Стратегия
Продолжаю обзор практики общения иностранных CISO со своими боссами, начатую в предыдущих двух заметках (тут и тут). Сегодня у нас на очереди тема зрелости ИБ. С одной стороны, измерение уровня своей зрелости, — задача непростая. Нужна непредвзятая оценка и адекватная методология, которая бы охватывала все необходимые направления обеспечения ИБ в организации.
Продолжаю вчерашнюю заметку про примеры отчетов/презентаций, с которыми CISO ходят на ковер к своему начальству. Напомню, что такие документы по своему уникальны и зависят от конкретной организации (от ее сферы действия, бизнес-целей, регуляторики, ожиданий руководства, взглядов CISO), но есть у них и ряд общих элементов: Изменения в ландшафте рисков
Железный занавес опускается, но иногда из-за него прорываются искры и даже лучи лучших практик в области кибербезопасности, которыми я, по мере своих сил, делюсь. На этот раз мне хотелось бы привести 8 примеров содержания отчетов, с которыми руководители ИБ ходят к своему руководству. Делают они это достаточно регулярно и, в зависимости от аудитории, с разной […
Помню в 2008-м году, проводили мы Cisco Security Summit, программа которого была поделена на два потока — бизнес- и технологии. На первом я рассказывал про различные стандарты управления ИБ, среди которых большое внимание уделил и ISM3, незаслуженно забытому стандарту оценки зрелости программы ИБ в организации, который также позволяет и выстраивать
Все знают наборы базовых защитных мер, которые предлагает ФСТЭК в своих четырех публичных (17, 21, 31v2014 и 239) и одном непубличном (31v2017) приказах или Банк России в своем ГОСТе 57580.1. У этих наборов есть один большой недостаток — назвать их базовыми все-таки язык не повернется, так как сложно отнести к таковым набор из почти двухсот […]
Есть такой вид восточных единоборств под названием ”КУДО”, которое даже признано в России и является кандидатом на включение в Олимпийские виды спорта. Как и в любом единоборстве, в кудо много философии и потаенных смыслов, которые скрываются за различными девизами, лозунгами, иероглифами и т.п. Я подумал, что у российского ИБшника тоже должно быть свое КУДО, а […
Прошло уже 3 месяца как абсолютное большинство зарубежных, преимущественно американских и европейских, производителей ИБ-решений и поставщиков ИБ-услуг прекратили свою деятельность и перед потребителями встает вопрос, вынесенный в заглавие романа Чернышевского — «Что делать?«. 26 мая довелось мне модерировать секцию , на которой мы как
На PHDays, помимо секции по open source, я еще модерировал секцию «Скандалы, интриги, расследования: как защититься от утечки данных», на которой от моих вопросов не очень активно, но отбивались компании Positive Technologies, «ИБ Реформ», НТЦ Заря, РТ-ИНФОРМ и Infowatch. Все-таки тема утечек сегодня стала с одной стороны очень и
Вчера, на PHDays 11 мне довелось модерировать круглый стол «Развитие открытого кода для решений в кибербезопасности и открытого ПО для корпоративного сектора» и уже традиционно я хотел бы поделиться ключевыми тезисами, прозвучавшими на нем, а также высказать ряд своих мыслей относительно заявленной темы. Надо сразу сказать, что open source в корпоративной ИБ —
Я неоднократно на выступлениях про безопасность облачных технологий рассказывал о том, что Cisco, являясь пользователем более 700 облачных провайдеров, не только накопила определенный опыт выбора облачного провайдера с точки зрения множества параметров, включая и ИБ, но и формализовала его в виде фреймворка, который позволяет нам, в зависимости от ценности