http://www.pcisecurity.ru/blog/Информзащитаhttp://www.pcisecurity.ru/_i/blog/logo_ru.gif http://www.pcisecurity.ru/blog/post/109/ Как многим известно, Verizon SecurityBLOG публикуют серию отчетов работы комиссии Verizon’s&nbsp;Investigative Response team. За&nbsp;последние несколько лет удалось накопить информацию о&nbsp;том, кто, что, когда, <nobr>г-де</nobr>, как и&nbsp;почему организовал некоторые утечки информации и&nbsp;передать эту информацию в&nbsp;отчетах (DBIR). Трудно управлять тем, что невозможно измерить, соответственно лучше искать пути измерения критичных факторов, влияющих на&nbsp;управление безопасностью. Анализ доказательств, собранных из&nbsp;первых рук и&nbsp;описанных в&nbsp;отчетах, предлагает редкий и&nbsp;хороший шанс сделать это.</p> <a href="http://www.pcisecurity.ru/blog/post/109/"> Статья полностью → </a> Thu, 29 Jul 2010 11:51:07 +0400 http://www.pcisecurity.ru/blog/post/103/ Организация Open Web Application Security Project (OWASP) обновила список 10 самых популярных <nobr>веб-уязвимостей</nobr>. Обновленная версия находится на&nbsp;сайте <a href="http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project">owasp</a>. На&nbsp;<nobr>веб-сайте</nobr> проекта говорится следующее: <a href="http://www.pcisecurity.ru/blog/post/103/"> Статья полностью → </a> Tue, 20 Apr 2010 13:02:27 +0400 http://www.pcisecurity.ru/blog/post/95/ <P>Корпорация NCR, один из&nbsp;ведущих производителей систем самообслуживания стала первым производителем банкоматов, <A href="https://www.pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html?apg=0&vn=0&rg=0&ap=0&mn=N&dsortby=0&dsortOrder=0&appid=606">прошедшим сертификацию <NOBR>PA-DSS</NOBR></A>.</P><P>Сертифицируемый продукт APTRATM Advance NDC 3.04 позволяет использовать одно и&nbsp;то&nbsp;же приложение на&nbsp;оборудовании разных производителей, снабжен готовыми функциями для выполнения множества типов транзакций и&nbsp;платформой для быстрого внедрения новой функциональности и&nbsp;уже сейчас обрабатывает транзакции в&nbsp;более чем 150&nbsp;000 банкоматах, которыми пользуются более 2&nbsp;000 финансовых организаций, что делает его одной из&nbsp;самых популярных платформ для систем самообслуживания в&nbsp;мире.</P> <P>Прохождение сертификации <NOBR>PA-DSS</NOBR> в&nbsp;первую очередь говорит о&nbsp;заинтересованности NCR в&nbsp;обеспечении безопасности своих клиентов и&nbsp;заботе о&nbsp;партнерах, которым предстоит проходить сертификацию по&nbsp;стандарту PCI DSS.</P> <P><NOBR>PA-DSS</NOBR> (Payment Application Data Security Standard)&nbsp;— стандарт безопасности платежных приложений, направленный на&nbsp;поддержку выполнения требований стандарта PCI DSS. По&nbsp;требованиям международных платежных систем все тиражируемые приложения, участвующие в&nbsp;обработке транзакций авторизации или проведения расчетов по&nbsp;пластиковым картам (authorization или clearing/settlement), должны быть сертифицированы по&nbsp;стандарту <NOBR>PA-DSS</NOBR>.<BR>Информзащита является первой российской компанией, получившей право проводить аудит платежных приложений на&nbsp;соответствие требованиям стандарта <NOBR>PA-DSS</NOBR>.</P> <p><A href="http://www.ncr.com/about_ncr/media_information/news_releases/2009/september/091509a.jsp">Источник</A></p>Sat, 21 Nov 2009 12:09:33 +0300 http://www.pcisecurity.ru/blog/post/94/ <P>Организация Open Web Application Security Project выложила в свободный доступ на своем <A href="http://www.owasp.org/">сайте</A> новую версию списка десяти наиболее актуальных угроз безопасности web-приложений.</P> <P>Предварительная версия 2009 года включает в себя следующие угрозы: <UL> <LI>A1 Injection</LI> <LI>A2 Cross Site Scripting</LI> <LI>A3 Broken Authentication and Session Management</LI> <LI>A4 Insecure Direct Object References</LI> <LI>A5 Cross Site Request Forgery</LI> <LI>A6 Security Misconfiguration</LI> <LI>A7 Failure to Restrict URL Access</LI> <LI>A8 Unvalidated Redirects and Forwards</LI> <LI>A9 Insecure Cryptographic Storage</LI> <LI>A10 Insufficient Transport Layer Protection</LI></UL> <P></P> <P>Таким образом 2-а пункта: <UL> <LI>Malicious file execution</LI> <LI>Information leakage and improper error handling</LI></UL>Были заменены на: <UL> <LI>Security misconfiguration (этот пункт уже присутствовал в OWASP top ten 2004, но был убран из версии 2007 года)</LI> <LI>Unvalidated redirects and forwards</LI></UL> <P></P> <P>Согласно стандарту PCI DSS версии 1.2 требования 6.5, предъявляемые к разработке web-приложений, необходимо оценивать основываясь в первую очередь на актуальную версию OWASP top 10. (The vulnerabilities listed at 6.5.1 through 6.5.10 were current in the OWASP guide when this version of PCI DSS was published. However, if and when the OWASP guide is updated, the current version must be used for these requirements).</P> <P><A href="http://www.owasp.org/index.php/File:OWASP_T10_-_2010_rc1.pdf">Скачать OWASP Top10 2010 RC1</A></P>Mon, 16 Nov 2009 22:31:30 +0300 http://www.pcisecurity.ru/blog/post/93/ <p>Компания Diebold представила решение ValiTech&nbsp;&mdash; технологию двухфакторной идентификации с&nbsp;использованием <nobr>USB-устройств</nobr>, способных идентифицировать и&nbsp;авторизовать действия технического персонала.</p> <a href="http://www.pcisecurity.ru/blog/post/93/"> Статья полностью → </a> Thu, 05 Nov 2009 14:04:46 +0300