Рубрика: Блоги

Упрощенный подход к оценке рисков ИБ

Существуют базовые подходы и методики оценки рисков ИБ, описанные в книгах, стандартах и многочисленных публикациях и положенные в основу сложных аналитических систем, средств автоматизации и GRC-систем. Они всем хороши, но…

Моделирование угроз по новой методике ФСТЭК. В чем загвоздка?

Старые методики оценки и моделирования угроз ФСТЭК (2007-2009 г.) постепенно утрачивали свою актуальность. Они были слишком схематичны, условны и не учитывали стремительно накапливаемого мирового опыта реализации атак на компьютерные системы.…

Архитектура GRC-систем. Часть 1

Назрела необходимость систематизировать наши знания о GRC-системах, которые все шире применяются в крупном и среднем бизнесе для автоматизации различных процессов менеджмента организации. Материал весьма обширен, поэтому его изложение придется разбить…

Management vs Governance. В чем различие?

Governance – это стратегическое управление компанией и взаимоотношениями между органами власти (собственники, акционеры, совет директоров, правление). Менеджмент – это оперативное управление компанией и взаимодействием ее структурных подразделений. Другими словами, все…

Специальные средства обеспечения ИБ для облачных вычислений

Облачные вычисления могут быть не только более эффективной с экономической точки зрения моделью обработки информации, но и более защищенной от вредоносного ПО и таргетированных атак средой. Соответствующие технологии видимо позволяют…

Компания Garmin заплатила вымогателям за расшифровку своих файлов

По сообщению компании Bleeping Computer компания Garmin получила ключи шифрования для вируса-вымогателя WastedLocker, зашифровавшего их файлы, 25 июля, через 2 дня после инцидента. Точно неизвестно сколько было уплачено за ключи,…

Надо ли доверять аттестованным ЦОД?

Некоторые дата-центы в целях отстройки от конкурентов проходят аттестацию по требованиям безопасности информации по уровням защищенности персональных данных УЗ3 или УЗ2, и предлагают компаниям размещение ИСПДн на таких площадках в…

Автоматизация процессов менеджмента информационной безопасности

Автоматизация процессов менеджмента ИБ строится на базе современных GRC-платформ. В качестве одного из возможных вариантов рассмотрим использование одного из лидирующих продуктов RSA Archer GRC в комбинации отечественной экспертной системой Protectiva…

Правовые и неправовые аспекты мониторинга контента: американский опыт

Не секрет, что в сфере информационной безопасности особое место занимает мониторинг деятельности работников, включающий в себя электронный мониторинг системных событий и мониторинг контента, порождающий ряд правовых, этических и технических проблем…

Статья по расчету окупаемости DLP-системы

Журнал “Директор по безопасности” в февральском номере опубликовал мою статью под названием “Как рассчитать окупаемость DLP-системы?”. В этой статье рассматривается использование риск-ориентированного подхода для оценки экономической целесообразности и эффективности применения…

Как решаются вопросы персональных данных в цивилизованных странах?

За словами “защита информации” неотступно следуют четыре классических вопроса: “Что?”, “Отчего?”, “Для чего?” и “Как?”. Задаваться эти вопросы должны каждый раз и именно в перечисленной последовательности, поскольку без четкого ответа…

Использование методов рационального (научного) мышления в информационной безопасности

Еще со школы у меня сохранилось смутное представление о научных принципах мышления, а также о величайшем физике Ньютоне, авторе “Математических основ натуральной философии”, который первым эти принципы сформулировал. На этих…

Замысел новой книги “Технология защиты персональных данных”

В данной книге, написанной с позиций консультанта и проектировщика систем защиты информации, впервые раскрывается весь комплекс юридических, социальных, технических и организационных проблем, связанных с защитой персональных данных в РФ и…

Использование Менеджера Соответствия «Протектива» для выполнения требований законодательства в области персональных данных

Российские безопасники уже привыкли к тому, что использование тех или иных видов СЗИ предписывается руководящими документами регуляторов. Каждое СЗИ закрывает определенную группу обязательных требований и, в совокупности с другими СЗИ,…

Оценка рисков некорректного распределения полномочий в информационных системах

В настоящей статье рассматривается использование методов оценки и обработки рисков в соответствии с требованиями международного стандарта ISO/IEC 27005:2011 для анализа рисков, связанных с некорректным распределением полномочий в приложениях и информационных…

Enable Notifications OK No thanks