Стратегия

BSIMM (The Building Security In Maturity Model) — это документ, помогающий понять и спланировать инициативы по безопасности разрабатываемого ПО. На прошлой неделе была анонсирована новая редакция модели зрелости BSIMM v1.5, которую можно свободно скачать с сайта авторов.

Эту статью постигла непростая судьба. Она была отослана в издательство более полугода назад 😉  Но ввиду ее размера с ней была произведена операция обрезания и она сократилась примерно втрое (изначально было около 30-ти страниц). Посвящена она архитектуре информационной безопасности — теме нечастно возникающей в прессе и на конференциях.

Сегодня у меня два выступления на InfoSecurity Russia 2009. Первое из них посвящено тематике Security Governance. Очень сложно за 10-15 минут осветить эту непростую тему. Поэтому я сконцентрировался на ключевых концепциях. Как в пылу борьбы за C и R, не забыть про G View more documents from lukatsky. PS. На прошлогодней InfoSecurity Russia 2008 я […]

Вот интересно, кто из читателей блога, знает, что такое «куб МакКамбера» (McCumber cube)? Это понятие появилось еще в 91-м году и оно определяет целостную модель для информационной безопасности, описанную Джоном МакКамбером. Суть этой концепции достаточно проста — три измерения куба отображают три ключевых направления ИБ: цель безопасности (классическая триада —

Национальный институт стандартизации США выпустил интересный документ (пока проект) — NIST SP 800-65 «Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process». И хотя документ ориентирован на американские госсорганы, обязанные выполнять требования FISMA, он может быть полезен и у нас.

Все помнят Радужную серию, отдельные книги которых описывали, как оценивать защищенность отдельных компьютеров и даже сетей. На их основе родились наши руководящие документы ФСТЭК. Потом появились «Общие критерии». Пожалуй, это все формализованные методы оценки распределенных информационных систем, которые мы знаем.

В курсе по измерению эффективности ИБ я рассматриваю множество различных методов оценки эффективности ИБ. Один из них — оценка на соответствие стандарту. В качестве примера рассматривается несколько принятых в России стандартов и один из них PCI DSS. Помимо достоинств у данного метода есть и несколько недостатков. Один их них —

Я уже писал, что в ИБД АРБ читаю курс по измерению эффективности ИБ. Урезанную версию этого курса, которую я читал на днях на одном из семинаров, я и выкладываю. В ней многие аспекты данной темы не раскрыты, а часть вообще отсутствует (все-таки вместить в 30 минут многочасовую презентацию не просто), но общее впечатление от данного […]

Совершенно забыл выложить эту презентацию, прочитанную в апреле. Посвящена она понятию «архитектура ИБ» применительно к банку или страховой компании. Finance Security Architecture View more presentations from lukatsky. ЗЫ. В основу этой презентации лег курс «Архитектура и стратегия информационной безопасности»

Чтобы место не пустовало, решил выложить свою презентацию, которую я читал в Китае. Посвящена была тому, что делать служдам ИБ в условиях кризиса. Отчасти она уже включает в себя презентации, которые я тут выкладывал, но есть и новые разделы. Security And Crisis View more presentations from lukatsky. ЗЫ. В конце немного рекламы моего работодателя. Издержки […