Проведение обучения, тренировок и тестирования ИТ-планов (NIST SP 800-84)

Проведение обучения, тренировок и тестирования ИТ-планов (NIST SP 800-84)

Руководство по программам проведения обучения, тренировок и тестирования ИТ-планов. (Ключевые моменты)  NIST Special Publication 800-84. Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities.   1. Введение. 2. Создание программы тестирования и обучения. ИТ-планы организации необходимо поддерживать […]

далее

Перечень нормативной документации в области информационной безопасности (по состоянию на 01.10.2014)

Перечень нормативной документации в области информационной безопасности (по состоянию на 01.10.2014)

Законы: Закон Республики Беларусь «О техническом нормировании и стандартизации» от 5 января 2004 г. N 262-З. Закон Республики Беларусь «Об оценке соответствия требованиям технических нормативных правовых актов в области технического нормирования и стандартизации» от 5 января 2004 г. N 269-З. […]

далее

Принципы реализации функций безопасности информационных технологий (NIST SP 800-27 Rev A)

Принципы реализации функций безопасности информационных технологий (NIST SP 800-27 Rev A)

Принципы реализации функций безопасности информационных технологий (Ключевые моменты) NIST Special Publication 800-27 Rev A. Engineering Principles for Information Technology Security (A Baseline for Achieving Security).   1. Введение. 2. Предпосылки. 2.1. Generally Accepted Principles and Practices for Securing Information Technology […]

далее

Программа управления обнаружением и устранением уязвимостей (NIST SP 800-40 v. 2.0)

Программа управления обнаружением и устранением уязвимостей (NIST SP 800-40 v. 2.0)

Разработка программы управления обнаружением и устранением уязвимостей. (Ключевые моменты)  NIST Special Publication 800-40 Version 2.0. Creating a Patch and Vulnerability Management Program.   1. Введение. 2. Процесс управления уязвимостями и обновлениями. В этом разделе рассматривается системный подход к управлению обнаружением […]

далее

CWE-306: Отсутствие аутентификации для критической функции

CWE-306: Отсутствие аутентификации для критической функции

Характеристика уязвимости Распространенность уязвимости Общая Последствия Обход защиты Стоимость восстановления От низкого до высокого Простота обнаружения Умеренная Частота атаки Иногда Осведомлённость атакующего Высокая   Описание ошибки: ПО не проводит аутентификации для выполнения функций, которые требуют подтверждения личности пользователя или потребляют […]

далее