риски
На днях в Сиднее компания Gartner, которую многие уже начинают забывать, провела в австралийском Сиднее свой очередной Security & Risk Management Summit. Я в прогнозы Gartner давно не верю (уж очень часто они не сбывались), но есть среди озвученных предположений, которые были , несколько интересных тем, которые стоят того, чтобы о них хотя бы подумать. […
Знаете ли вы, что такое риск информационной безопасности? Если посмотреть на один из документов в области, а именно на ГОСТ 57580.3 «Управление риском реализации информационных угроз и обеспечение операционной надежности», то это: Возможность реализации информационных угроз (в совокупности с последствиями от их реализации), которые обусловлены
Я думаю, вы видели классическую формулу, используемую при оценке рисков ИБ, которая путешествует из презентации в презентацию, из стандарта в стандарт: РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ Если эксперты хотят блеснуть эрудицией, то они иногда еще говорят, что эта формула определяет математическое ожидание функции потерь вследствие принятия или непринятия неких решений.
Зашел у меня тут разговор с коллегами, которые работают в государственном секторе, про недопустимые события (НС). С самим термином вроде уже потихоньку многие смирились и логика его появления стала более понятной. Но вот, как их определять, до сих пор вызывает вопросы, основной из которых звучит так: Пусть Минцифры даст нам список недопустимых событий и мы […
Наткнулся я тут на об американском рынке киберстрахования и мне показалась она достаточно интересной, чтобы тезисно ее пересказать. Автор пишет, что в отличие от страхования жизни и жилья, зародившегося в конце 1700-х годах, и страхования автомобилей, появившегося в конце 1800-х, страхование киберрисков возникло только в 1997-м году и к этому сегменту
Не знаю, замечали ли вы шумиху, которая поднялась последнее время вокруг искусственного интеллекта? Дошло до абсурда. На Финнополисе мэр Москвы Сергей Собянин предположил, что тех, кто будет развивать ИИ, могут разбомбить так же, как это было с Ираком, решившим развивать ядерные вооружения. Собянину вторил Герман Греф, который рассказал, что когда зашла речь о создании в […
Регулярно слышу вопросы и сомнения относительно термина «недопустимые события«, которые использует в своей риторике Positive Technologies. Многие противники считают, что не надо вводить новые сущности без необходимости и уже известных терминов «угроза» и «риск» вполне достаточно. Мне хотелось бы немного порассуждать на эту тему.
Продолжаю вчерашнюю заметку про примеры отчетов/презентаций, с которыми CISO ходят на ковер к своему начальству. Напомню, что такие документы по своему уникальны и зависят от конкретной организации (от ее сферы действия, бизнес-целей, регуляторики, ожиданий руководства, взглядов CISO), но есть у них и ряд общих элементов: Изменения в ландшафте рисков
Мобилизация мобилизацией, а законодательство по ИБ продолжает приниматься. И вот что я хочу сказать, прежде чем опишу очередных 20 с лишним нормативных актов и их проектов, которые появились за последний месяц. Сегодня активно обсуждают различные высказывания официальных и не очень лиц по поводу объявленной частичной мобилизации и отсрочек от нее.
Пока мир кибербезопасности колбасит, бешеный принтер продолжает свое неблагодарное дело и штампует все новое и новое законодательство по информационной безопасности. За время, прошедшее с последнего выпуска, несмотря на все происходящие события, стало известно еще о полутора десятке нормативных актов: Официально опубликован Роскомнадзора от 24.