The National Institute of Standards and Technology has issued SP-800-39, "Managing Risk from Information Systems: An Organizational Perspective."
Comments on this draft are accepted until December 14, 2007.
REPLY-TO-ALL is a double language blog (English/Russian) run by three information security practitioners. Want to discuss information security problems? This is the place.
Wednesday, October 31, 2007
Wednesday, October 24, 2007
Терроризм? Какой терроризм?
Понятие "терроризм" прочно вошло в нашу жизнь. И характеризуется это не столько частыми терактами, сколько тенденцией называть терроризмом все подряд. Апофигеем этого была (случайно) подслушанная за обедом фраза "...врезалась в столб и загорелась машина, иномарка. Но не крутая, так что я не думаю что это теракт...". Такими темпами мы скоро терроризмом будем называть все подряд. Подорожало масло? - это просто террористы заразили крупный рогатый скот птичьим гриппом.
А если серьезно, то такая тенденция объясняется достаточно просто. Кому это выгодно? Хорошенько припугнув с помощью масс медиа население терроризмом, можно под это дело выделять огромные бюджеты, делать борьбу с терроризмом лозунгом политической кампании, принимать авторитарные законы. Именно это и происходит сейчас в США, России и, без сомнения, в целом ряде других стран. А тем временем от сердечных приступов и автокатастроф гибнет ежегодно на несколько порядков больше людей, чем от терроризма. Есть над чем задуматься...
А если серьезно, то такая тенденция объясняется достаточно просто. Кому это выгодно? Хорошенько припугнув с помощью масс медиа население терроризмом, можно под это дело выделять огромные бюджеты, делать борьбу с терроризмом лозунгом политической кампании, принимать авторитарные законы. Именно это и происходит сейчас в США, России и, без сомнения, в целом ряде других стран. А тем временем от сердечных приступов и автокатастроф гибнет ежегодно на несколько порядков больше людей, чем от терроризма. Есть над чем задуматься...
Monday, October 22, 2007
Standard of Good Practice Updated
Information Security Forum released updated "Standard of Good Practice". It is aligned with ISO 27000 series and provides excellent guidelines. More information here.
Friday, October 19, 2007
The Other Side Of Compliance
Yesterday I was thinking about Big Brother and privacy… It is proved historically that systems like ECHELON won’t have success mainly because even if was possible to collect and store such amount of data, it’s tremendously difficult to analyze this data or somehow use it.
I asked myself: ‘What can I do if I still need to collect, store and use this data?’ The answer was obvious – let’s a collect and store data not in one central place, but in place of origination. To my mind, it’s really easier to process a number of small databases than one huge database.
How government agencies can force companies store desired amount of data for desired period of time and process that data in predefined way? The answer is obvious again – let’s make a number of regulations and make everybody comply with them.
Finally, special agency with power to take collected records – that’s all I would have needed.
So, what are the pros and cons?
Pros:
- No need to employ staff who will support huge DB, the will be ‘outsourced’.
- No need to store somewhere that DB, and I don’t need to invent systems to collect the data.
- ….
- Well, nothing is required – just write standard to comply with.
Cons:
- No ability to correlate data between Companies to see general picture… But it isn’t 100% so.
Tuesday, October 2, 2007
The Computer Virus Story Starts Over Again
Very nice. It seems like we have good old problems with obfuscating/mutating malicious code, now in VBScript/JavaScript: SANS: Anti Virus industry and VBScript/JavaScript detection. OK, what about mutating macro viruses, Windows PowerShell viruses, etc.? Looks like we are playing the game over and over again. Antivirus software needs code normalization capability for every possible malicious code environment.