Стратегия
С чем CISO ходят к своему руководству? Метрики ИБ
01.9к.
Ну что, завершаем серию заметок про то, как иностранные CISO ходят к топ-менеджменту, защищая себя, свои проекты, своих подчиненных, свои инициативы. На этот раз поговорим на мою любимую тему — о метриках, которые позволяют демонстрировать определенные достижения в области кибербезопасности. CISO из описываемых мной примеров в части применения
Бизнес без опасности
Анализ защищенностиSecOps
10 новостей об оценке защищенности
22.3к.
Сегодня я хотел написать другую заметку, посвященную SOCам, но как-то так все сложилось, что за последние несколько дней тема оценки защищенности заиграла новыми красками и набралось целых семь новостей по этой теме, которые я бы и хотел свести в рамках одной заметки. Началось все с сообщения ФСТЭК России об утверждении двух методик: программных, программно-аппаратных средств […
Бизнес без опасности
Угрозы
Крупное обновление ATT&CK — базы знаний тактик и техник злоумышленников
045
В 2016-м году я уже писал про интересный проект корпорации MITRE, известной по своим инициативам в области ИБ, самой популярной из которых является проект CVE, а также стандарты STIX и TAXII. Так вот матрица ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) по сути является базой знаний и моделью для оценки поведения злоумышленников
Бизнес без опасности
Законодательство
На деятельность пентестеров, аудиторов и SOCов требуется лицензия!
27771
15-го июня было принято новое Постановление Правительства №541, о проекте которого я уже писал в феврале и которое внесло поправки в правила лицензирования деятельности по защите информации и по разработке средств защиты информации. Я летом что-то замотался и забыл про него написать, а позавчера на SOC Forum (кстати, материалы с него уже выложили) начальник 2-го […
Бизнес без опасности
Законодательство
Новости защиты ГИС или как Барак Обама нарушил бы 17-й приказ, если бы он был российским чиновником
123
12-го февраля, во время церемонии подписания своего указа об обмене информацией об угрозах информационной безопасности, Президент США признался, что долгое время в качестве своих паролей использовал «классические» — «password» и «123457» 🙂 Нарушитель 17-го приказа ФСТЭК гражданин Барак Хуссейнович Обама Будь
Бизнес без опасности
Рефлексия
Этика пентеста или когда у пентестеров появится свой Гиппократ?
23107
Профессия пентестера достаточно молода, но уже вызывает немало споров относительно того, что и как делает пентестер в рамках тестирования защищенности систем своих заказчиков. Чем-то эта профессия сродни полицейским и врачам, которые в благих целях совершают вторжение (а местами и насилие) в жизнь своих «подопечных»
Бизнес без опасности
Рефлексия
Об этике пентестера/ИБ-аудитора
4235
Нахожусь в культурной столице нашей необъятной Родины. Общаюсь с коллегами, друзьями, заказчиками… И вот один из заказчиков поднимает интересную тему, можно даже сказать философскую. Про этику пентестера. А навеяно это было нехорошей ситуацией. Известная питерская фирма, занимающаяся аудитом, провела пентест инфраструктуры заказчика, включая и
Бизнес без опасности
Законодательство
Концепция аудита ИБ от ФСТЭК
359
Вчера я рассказал про проект РД ФСТЭК по жизненному циклу изделий ИТ в контексте информационной безопасности. Но это еще не все. В списке разработанных проектов была и концепция аудита ИБ систем ИТ и организаций. Предпосылка создания документа была описана в преамбуле: «Вместе с тем, в стране отсутствует единая система взглядов на государствен-ное
Бизнес без опасности
Стратегия
Cisco SecCon: постскриптум или почему так важен SDLC
025
Сегодня закончился второй день конференции SecCon, о которой я начал писать вчера. Основным лейтмотивом мероприятия была защита кода во всех ее проявлениях и на всех стадиях его жизненного цикла — начиная от разработки и тестирования и заканчивая обучением специалистов. При этом, как я уже писал, хотя мероприятия было рассчитано на сотрудников
Бизнес без опасности
Стратегия
Как Cisco проводит аудит безопасности собственной сети
624
Вчера на Инфобезе читал презу о том, как Cisco сама проводит аудит безопасности собственной сети. Выложил презентацию у нас в корпоративном блоге.
Бизнес без опасности