моделирование угроз
А я продолжу тему, начатую вчерашней заметкой про customer journey map. Вчера я делал фокус больше на продуктовой части, когда мы изучаем, как ведет себя пользовать, работая с конкретным решением (например, средством защиты) или системой (например, ДБО), но CJM позволяет смотреть на путь клиента шире — начиная с момента, когда клиент только задумался о том, […
Почти месяц не публиковал дайджест новинок законодательства по ИБ, но это не потому, что наши законодатели не радовали нас ничем интересненьким; как раз наоборот. Пока мой прогноз о том, что каждый рабочий день появляется что-то новое, сбывается на все сто. Итак почти три десятка законодательных новаций, которые либо приняты, либо будут приняты в обозримом будущем: […
10 лет назад, еще до того момента, когда Крым внезапно бросился в распростертые объятия России, я написал заметку «А что если?«, в которой описал используемую часто в бизнесе деловую игру под одноименным названием (анализ «what if») или процесс моделирования оценки возможных альтернативных стратегий и рисков, с ними связанных.
Ну что, коллеги, похоже 2022-й год вновь может стать годом персональных данных, если все задуманные инициативы наших законодателей будут реализованы. И хотя я когда-то написал, что больше не буду заниматься темой ПДн ввиду ее хаотического и совершенно непредсказуемого развития, но, видимо, придется сдуть пыль с этой темой и вновь начать за ней следить более пристально, […
Часть ресурсов, на которых опубликованы нормативно-правовые акты, в данный момент недоступны по причине организации на них кибератак. Банк России Указание от 08.11.2021 №5986-У «О внесении изменений в Указание Банка России от 8 октября 2018 года N 4927-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций
Методике оценки угроз я решил посвятить отдельную заметку, продолжающую рассказ о конференции ФСТЭК. Все-таки я достаточно активно критиковал этот документ и мне интересно, что получится после внесения изменений, которые и были озвучены в докладе Ирины Гефнер из ФСТЭК. Для начала стоит отметить, что ФСТЭК за прошлый год рассмотрела около 700 моделей
Правительство подготовило “О внесении изменений в постановление Правительства Российской Федерации от 10 июля 2017 г. № 816 “О порядке регистрации радиоэлектронных средств и высокочастотных устройств государственных органов и организаций, используемых для нужд органов государственной власти, для нужд обороны страны, безопасности государства и обеспечения
Любой Топ10 техник злоумышленников — это всегда палка о двух концах. С одной стороны ты можешь приоритизировать свои усилия по защите, проверить, покрываются ли нужные источники телеметрии средствами мониторинга, проверить защитные меры. А с другой — ты можешь стать заложником этого Топа, забыв про контроль других техник, которые для тебя
В первом квартале 2022 года ФСТЭК обещала обновить свою методику оценки угроз и все мы с нетерпением ждем этого события. А пока я предлагаю проверить, насколько хорошо вы знакомы с подходами к моделированию угроз и взглядом российского законодательства на эту тему. Мне кажется это будет хорошим завершением календарного года и плавным переходом от полезного поста […
Как вы знаете, в сентябре этого года я делал перевод названий техник и тактик нарушителей из матрицы MITRE ATT&CK на русский язык с последующим их маппингом в техники выпущенной в феврале методики оценки угроз ФСТЭК. В октябре MITRE выпустила новую, 10-ю версию своей матрицы, которую я также обещал проанализировать и обновить свои сентябрьские документы. А […