Последние сообщения в блогах
Операции с документом
Упрощенный подход к оценке рисков ИБ
Существуют базовые подходы и методики оценки рисков ИБ, описанные в книгах, стандартах и многочисленных публикациях и положенные в основу сложных аналитических систем, средств автоматизации и GRC-систем. Они всем хороши, но слишком сложны и дороги. Существует также не в чем не противоречащий им упрощенный поход к оценке рисков ИБ, который в том или ином виде и применяется в реальной практике. Рассмотрим как легко и изящно этот упрощенный подход реализуется в экспертной системе Protectiva Risk Manager.
Моделирование угроз по новой методике ФСТЭК. В чем загвоздка?
Старые методики оценки и моделирования угроз ФСТЭК (2007-2009 г.) постепенно утрачивали свою актуальность. Они были слишком схематичны, условны и не учитывали стремительно накапливаемого мирового опыта реализации атак на компьютерные системы. В нынешнем 2021 году им на смену пришла новая Методика оценки угроз, кардинально отличающаяся от предыдущих. Но и с ней не все так гладко, как хотелось бы.
Management vs Governance. В чем различие?
Governance - это стратегическое управление компанией и взаимоотношениями между органами власти (собственники, акционеры, совет директоров, правление). Менеджмент - это оперативное управление компанией и взаимодействием ее структурных подразделений. Другими словами, все процессы и взаимоотношения на уровне генерального директора (президента) и выше - это Governance. Все, что ниже этого, - это Менеджмент.
Архитектура GRC-систем. Часть 1
Назрела необходимость систематизировать наши знания о GRC-системах, которые все шире применяются в крупном и среднем бизнесе для автоматизации различных процессов менеджмента организации. Материал весьма обширен, поэтому его изложение придется разбить на несколько частей. В первой части рассмотрим основные понятия, связанные с GRC-системами и их архитектурой. В последующих частях планируется освещать прикладные аспекты, связанные с внедрением и использованием GRC-систем, включая проектирование модели функционирования процессов менеджмента, настройка и адаптация GRC-платформы под задачи конкретной организации, интеграцию GRC-систем с различными средствами управления и обеспечения ИБ. Чтобы не быть голословными, рассмотрим и несколько актуальных примеров SGRC-систем.
Компания Garmin заплатила вымогателям за расшифровку своих файлов
По сообщению компании Bleeping Computer компания Garmin получила ключи шифрования для вируса-вымогателя WastedLocker, зашифровавшего их файлы, 25 июля, через 2 дня после инцидента. Точно неизвестно сколько было уплачено за ключи, но первоначальное требование операторов WastedLocker составляло сумму $10 млн.
Зеркало этого блога на https://protektiva.blogspot.com/
Для удобства коммуникаций создано зеркало этого блога по адресу https://protektiva.blogspot.com/. Туда дублируются все посты.
Надо ли доверять аттестованным ЦОД?
Некоторые дата-центы в целях отстройки от конкурентов проходят аттестацию по требованиям безопасности информации по уровням защищенности персональных данных УЗ3 или УЗ2, и предлагают компаниям размещение ИСПДн на таких площадках в качестве панацеи от требований регуляторов и ответственности за защиту ПДн. В нашей практике приведения организаций в соответствие с требованиями 152-ФЗ подобные ситуации встречаются регулярно. В связи с этим, прокомментирую вопрос о том, в какой степени операторам ПДн и прочим владельцам ИС стоит доверять аттестованным ЦОД и что при этом надо учесть.
Автоматизация процессов менеджмента информационной безопасности
Автоматизация процессов менеджмента ИБ строится на базе современных GRC-платформ. В качестве одного из возможных вариантов рассмотрим использование одного из лидирующих продуктов RSA Archer GRC в комбинации отечественной экспертной системой Protectiva Compliance Manager. Архитектуру подобных систем и технические детали оставим для отдельной публикации, а пока ограничимся функциональным описанием.
Правовые и неправовые аспекты мониторинга контента: американский опыт
Не секрет, что в сфере информационной безопасности особое место занимает мониторинг деятельности работников, включающий в себя электронный мониторинг системных событий и мониторинг контента, порождающий ряд правовых, этических и технических проблем для работодателя. Такие проблемы существуют во всех демократических странах. Несмотря на то, что в одной статье нельзя раскрыть все аспекты данной непростой темы, авторы постарались охватить многие существенные вопросы, включая законодательство, лучшие практики и «подводные камни», на примере США.
Вечная поэзия (offtop)
Жизнь такова, какова она есть и больше - никакова; Быть знаменитым некрасиво; Я не любил уж много лет...
Формула ЗОЖ (offtop)
Здоровый образ жизни, ЗОЖ — образ жизни человека, направленный на сохранение здоровья, профилактику болезней и укрепление человеческого организма в целом. Любые искренние излияния обязательно включают в себя пожелание человеку крепкого здоровья. Все согласны с тем, что здоровье в первую очередь, что это самое важное. Все примерно себе представляют от каких основных факторов зависит состояние здоровья и каким образом можно на эти факторы влиять (ну очень примерно). Я решил на досуге проанализировать эти факторы и вывести свою формулу здоровья - формулу ЗОЖ.
Актуальные вопросы определения места совершения киберпреступления
О моей статье посвященной вопросам определения места совершения киберпреступления
Инфофорум 2019
О моем посещении Инфофорума 2019.
Замысел новой книги "Технология защиты персональных данных"
В данной книге, написанной с позиций консультанта и проектировщика систем защиты информации, впервые раскрывается весь комплекс юридических, социальных, технических и организационных проблем, связанных с защитой персональных данных в РФ и в мире. Проблемы защиты ПДн, прав субъектов и прав операторов ПДн, а также имеющиеся между ними противоречия, не только подробно описываются, но также определяются конкретные организационно-технические методы и подходы к решению обозначенных проблем. Книга будет полезна широкому кругу читателей, включая сотрудников операторов ПДн и контролирующих органов, консультантов и проектировщиков систем защиты ПДн, службы информационной безопасности организаций, ответственных за обработку и защиту ПДн в организациях, а также граждан РФ, являющихся субъектами ПДн.
Использование методов рационального (научного) мышления в информационной безопасности
Еще со школы у меня сохранилось смутное представление о научных принципах мышления, а также о величайшем физике Ньютоне, авторе "Математических основ натуральной философии", который первым эти принципы сформулировал. На этих принципах построено все здание современной естественной науки. Но моя естественная наука закончилась в институте, а дальше началась реальная жизнь с ее (ненаучными) гуманитарными дисциплинами и иррациональными способами мышления, которые повсюду меня окружали. Методы научного мышления в реальной жизни стали сдавать свои позиции, а мое представление о методе Ньютона сильно потускнело, так что пришлось прибегать к Википедии, чтобы это вспомнить.
Использование Менеджера Соответствия «Протектива» для выполнения требований законодательства в области персональных данных
Российские безопасники уже привыкли к тому, что использование тех или иных видов СЗИ предписывается руководящими документами регуляторов. Каждое СЗИ закрывает определенную группу обязательных требований и, в совокупности с другими СЗИ, обеспечивает соответствие информационных систем организации требованиям законодательства и нормативной базы в области защиты информации. Однако обеспечение соответствия в области ИБ не сводится только к использованию определенного набора СЗИ. Процесс управления соответствием включает в себя планирование, обеспечение и поддержание, периодически плановый и внеплановый контроль, формирование отчетности о соответствии и подтверждение соответствия. Решение этих задач может быть обеспечено специальным классом автоматизированных средств - менеджерами соответствия (compliance manager).
Руководство по созданию Центров ГосСОПКА и Центров мониторинга инцидентов ИБ. Кому, зачем и почему это надо? Часть 1
Мы начинаем серию постов, посвященных созданию Центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и Центров мониторинга инцидентов информационной безопасности. В этой вводной части мы расскажем о том, кому, зачем и почему необходимо заниматься созданием центров мониторинга, ответим на наиболее часто задаваемые вопросы тех, кто только знакомится с данной тематикой.
Оценка рисков некорректного распределения полномочий в информационных системах
В настоящей статье рассматривается использование методов оценки и обработки рисков в соответствии с требованиями международного стандарта ISO/IEC 27005:2011 для анализа рисков, связанных с некорректным распределением полномочий в приложениях и информационных системах.
Современная ситуация по мониторингу информационной безопасности в РФ и Мире
Анализ ежегодного отчета по информационной безопасности компании Verizon за 2017 год показывает, что, несмотря на некоторые колебания по отраслям, целям и способам проведения компьютерных атак, общее количество киберпреступлений остается примерно одинаковым. Таким образом, обеспечение защиты информационных систем и ресурсов по-прежнему остается важнейшей задачей и головной болью их владельцев.
