Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций в соотве...Kaspersky
При создании АСУ ТП электрических подстанций заказчики пользуются годами наработанными схемами, шаблонами технических заданий, где учтено все, кроме требований современного законодательства. Вендоры АСУ ТП, в свою очередь, также часто не касаются вопросов информационной безопасности на первоначальных стадиях. Такая ситуация приводит к тому, что конкурс проводится между поставщиками, включающими в свое предложение системы информационной безопасности и поставщиками, игнорирующими данный вопрос на этапе конкурса. Тем не менее, требования всплывают на поздних этапах, когда служба ИБ эксплуатации не принимает объект. Кто виноват и что делать? В своем докладе на этот вопрос отвечает независимый эксперт Алексей Иванов.
Подробнее о конференции: https://kas.pr/kicsconf2021
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
Презентация к выступлению "Особенности проведения аудита безопасности корпоративной IT-инфраструктуры", 15 мая 2018, Fast Track
Ядром доклада станет демонстрация нескольких средств аудита (ПО, скриптов) для Windows Server, инфраструктуры AD, Linux: как они работают, какие дают результаты и как облегчают жизнь аудитору.
Анонс выступления
https://ipiskunov.blogspot.ru/2018/05/phdays-8-digital-bet.html
Telegram-канал
https://t.me/w2hack или @w2hack
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
Презентация к семинару "Как сэкономить, вложив в информационную безопасность?".
На семинаре мы расскажем как аудит безопасности для небольшого и среднего бизнеса поможет снизить операционные затраты, увеличить оборотные средства и в целом увеличь общую капитализацию (прибыль).
Ссылка на подробное описание https://ipiskunov.blogspot.ru/2017/12/blog-post.html
Конвергентная вычислительная платформа СКАЛА-Р // Андрей Сунгуров (IBS) на In...IBS
Андрей Сунгуров, директор отделения перспективных разработок компании IBS (InterLab), рассказал на InterLab Forum 2015 о конвергентной вычислительной платформе СКАЛА-Р.
Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS.
Подробности: http://www.ibs.ru
Коробочное решение по автоматизации службы поддержки на базе GLPITechExpert
Компания TechExpert предлагает комплексное решение «TechExpert. Service Desk», которое обеспечивает автоматизацию службы Service Desk на базе GLPI и позволяет максимально быстро развернуть и запустить ее в работу.
Решение включает готовый набор инструментов, шаблонов и предварительных настроек, который обеспечивает автоматизацию выполнения большинства задач, связанных с работой службы поддержки и всего IT-подразделения компании. Служба Service Desk — единая точка контакта для всех потребителей услуг вашей компании. Операторы службы регистрируют обращения пользователей, разрешают максимально возможное число запросов на первой линии поддержки и назначают исполнителей на инцидент в случае невозможности решить его на первой линии.
Наше комплексное решение построено с учетом опыта украинских компаний, успешно использующих программное обеспечение GLPI.
http://techexpert.ua/?page_id=13571
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций в соотве...Kaspersky
При создании АСУ ТП электрических подстанций заказчики пользуются годами наработанными схемами, шаблонами технических заданий, где учтено все, кроме требований современного законодательства. Вендоры АСУ ТП, в свою очередь, также часто не касаются вопросов информационной безопасности на первоначальных стадиях. Такая ситуация приводит к тому, что конкурс проводится между поставщиками, включающими в свое предложение системы информационной безопасности и поставщиками, игнорирующими данный вопрос на этапе конкурса. Тем не менее, требования всплывают на поздних этапах, когда служба ИБ эксплуатации не принимает объект. Кто виноват и что делать? В своем докладе на этот вопрос отвечает независимый эксперт Алексей Иванов.
Подробнее о конференции: https://kas.pr/kicsconf2021
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
Презентация к выступлению "Особенности проведения аудита безопасности корпоративной IT-инфраструктуры", 15 мая 2018, Fast Track
Ядром доклада станет демонстрация нескольких средств аудита (ПО, скриптов) для Windows Server, инфраструктуры AD, Linux: как они работают, какие дают результаты и как облегчают жизнь аудитору.
Анонс выступления
https://ipiskunov.blogspot.ru/2018/05/phdays-8-digital-bet.html
Telegram-канал
https://t.me/w2hack или @w2hack
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
Презентация к семинару "Как сэкономить, вложив в информационную безопасность?".
На семинаре мы расскажем как аудит безопасности для небольшого и среднего бизнеса поможет снизить операционные затраты, увеличить оборотные средства и в целом увеличь общую капитализацию (прибыль).
Ссылка на подробное описание https://ipiskunov.blogspot.ru/2017/12/blog-post.html
Конвергентная вычислительная платформа СКАЛА-Р // Андрей Сунгуров (IBS) на In...IBS
Андрей Сунгуров, директор отделения перспективных разработок компании IBS (InterLab), рассказал на InterLab Forum 2015 о конвергентной вычислительной платформе СКАЛА-Р.
Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS.
Подробности: http://www.ibs.ru
Коробочное решение по автоматизации службы поддержки на базе GLPITechExpert
Компания TechExpert предлагает комплексное решение «TechExpert. Service Desk», которое обеспечивает автоматизацию службы Service Desk на базе GLPI и позволяет максимально быстро развернуть и запустить ее в работу.
Решение включает готовый набор инструментов, шаблонов и предварительных настроек, который обеспечивает автоматизацию выполнения большинства задач, связанных с работой службы поддержки и всего IT-подразделения компании. Служба Service Desk — единая точка контакта для всех потребителей услуг вашей компании. Операторы службы регистрируют обращения пользователей, разрешают максимально возможное число запросов на первой линии поддержки и назначают исполнителей на инцидент в случае невозможности решить его на первой линии.
Наше комплексное решение построено с учетом опыта украинских компаний, успешно использующих программное обеспечение GLPI.
http://techexpert.ua/?page_id=13571
Saiba o que fazer para criar um site de sucesso para sua empresa. Um site de sucesso é aquele que ajuda sua empresa a atingir os objetivos estratégicos.
Проблемы в системе журналирования событий безопасности ОС Windowsimbasoft ru
В операционных системах семейства Windows реализована довольно неплохая система журналирования событий безопасности. О ней в различных публикациях и обзорах написано много чего хорошего, но эта статья будет про другое. Здесь мы поговорим о проблемах и недоработках в этой системе. Некоторые из рассматриваемых проблем будут некритичными, лишь осложняющими процедуры анализа событий, другие же будут представлять весьма серьезные угрозы безопасности.
Выявленные проблемы проверялись на Windows 7 Максимальная (русская версия), Windows 7 Professional (английская версия), Windows 10 Pro (русская версия), Windows Server 2019 Datacenter (русская версия). Все операционные системы были полностью обновлены.
This Overview represents such important and complicated at the first glance discipline as Software Measurements which is comprehensively covered in the training.
The following topics are covered in simple and logical thought chanes:
- process and product quality
- team and personal performance
- HR and business metrics
- raw data to executive dashboard evolution and vice versa
- size model
- business circumstances
- answers to many whats, whys, hows
- provides theoretical background
- and practice, practice, practice...
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
Презентация Ивушкина Андрея, заместителя руководителя направления систем менеджмента компании LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Доклад является обобщением моего опыт по работе с системами мониторинга серверных приложений в Qiwi.
Цель доклада:
- Получить общее представление о подходах к мониторингу серверных приложений
- Разобраться с популярными средствами для мониторинга серверных приложений
Оглавление:
- Мотивация
- Теория
---- Определение
---- Модель системы с точки зрения мониторинга
---- Классификация систем мониторинга
---- Уровни мониторинга
---- Инструменты мониторинга
- Практика
---- Системы мониторинга и сбора логов
---- Интерфейсы мониторинга
---- Инструменты мониторинга в JVM-based приложениях
Все нормально, падаем! / Дмитрий Смоляров (Стройгазконсалтинг)Ontico
РИТ++ 2017, Web-scale IT Сonference
Зал Владивосток, 6 июня, 12:00
Тезисы:
http://webscaleconf.ru/2017/abstracts/2743.html
Для кого-то Agile - рутина со своим местом в системах управления. Для кого-то - модный тренд, который теперь во что бы то ни стало надо применить, даже если в этом нет необходимости.
Мы - группа компаний с традиционным производственным укладом, со штатом в более 28 тысяч человек и парком техники более 14 тысяч единиц. Проблема таких компаний в том, что несмотря на стек перспективных начинаний, как только настает момент практической реализации, все затухает, сталкиваясь с инерционностью, непониманием необходимости что-то менять, культурой организации. Очевидно, что здесь все и всегда шло по водопаду и все инициативы, в том числе инновации в IT проходили долго, теряя темп и актуальность.
...
1. ”Как подготовиться к аудиту от “большой четверки” руководителю службы информационной безопасности?” Александр Дорофеев, CISSP, CISA
2. Содержание ИТ-аудит в рамках финансового аудита Аудиторский подход Подготовка к аудиту 2
3. Аудит ИТ в рамках финансового аудита Проверка эффективности мер на уровне ИТ, минимизирующих риски искажения финансовой отчетности компаний. 3
4. Что, как и кем проверяется? Что: общие и прикладные контроли (контрмеры) в финансовых системах Как: используется подмножество контролей из Cobit + методология аудитора Кем: в основном, компаниями “большой четверки 4
5. Общие ИТ- и прикладные контроли Общие ИТ-контроли: контрмеры в ИТ-процессах. Наиболее проверяемые: процесс управления доступом, процесс внесения изменений, обеспечение своевременного восстановления после сбоев и т.п. Прикладные контроли: контрмеры в процессах вводабработки данных. 5
6. Подход к тестированию Сбор доказательств (скриншоты, копии заявок); Walkthrough (прохождение по процессу); Тестирование со случайной выборкой; Профессиональное суждение и предыдущий опыт аудитора; 6
7. Какие бывают ИТ-аудиторы? Специалист (staff/adv. staff/assistant): Студент-старшекурсник либо недавний выпускник ВУЗа; Работает по методологии, которую не всегда хорошо знает. Синиор/Менеджер (senior/manager): 2- 5 лет опыта; Управляет проектом, знает нюансы. Еще есть партнер 7
9. Возможные проблемы для руководителя ИБ Обнаружены недостатки в системе обеспечения информационной безопасности Последствия: Недовольство руководства; Затраты на исправления недостатков. 9
10. Причины проблем Плохо выстроенные коммуникации с аудиторами Наличие реальных серьезных недостатков 10
12. До аудита Получите план аудита, перечень необходимой документации, перечень необходимых специалистов; Заблокируйте учетные записи уволенных сотрудников и тестовые учетные записи (“test”, “user1” и т.п.); Проведите проверку уровней доступа для существующих пользователей, согласуйте уровень доступа с владельцами систем; Разработайте/согласуйте запросы на существенные изменения систем; Приведите парольные настройки в системах к разумному виду. 12
13. В ходе аудита Расскажите/покажите, чем занимается компания; Организуйте передачу информации (свидетельств аудита) через одного человека; Предоставьте аудиторам политики/процедуры для того, чтобы они поняликак у вас все работает заранее; Настаивайте на согласовании предварительных результатов проверки до включения их в отчет; Приставьте к аудиторам координатора (вы получите человека, понимающего их подход); Если у вас нашли какой-то недостаток, настаивайте на том, что угроза не реализовалась (если это так). 13
14. АНО “Учебный центр “Эшелон” www: www.uc-echelon.ru E-mail: a.dorofeev@npo-echelon.ru Тел.: +7(495) 645-38-09 Александр Дорофеев CISSP, CISA Директор
