Стратегия

Продолжаю вчерашнюю заметку про примеры отчетов/презентаций, с которыми CISO ходят на ковер к своему начальству. Напомню, что такие документы по своему уникальны и зависят от конкретной организации (от ее сферы действия, бизнес-целей, регуляторики, ожиданий руководства, взглядов CISO), но есть у них и ряд общих элементов: Изменения в ландшафте рисков

Железный занавес опускается, но иногда из-за него прорываются искры и даже лучи лучших практик в области кибербезопасности, которыми я, по мере своих сил, делюсь. На этот раз мне хотелось бы привести 8 примеров содержания отчетов, с которыми руководители ИБ ходят к своему руководству. Делают они это достаточно регулярно и, в зависимости от аудитории, с разной […

Помню в 2008-м году, проводили мы Cisco Security Summit, программа которого была поделена на два потока — бизнес- и технологии. На первом я рассказывал про различные стандарты управления ИБ, среди которых большое внимание уделил и ISM3, незаслуженно забытому стандарту оценки зрелости программы ИБ в организации, который также позволяет и выстраивать

Все знают наборы базовых защитных мер, которые предлагает ФСТЭК в своих четырех публичных (17, 21, 31v2014 и 239) и одном непубличном (31v2017) приказах или Банк России в своем ГОСТе 57580.1. У этих наборов есть один большой недостаток — назвать их базовыми все-таки язык не повернется, так как сложно отнести к таковым набор из почти двухсот […]

Есть такой вид восточных единоборств под названием ”КУДО”, которое даже признано в России и является кандидатом на включение в Олимпийские виды спорта. Как и в любом единоборстве, в кудо много философии и потаенных смыслов, которые скрываются за различными девизами, лозунгами, иероглифами и т.п. Я подумал, что у российского ИБшника тоже должно быть свое КУДО, а […

Прошло уже 3 месяца как абсолютное большинство зарубежных, преимущественно американских и европейских, производителей ИБ-решений и поставщиков ИБ-услуг прекратили свою деятельность и перед потребителями встает вопрос, вынесенный в заглавие романа Чернышевского — «Что делать?«. 26 мая довелось мне модерировать секцию , на которой мы как

На PHDays, помимо секции по open source, я еще модерировал секцию «Скандалы, интриги, расследования: как защититься от утечки данных», на которой от моих вопросов не очень активно, но отбивались компании Positive Technologies, «ИБ Реформ», НТЦ Заря, РТ-ИНФОРМ и Infowatch. Все-таки тема утечек сегодня стала с одной стороны очень и

Вчера, на PHDays 11 мне довелось модерировать круглый стол «Развитие открытого кода для решений в кибербезопасности и открытого ПО для корпоративного сектора» и уже традиционно я хотел бы поделиться ключевыми тезисами, прозвучавшими на нем, а также высказать ряд своих мыслей относительно заявленной темы. Надо сразу сказать, что open source в корпоративной ИБ —

Я неоднократно на выступлениях про безопасность облачных технологий рассказывал о том, что Cisco, являясь пользователем более 700 облачных провайдеров, не только накопила определенный опыт выбора облачного провайдера с точки зрения множества параметров, включая и ИБ, но и формализовала его в виде фреймворка, который позволяет нам, в зависимости от ценности

10 лет назад, еще до того момента, когда Крым внезапно бросился в распростертые объятия России, я написал заметку «А что если?«, в которой описал используемую часто в бизнесе деловую игру под одноименным названием (анализ «what if») или процесс моделирования оценки возможных альтернативных стратегий и рисков, с ними связанных.