стандарты

На конференции DLP Russia 2009 я выступаю с докладом «Российские и международные стандарты и нормативы в контексте DLP-решений». Презентацию выкладываю. DLP As Part Of Security Standards View more documents from lukatsky. ЗЫ. Опять же презентация сделана в русле уже не раз упомянутого курса по стандартам и законам в области информационной безопасности.

Вчера на InfoSecurity выступил и со второй темой — «Стандарты безопасности АСУ ТП». К сожалению, несмотря на трехкратное напоминание, организаторы так и не поставили эту тему в программу, поэтому аудитория была не готова к моему выступлению — вопросов почти не было ;-( Но зато мне удалось систематизировать собственные знания в

Очень долгая дискуссия по поводу моего участия в InfoSecurity наконец-то разрешилась в пользу участия 😉 Правда из заявленных мной еще в июне докладов место осталось не для всех ;-( Заявлял я следующие темы: В круглый стол: «GRC: что это такое?» – «Как в пылу борьбы за C и R не забыть, что такое G» В […]

Я уже писал, что затеял курс «Построение модели угроз». Учитывая обязательное требование наличия модели в документах по персданным, вопрос ее построения не праздный. А оценив сколько стоит разработка такой модели — вопрос не праздный вдвойне. На выходных читал этот курс и теперь могу описать программу более детально, чем это было сделано в июле. Основная цель […

Я уже писал про Концепцию развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России, датированную 92-м годом. И вот, разгребая библиотеку, наткнулся на очередное описание того, как все должно было быть. Статья Игоря Алексеевича Калайды датирована 2005-м годом. На тот момент он был зам.

Вот сижу и смотрю интересное исследование, посвященное анализу стратегий инвестирования в ИБ. Оно конечно проводилось в США, но его выводы можно транслировать и на Россию. Как всем известно, основным драйвером инвестиций в ИБ внутри компаний является регулирование и законодательство. По данным отчета, этот драйвер оценивается в 30% от общего числа.

Национальный институт стандартизации США выпустил интересный документ (пока проект) — NIST SP 800-65 «Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process». И хотя документ ориентирован на американские госсорганы, обязанные выполнять требования FISMA, он может быть полезен и у нас.

Все помнят Радужную серию, отдельные книги которых описывали, как оценивать защищенность отдельных компьютеров и даже сетей. На их основе родились наши руководящие документы ФСТЭК. Потом появились «Общие критерии». Пожалуй, это все формализованные методы оценки распределенных информационных систем, которые мы знаем.

На портале PCI Security за последнюю неделю было опубликовано пару интересных новостей, которые хорошо отражают процессы, происходящие на Западе по отношению к стандарту PCI DSS. Ситуация очень похожа на то, что у нас происходит с персданными. Есть закон, есть технические требования, есть наказания. Но, во-первых, инцидентов с нанесением реального ущерба

По адресу: securitypolicy.ru запущен проект по созданию и обсуждению всевозможных политик по информационной безопасности, в котором может принять участие любой желающий. Вы можете выкладывать свои проекты/документы на обсуждение, участвовать в обсуждении уже выложенных документов, вносить правки в них и т.д. Уже сейчас проект насчитывает около сотни