Алаверды Дмитрию Кузнецову про сертификацию "комбайнов" и UTM-решений

Блогосфера оживилась... Блогеры комментируют и критикуют блогеров, жизнь кипит, аудитория радуется и жуют попкорн, регуляторы тоже при делах, получая обратную связь по касающихся их темам. Позволю себе небольшое алаверды Дмитрию Кузнецову, который прокомментировал мою недавнюю заметку про иллюзии сертификации ФСТЭК. Уважаю Дмитрия за его методологический подход, но позволю все-таки встрять в его рассуждения, которые, невольно, но подтверждают мою...

Подробнее…

12 причин, почему бизнес "не видит" ИБ, или кибербезопасность Шредингера

А продолжу-ка я тему с чеклистами и визуализацией :-) Тем более, что вчерашняя тема зашла очень хорошо - Андрей Прозоров даже флешмоб замутил и несколько человек в Фейсбуке на него уже откликнулись, опубликовав свои чеклисты CISO. Сегодня будет список из 12 причин, описывающих почему бизнес "не видит" ИБ и не ценит ее. Хотя после прочтения отчета anti-malware, в котором написано, что 63% компаний имеют бюджет менее полумиллиона рублей, становится...

Подробнее…

План CISO на 2019 год (чеклист)

Продолжу тему чеклистов, которую я начал последней заметкой ушедшего года - ровно месяц назад. Тогда я предложил персональный план для безопасника на 2019-й. Сегодня решил вновь вернуться к этой теме, но уже в контексте деятельности руководителя ИБ. Попробовал составить план ключевых задач CISO в 2019-м году. Сделал немного в немного упрощенной форме, чтобы можно было распечатать на одной странице А4 и иметь перед глазами. Формат чеклиста тоже...

Подробнее…

В плену иллюзий относительно сертификации по требованиям ФСТЭК

Продолжу тему, начатую в пятницу. На Уральском форуме вместе с Андреем Страшновым из Банка России буду модерировать секцию про импортозамещение с участием и российских разработчиков, и зарубежных, и представителей государства. Готовясь к секции, собираю воедино все, что недавно произошло с точки зрения сертификации средств защиты по требованиям ФСТЭК, так как изначально планировалось участие регулятора в этой секции. Но увы... Представитель ФСТЭК...

Подробнее…

Анализ реестра сертифицированных ФСТЭК в 2018-м году средств защиты информации

Вчера на портале anti-malware.ru вышла первая часть обзора российского рынка ИБ, которая вызывает лично у меня вопросы (у 63% компаний в России бюджет на ИБ меньше 500 тысяч рублей????), но которая при этом ставит перед собой цель проанализировать общее (и оно, судя по отчету, удручащее) состояние ИБ в нашей стране. Я же параллельно провел уже ставшее традиционным исследование реестра сертифицированных ФСТЭК в 2018-м году средств защиты информации. Если...

Подробнее…

Почему хостовые средства защиты не так хороши, как их описывает Сергей Солдатов :-)

Возвращаюсь к давно забытому формату, когда блогер не согласен с блогером и начинает с ним заочно спорить (правило двух блогеров от Сергея Борисова). Вот и я сегодня хочу поспорить с Сергеем Солдатовым, который позавчера написал заметку, в которой зачем-то противопоставил сетевые и хостовые средства защиты и стал доказывать, что хостовые лучше/эффективнее сетевых. В качестве одного из доводов Сергей ссылался на матрицу MITRE ATT&CK, которая...

Подробнее…

Что общего между ИБ и кухней?

Есть три вещи, которые меня раздражают в российских новогодних праздниках - безделье (но я научился с ним бороться), фейрверки в новогоднюю ночь до 4-х утра и бесконечная еда (кого-то еще раздражает постоянные возлияния горячительными напитками, но не меня). Вот про еду мы сегодня и поговорим :-) Когда-то я написал несколько заметок, которые проводили параллели между ИБ и ремонтом, поясом верности, женщиной, медициной, футболом, автомобилем и,...

Подробнее…

Впечатления от курса CompTIA Cybersecurity Analyst CySA+

Новогодние праздники достаточно длинны и их можно тратить на что-то более полезное, чем обжирание и пьянство :-) Вот и я, после чтения купленных на праздники книг по математике и регулярных коньков, перемежающихся расчисткой дорожек от снега на даче, решил пройти обучение. Давеча завершил я прохождение онлайн курса про программе CompTIA Cybersecurity Analyst CySA+ и хотел бы поделиться впечатлениями. Не могу сказать, что мне это обучение было...

Подробнее…

Крупные мероприятия по информационной безопасности на 2019 год

На прошлой неделе несколько человек спросило меня, буду ли я делать в очередной раз календарь мероприятий по ИБ на 2019-й год. Если честно, то я не планировал это делать, так как работа немного теряет смысл. Новые мероприятия появляются достаточно редко, уже проводимые не раз повторяются примерно в те же даты и на том же уровне, корпоративные мероприятия (а их становится все больше) ограничены для входа. Повторить мои прошлогодние перечни может...

Подробнее…

Сертификат о прочтении моего блога и засчитывании его в качестве программы повышения квалификации по ИБ

Нередко слышу от людей комментарии, что они "выросли на моем блоге", что мой блог сильно помог им разобраться в ИБ и т.п. А вчера, в группе RuScadaSec в Telegram всплыл вопрос о том, что делать, если появится требование об обязательном повышении квалификации по ИБ для защиты КИИ. Кто-то написал, что он читает мой блог и ему не нужны никакие дополнительные программы повышения квалификации (даже новая ФСТЭКовская :-) А кто-то спросил, выдаются ли...

Подробнее…

2 новых примера повышения осведомленности

Пока не все еще вступили в боевой режим работы, а кто-то и вовсе не вернулся с отдыха, не буду постить что-то серьезное. Просто поделюсь двумя примерами повышения осведомленности, которые мне попались в рамках новогодних подарков. Первый - перекидной настольный календарь от Газпромбанка с лайфхаками о том, что можно и что нельзя делать рядовому пользователю с точки зрения информационной безопасности. Вторым примером порадовал Сбербанк, который...

Подробнее…

Блиц-обзор новостей по ИБ за прошедшие праздники

Уже по традиции решил сделать блиц-обзор новостей, которые попали в поле моего зрения за последние почти две праздничные недели. Ничего похожего на прошлогодние Spectre и Meltdown не произошло, но были другие интересные события: Число утечек продолжает активно расти и новогодние праздники не стали исключением - почти на всех материках (кроме Антарктиды) зафиксированы инциденты с персональными данными - в Австралии утекли данные работников правительства штата Виктория (еще в Австралии было 4 утечки, но не столь массовых), утечка у игровой компании...

Подробнее…