Назрела необходимость систематизировать наши знания о GRC-системах, которые все шире применяются в крупном и среднем бизнесе для автоматизации различных процессов менеджмента организации. Материал весьма обширен, поэтому его изложение придется разбить на несколько частей. В первой части рассмотрим основные понятия, связанные с GRC-системами и их архитектурой. В последующих частях планируется освещать прикладные аспекты, связанные с внедрением и использованием GRC-систем, включая проектирование модели функционирования процессов менеджмента, настройка и адаптация GRC-платформы под задачи конкретной…
(подробнее...)
Старые методики оценки и моделирования угроз ФСТЭК (2007-2009 г.) постепенно утрачивали свою актуальность. Они были слишком схематичны, условны и не учитывали стремительно накапливаемого мирового опыта реализации атак на компьютерные системы. В нынешнем 2021 году им на смену пришла новая Методика оценки угроз, кардинально отличающаяся от предыдущих. Но и с ней не все так гладко, как хотелось бы. Действительно, новая Методика оценки угроз ФСТЭК от 5 февраля 2021 г. кардинально отличается от прежней Методики определения актуальных угроз безопасности ПДн от 16 ноября 2009 г., а также от Методики…
(подробнее...)
Некоторые дата-центы в целях отстройки от конкурентов проходят аттестацию по требованиям безопасности информации по уровням защищенности персональных данных УЗ3 или УЗ2, и предлагают компаниям размещение ИСПДн на таких площадках в качестве панацеи от требований регуляторов и ответственности за защиту ПДн. В нашей практике приведения организаций в соответствие с требованиями 152-ФЗ подобные ситуации встречаются регулярно. В связи с этим, прокомментирую вопрос о том, в какой степени операторам ПДн и прочим владельцам ИС стоит доверять аттестованным ЦОД и что при этом надо учесть. Вопрос о доверии…
(подробнее...)
Облачные вычисления могут быть не только более эффективной с экономической точки зрения моделью обработки информации, но и более защищенной от вредоносного ПО и таргетированных атак средой. Соответствующие технологии видимо позволяют это делать и быстро развиваются вместе с облаками. Смысл облачных вычислений заключается в том, что используемые вами компьютерные системы вами больше не контролируются. Т.е. вы больше не можете контролировать политики безопасности, используемые приложения, предоставление доступа и т.п. Вы становитесь зависимым, в части управления всеми вашими данными и вычислительными…
(подробнее...)
Governance - это стратегическое управление компанией и взаимоотношениями между органами власти (собственники, акционеры, совет директоров, правление). Менеджмент - это оперативное управление компанией и взаимодействием ее структурных подразделений. Другими словами, все процессы и взаимоотношения на уровне генерального директора (президента) и выше - это Governance. Все, что ниже этого, - это Менеджмент. Governance, в отличие от management – это основные принципы и правила системы власти в компании, которые обязаны соблюдать все органы управления, включая высший орган, утверждающий эти правила.…
(подробнее...)
Разработанный компанией ГлобалТраст Комплект типовых документов для финансовых организаций GTS 57580, включает в себя 10 типовых политик защиты информации, адаптированных для обеспечения соответствия требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовой организации. Базовый состав организационных и технических мер» с учетом рекомендаций Банка России в области стандартизации процессов обеспечения ИБ (PC БР ИББС). Комплект типовых политик защиты информации финансовой организации GTS 57580 потребуется всем видам кредитных и некредитных финансовых…
(подробнее...)
По сообщению компании Bleeping Computer компания Garmin получила ключи шифрования для вируса-вымогателя WastedLocker, зашифровавшего их файлы, 25 июля, через 2 дня после инцидента. Точно неизвестно сколько было уплачено за ключи, но первоначальное требование операторов WastedLocker составляло сумму $10 млн. Об этом громком, но увы банальном, инциденте сообщалось везде, и даже те, кто не понимает сути вопроса, могли слышать в теленовостях. Сейчас стали появляться веб-ресурсы, помогающие пострадавшим от шифровальщиков-вымогателей восстановить свои файлы без выплат преступникам, которые представляют…
(подробнее...)
Автоматизация процессов менеджмента ИБ строится на базе современных GRC-платформ. В качестве одного из возможных вариантов рассмотрим использование одного из лидирующих продуктов RSA Archer GRC в комбинации отечественной экспертной системой Protectiva Compliance Manager. Архитектуру подобных систем и технические детали оставим для отдельной публикации, а пока ограничимся функциональным описанием. Одно из первых GRC-решений в мире — RSA Archer — представлено в России в том числе проектами на рынке Security GRC. Archer изначально ориентирован на нефтегазовую отрасль, но способен решить какие угодно…
(подробнее...)
GlobalTrust присвоен статус Золотого партнера компании RSA. Сотрудничество с RSA, в частности, позволяет GlobalTrust реализовать современную централизованную систему автоматизации процессов менеджмента информационной безопасности в организациях любого размера и сферы деятельности на базе решения RSA Archer IT & Security Risk Management. Американская компания RSA Security LLC изначально фокусировалась на средствах криптографической защиты информации и была названа в честь своих основателей (Ron Rivest, Adi Shamir и Leonard Adleman) и одноименного криптографического алгоритма RSA, ставшего фактическим…
(подробнее...)
Еще со школы у меня сохранилось смутное представление о научных принципах мышления, а также о величайшем физике Ньютоне, авторе "Математических основ натуральной философии", который первым эти принципы сформулировал. На этих принципах построено все здание современной естественной науки. Но моя естественная наука закончилась в институте, а дальше началась реальная жизнь с ее (ненаучными) гуманитарными дисциплинами и иррациональными способами мышления, которые повсюду меня окружали. Методы научного мышления в реальной жизни стали сдавать свои позиции, а мое представление о методе Ньютона сильно…
(подробнее...)