Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
- Уровни безопасности: чем отличаются передовые компании, как они обеспечивают высокие результаты. Рычаги повышения уровня безопасности.
- Инструменты оценки уровня безопасности. Культура безопасности – ключевая зона развития большинства.
- Результаты исследования «Профиля «безопасности» — что отличает сотрудников, нарушающих требования ОТ и ПБ.
- Лучшие практики повышения безопасности: примеры наиболее интересных решений.
Подготовлено "ЭКОПСИ Консалтинг
www.ecopsy.ru
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
- Уровни безопасности: чем отличаются передовые компании, как они обеспечивают высокие результаты. Рычаги повышения уровня безопасности.
- Инструменты оценки уровня безопасности. Культура безопасности – ключевая зона развития большинства.
- Результаты исследования «Профиля «безопасности» — что отличает сотрудников, нарушающих требования ОТ и ПБ.
- Лучшие практики повышения безопасности: примеры наиболее интересных решений.
Подготовлено "ЭКОПСИ Консалтинг
www.ecopsy.ru
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
Сертификация приложений по требованиям федеральных и отраслевых регуляторов, требованиям компаний (если они есть) — необходимое условие разработки и поставки коробочного решения. Требования потребителей и пользователей современных технологий по функционалу и удобству развиваются значительно быстрее эволюции ограничений. В результате, исследования практической защищенности, если и рассматриваются, то вне темы сертификации, что порождает двойной объем работ и сложности в управлении проектами.
Презентация, подготовленная сотрудниками компании «Перспективный Мониторинг» для конференции DevCon 2015, содержит информацию о том, какие практики безопасной разработки позволяют удовлетворить как требования сертификации, так и потребности практической безопасности. Рассматриваются тонкие моменты на стыке этих задач, вопросы, в которых можно опереться на мировой опыт, а также планы регуляторов по развитию требований сертификации.
В докладе представлен опыт ЗАО «ПМ» по внедрению безопасной разработки в проекты создания и развития линейки средств защиты информации для сетевого оборудования, мобильных платформ и рабочих станций, подлежащих сертификации по требованиям регуляторов.
В четвёртой лекции определено понятие жизненной цикли системы защиты информации, описана его значимость на примерах из практики. Проведено сравнение жизненного цикла ИС с жизненным циклом СЗИ. Далее идёт подробное описание каждого из этапов.
В частности, подробн описан процесс обследование объекта защиты: исследование его IT-инфраструктуры и бизнес-структуры. Приведены конкретные бизнес-факторы, влияющие на эффективность работы предприятия и их связи с задачами и методами ИБ. Приведено множество реальных примеров.
Далее идёт процесс выбора приоритетной задачи защиты и принципы принятия таких решений.
Дано понятие политики информационной безопасности, а также цели и задачи, решаемые данными документами. Описаны административный, процедрный и програмно-технический уровни политики ИБ.
Далее идёт описание базовых принципов этапа выбора элементов СЗИ.
Подробнее читайте на моём блоке inforsec.ru
Совокупность последних положений регуляторов предполагает построение замкнутого и адаптивного комплекса требований, создающего предпосылки для построения систем со "встроенной безопасностью", что является необходимым условием обеспечения ИБ современных информационных систем.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.Yuri Bubnov
Структура метода системной инженерии безопасности объектов недвижимости и бизнес-процессов, основанного на международных стандартах ISO 24744, ISO 31000, ISO 22301, Archimate, OMG Essence и работах видных зарубежных учёных Nancy Leveson (MIT), Donald Firesmith (SEI).
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk
В условиях тотальной экономии и необходимости развития банка в мире онлайн-сервисов, обеспечение информационной безопасности становится неподъемной задачей. Использование управляемых услуг по информационной безопасности позволяют реализовать любые сценарии в максимально сжатые сроки при минимальном бюджете.
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...Компания УЦСБ
Вебинар посвящён обзору организационной, документальной и технической основ комплексной системы обеспечения информационной безопасности АСУ ТП. Были представлены процессный подход и сама структура процессов обеспечения информационной безопасности промышленных систем автоматизации и управления.
Дата вебинара 26 ноября 2015 года.
Запись доступна на канале YouTube: https://youtu.be/kbSHwFIWB34
Докладчик: Николай Домуховский
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Вячеслав Аксёнов
В книгу включены презентации, материалы для практических занятий, примеры и формы документов моего авторского курса «Оценка и управления рисками информационной безопасности», который преподается с 2017 года
Краткая презентация первого модуля авторского курса «Разработка, внедрение и аудит системы менеджмента информационной безопасности в соответствии с требованиями ISO/IEC 27001» https://edu.softline.by/courses/isms.html
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
Требования законодательства по защите персональных данных в Беларуси и их взаимосвязь. С гиперссылками на тексты нормативных правовых актов.
+ Добавлен раздел про ответственность за нарушения законодательства.
Legislation and Responsibility (VMUG #7 Belarus)Вячеслав Аксёнов
Дополнительные материалы к докладу на конференции «VMUG #7 Belarus».
Требования НПА и ТНПА Республики Беларусь в области информационной безопасности.
Уголовная и административная ответственность за нарушения в области защиты информации.
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
2. ПРЕПОДАВАТЕЛЬ
Вячеслав Аксёнов
IT Security Architect | R&D Department | ActiveCloud
itsec.by
Кратко о себе:
Опыт работы в сфере информационной безопасности более 10 лет, в качестве
архитектора и консультанта, в проектах по созданию систем защиты
информации в соответствии с требованиями законодательства. Преподаватель
авторских курсов по информационной безопасности.
Образование: радиоинженер-педагог + магистратура и аспирантура по
направлению информационная безопасность.
Сфера интересов: технологии облачных вычислений, гособлака,
проектирование и внедрение систем защиты информации.
Подробнее: http://www.linkedin.com/pub/viacheslav-aksionov/50/b91/65/en
3. ПРОГРАММА КУРСА
Принципы, методы, процедуры, процесс аудита
Нормативно-правовые акты в области ИБ
Технические нормативные правовые акты в области ИБ
Основы построения систем ИБ и обеспечения ИБ
Управление ИБ, Управление рисками
Защита информации в информационных системах
Инструменты аудита
+ Практика
+ Итоговый тест
5. ГОСТ ISO 19011-2013
ПРОЦЕСС АУДИТА
АУДИТ
Входы
Программа аудита
План аудита
Документация
Выходы
Свидетельства аудита
Наблюдения аудита
Заключение аудита
Соответствия
Несоответствия
Возможности
улучшения
Ресурсы
Процедуры
6. ГОСТ ISO 19011-2013
УПРАВЛЕНИЕ ПРОГРАММОЙ АУДИТА
PLAN
Роли,
ответственность,
компетентность.
Объем
программы
Риски
программы
Процедуры
Ресурсы
Установление целей
программы аудита
Установление
программы аудита
DO
Цель, область
применения, критерии
для каждого аудита.
Выбор методов аудита
Назначение
руководителя команды
по аудиту
(ответственный)
Менеджмент выходных
данных
Менеджмент записей
Внедрение программы аудита
CHECK
Мониторинг
программы аудита
ACT
Анализ и улучшение
программы аудита
Компетентность
и оценивание
аудиторов
Проведение
аудита
7. ГОСТ ISO 19011-2013
ПРОВЕДЕНИЕ АУДИТА
Установление первоначального
контакта с аудируемым
Определение осуществимости аудита
1. Инициирование аудита
Анализ документов (при подготовке)
Подготовка плана аудита
Назначение работ команде по аудиту
Подготовка рабочих документов
2. Подготовка деятельности по
аудиту
Проведение предварительного
совещания
Анализ документов (при проведении)
Обмен информацией во время аудита
Распределение ролей и ответственности
сопровождающих и наблюдателей
Сбор и верификация информации
(свидетельств)
Формирование наблюдений аудита
Подготовка заключений аудита
Проведение заключительного
совещания
3. Проведение деятельности по аудиту
4. Подготовка и распространение
отчета по аудиту
5. Завершение аудита
6. Проведение последующих
действий после аудита
(если предусмотрено планом)
8. ГОСТ ISO 19011-2013
МЕТОДЫ АУДИТА
Местонахождение аудитора
На площадке Удаленное
Взаимодействие с
человеком
Интервью
Заполнение чек-листов и
опросников.
Анализ документов.
Выборочное исследование.
С использованием интерактивных
средств коммуникации:
Интервью.
Заполнение чек-листов и
опросников.
Анализ документов.
Без взаимодействия
с человеком
Анализ документов (напр.,
записей, данных).
Наблюдение за работой.
Посещение площадки.
Заполнение чек-листов.
Выборочное исследование.
Анализ документов (напр.,
записей, данных).
Наблюдение за выполняемой
работой (с исп. спец. Средств).
Анализ предоставленных
данных.
10. КРИТЕРИИ АУДИТА
1. Конституция
2. Указы/Декреты Президента
3. Кодексы
4. Законы
5. Постановления СовМин
6. Приказы ОАЦ
Методы и
средства
безопасности
Требования и
средства защиты
информации от НСД
Защита
информации
Системы менеджмента
информационной
безопасности
Критерии оценки
безопасности ИТ
Обеспечение информационной
безопасности банков
КВОИ
Информационные технологии
Информационные технологии и безопасность