Search results for category: риск

В настоящей статье рассматривается использование методов оценки и обработки рисков в соответствии с требованиями международного стандарта ISO/IEC 27005:2011 для анализа рисков, связанных с некорректным распределением полномочий в приложениях и информационных системах.

Журнал "Директор по безопасности" в февральском номере опубликовал мою статью под названием "Как рассчитать окупаемость DLP-системы?". В этой статье рассматривается использование риск-ориентированного подхода для оценки экономической целесообразности и эффективности применения средств защиты информации, на примере систем предотвращения утечки информации (DLP-систем).

Вторая редакция книги "Искусство управления информационными рисками" будет по другому называться, лучше выглядеть, превосходить первую редакцию по объему в два раза и в магазине ее будет проще отыскать.

Провозглашаемый международными стандартами риск-ориентированный подход к управлению информационной безопасностью зачастую не работает из-за неумения оценивать риски ИБ. Рассмотрим какие типичные проблемы обычно здесь возникают у неопытных специалистов и в "недозревших" компаниях.

Одно из моих любимых онлайн изданий по ИТ безопасности SC Magazine в прошлом году опубликовало результаты тестирования девяти очень интересных программных продуктов, предназначенных для автоматизации процессов управления рисками информационной безопасности, ни один из которых мне никогда раньше не встречался.

Решил отметиться на страницах профессиональных изданий, пишущих об информационной безопасности, опубликовав несколько статей и глав из своей книги. Это будет способствовать популяризации и книги и наших интернет ресурсов.

На фоне всеобщей истерии по поводу ФЗ-152 "О персональных данных" ни у заказчиков ни у исполнителей порой не хватает времени, на решение действительно важных вопросов информационной безопасности. Появилось большое количество специалистов - защитников персональных данных и сайтов, посвященных данной тематике. Крупнейшие операторы ПД буквально засыпаны многомиллионными коммерческими предложениями.

Почему посещая службы информационной безопасности в организациях, например, с очередным аудитом, нельзя обнаружить ни реестра информационных рисков ни плана их обработки? Ответ очевиден. Потому что эти службы не управляют рисками ИБ, а занимаются они тем, чем и должны заниматься: расследуют инциденты, управляют доступом, контролируют защищенность, фильтруют почту, борются с вредоносным ПО и т.п.

Мы уже не первый год обучаем специалистов и руководителей методам оценки рисков информационной безопасности, позволяющим принимать адекватные и экономически обоснованные решения, а также оценивать эффективность (в том числе и экономическую) деятельности службы ИБ. Однако сами руководители ИБ далеко не всегда заинтересованны в экономически оправданной безопасности и объективной оценке экономического эффекта их деятельности.

Никогда не любил конференции и выставки по информационной безопасности, вернее их официальную часть, т.к. меня всегда при этом сопровождает четкое ощущение напрасно затрачиваемого времени.