимательский конкурс БИТ-Сибирь, который стартует 20 мая и итоги будут подводиться на следующий день после PHD.
Сам академпарк – это комплекс современных зданий на территории Новосибирского научного центра. Академгородок очень интересное и красивое место, а в технопарке собрались неординарные люди. Даже интересно, что получится если объединить технопарк и хакерское сообщество.
Регистрация на мероприятие здесь. Участие бесплатно.
Ну и несколько фотографий.
Площади IT инкубатора.

Вид на кафе в инкубаторе.

Оригинальные знаки:





пятница, 17 мая 2013 г.

Хакспейс в Новосибирске


Компания ООО «СИБ» 23-24 мая организует в г. Новосибирск хакспейс Positive Hacker Days 
В планах:
1. Проведение Новосибирского CFT для начинающих команд. 
2. Проведение мини конференции по вопросам безопасности, но в смежных с PHD mainstream областях. Уже подтверждены доклады по защите авторского права на примере спора Apple и Samsung и рассказ о методах конкурентной разведки в social media.
3. Проведем хакерский QUIZ. Что это такое расскажу позже.

И конечно же у нас будет 6 площадок с самого мероприятия, свободный WiFi и конкурсы от компании Positive Technolohies 

Участие бесплатное. Необходима регистрация, потому, что мы планируем организовать обеды для участников.

пятница, 22 февраля 2013 г.

Про «бумажную» и не очень безопасность.


Взято с http://www.startmyripple.com/why-you-should-make-document-shredding-a-regular-part-of-business/
Когда в  начале и середине 90-х я начинал изучать информационную безопасность вопрос человеческого фактора в комплексной системе информационной безопасности не рассматривался в принципе.  В какие-то моменты времени складывалось впечатление, средства защиты информации развились настолько, что стало дешевле купить человека, чем преодолевать механизмы защиты.
После этого появился ряд международных стандартов уделявших особое внимание работе с персоналом. И слова с которых начинались выступления на конференциях в начале 90-х: «проблема безопасности требует комплексных решений» стали воплощаться в жизнь, в начале в виде непонятной многим «политики безопасности», а потом на основе полученного опыта в виде системы регламентирующих документов.
Очевидно, что неизбежно разделение на практиков и теоретиков. Это естественный процесс. Но необходимо понимание, что безопасность так и осталась комплексной проблемой требующей соответствующего решения.
Думаю, что специалист по информационной безопасности 10-х годов XXI века должен демонстрировать хорошие компетенции на стыке IT, права и психологии. В реальной жизни на объекте пользы мало от чистого «теоретика» и чистого хакера. Это при разговоре с потенциальным заказчиком демонстрация уязвимости его системы хороша. Но хакер бесполезен, когда отдел маркетинга при планировании PR акций сливает всю конфиденциальную информацию, включая know-how подрядчику. Так же как бесполезны тонны инструкций, если ядром сети управляет нечистый на руку оутсорсер или на систему не ставятся критические update. 

понедельник, 11 февраля 2013 г.

Студенческая конференция.


В апреле Новосибирский Государственный Университет в 51-й раз проводит Международную научную студенческую конференцию "Студент и научно-технический прогресс". Как член оргкомитета, приглашаю школьников (есть секция для школьников), студентов и аспирантов всех исследовательских направлений принять участие в конференции. 
Последние пять лет я был председателем подсекции "Защита информации". В этом году пока не утвердили, но студентам и аспирантам, которые работают со мной или проходят производственную практику в моей организации участие в конференции обязательно.
Ссылки:

воскресенье, 10 февраля 2013 г.

Правовое поле


В процессе подготовки к выступлению на клубе IT директоров по проблеме безопасности и подготовке к круглому столу «ИБ АСУ ТП КВО» пришлось за короткое время проштудировать большое количество НПА по информационной безопасности. В ходе работы сложилось ощущение, что правовое поле меняется. Особенно это заметно, когда сопоставляешь НПА начала века и двух-трех летней давности. Есть ощущение смены парадигмы и людей. 
Учитывая особенности контролирующих органов и  инерционность законодателя динамика неожиданно стала вызывать положительные эмоции.

пятница, 16 ноября 2012 г.

Постановление 1119


Постановление не однозначно... Комментировать без документов ФСТЭК и ФСБ не вижу смысла. Но ожидания самые не радужные, особенно учитывая, что документы обещают уже к началу декабря.
Коллеги уже высказались о новом документа, для подтверждения неоднозначности сошлюсь на Алексея Лукацкого и Михаила Емельянникова.
От себя добавлю картинку, которая говорит о многом, почти как «Квадрат Малевича».