Главная

Новости

Статьи и блоги

Борисов Сергей, ведущий инженер нИБ
20.11.2020
  Достаточно части организации задают вопрос – как построить процесс управления уязвимостями в организации. Недавно сообщество OWASPопубликовало документ Vulnerability Management Guide(OVMG) – по сути руководство по построению процесса управления уязвимостями. Давайте посмотрим подробнее на наиболее интересные моменты: ·        Чтобы “съесть” большого...
Шудрова Ксения, Эксперт по информационной безопасности
20.11.2020
Ксения Шудрова: Добрый день, Денис! Жду возможности выступить на Business privacy forum, а пока хотела бы задать пару вопросов о мероприятии. Расскажи о своем опыте в защите персональных данных.  Денис Лукаш: Заниматься персональными данными начал в территориальном Управлении Роскомнадзора по Мурманской области, где работал до 2014 года, возглавлял отдел, который занимался защитой прав...
Комаров Алексей, 1
18.11.2020
Вышел в свет свежий выпуск журнала «CONNECT. Мир информационных технологий», с темой номера “Защита КИИ в отраслевом разрезе. О практической реализации требований № 187-ФЗ в отраслях”. Открывает раздел моя статья: Субъекты КИИ: торопитесь не торопясь! Правда, изначально тема звучала как “Общее состояние дел с выполнением требований законодательства в области защиты КИИ”, но редактору виднее =)...
Лукацкий Алексей, Бизнес-консультант по безопасности
16.11.2020
На днях выступал с темой построения эффективного процесса повышения осведомленности по ИБ. И хотя вторая часть выступления было посвящено конкретной платформе организации обучения по ИБ и организации фишинговых симуляций, первая часть является вендор-независимой и рассказывает о некоторых примерах и лайфхаках по этому вопросу. Судя по комментариям коллег после презентации, много было полезного...
Лукацкий Алексей, Бизнес-консультант по безопасности
13.11.2020
 В ряде прошлых заметок я коснулся темы обнаружения угроз и показал отличия этих двух тем сейчас и 20 лет назад. Продолжу. Одним из ключевых отличий является наличие совершенно различных типов контента обнаружения, который не ограничен только сигнатурами атак. Но не только это. На самом деле я бы выделил еще 3 ключевых направления, в которых произошли кардинальные изменения: источники...
Лукацкий Алексей, Бизнес-консультант по безопасности
11.11.2020
В январе выступал на конференции Oracle Security Day с рассказом об актуальных на тот момент требованиях регуляторов к средствам защиты информации. Оказывается видео этого выступления было официально выложено на Youtube: ЗЫ. Понятно, что с января много воды утекло, но многие аспекты остаются пока еще актуальными.
Комаров Алексей, 1
11.11.2020
Рейтинг CNews Security: Крупнейшие компании России в сфере защиты информации публикуется с 2003 года, но только по итогам 2006 года, правда, сразу две компании, перешагнули годовую выручку в 1 миллиард рублей. Этими двумя компаниями были Информзащита и Лаборатория Касперского, которая в то время в свой отчёт ещё включала выручку ИнфоВотч. Следующими в клуб миллиардеров вступили тоже сразу две...
Шнайер Брюс, Американский криптограф
10.11.2020
Over at Lawfare: “2020 Is An Election Security Success Story (So Far).” What’s more, the voting itself was remarkably smooth. It was only a few months ago that professionals and analysts who monitor election administration were alarmed at how badly unprepared the country was for voting during a pandemic. Some of the primaries were disasters. There were not clear rules in many states...
Лукацкий Алексей, Бизнес-консультант по безопасности
10.11.2020
Не так часто пишу про персональную кибербезопасность, но история с интимным видео Дзюбы навеяла ряд мыслей, которые показались мне достаточно важными, чтобы сохранить их для потомков. Итак, дистанцируясь от конкретной истории, мы имеем дело с публикацией интимного видео человека в Интернет явно без его согласия. Что стоит за такой ситуацией? Я бы выделил 5 причины: Месть "бывшей". Вполне...
Борисов Сергей, ведущий инженер нИБ
09.11.2020
Недавно у нас с Ксенией Шудровой прошел уже 10-тый юбилейный межблогерский вебинар. В этот раз гостями были Вячеслав Золотарев и Мария Сидорова и обсуждали мы с ними современные технологии и подходы в обучении ИБ. Все четыре докладчика рассказывали про разные стороны обучения ИБ, каждый исходя из своего опыта: ·        Я рассказал про современные технологии и...
Лукацкий Алексей, Бизнес-консультант по безопасности
09.11.2020
Выборы президента США навели меня тут на рассуждения о том, как умело манипулируют цифрами то демократы, то республиканцы и как это похоже на то, что происходит в центрах мониторинга ИБ, а именно при визуализации ключевых показателей эффективности SOC. Аналогичные манипуляции используют и организаторы онлайн-мероприятий по ИБ, которые пытаются их продавать, используя все те уловки, что и при...
Прозоров Андрей Алексеевич, Эксперт по ИБ
08.11.2020
Некоторые европейские надзорные органы, например, Финский DPA, не рекомендуют совмещать роли CISO и DPO из-за возможного конфликта интересов.  Посветил этой проблеме 1 слайд в своей новой презентации "Employee Monitoring and Privacy", которую выложил на Патреон:
Емельянников Михаил Юрьевич, Управляющий партнер
06.11.2020
Портал CISOClub опубликовал мое интервью о ситуации с законодательством о персональных данных и правоприменением. Спасибо коллегам с портала за отличный подбор вопросов. Это, наверное, самое полное и системное изложение моего видения проблемы персональных данных в России. На портале опубликовано еще много замечательных интервью с самыми интересными и известными людьми отрасли и других полезных...
Лукацкий Алексей, Бизнес-консультант по безопасности
06.11.2020
Да-да, я не ошибся в заголовке и там должен быть именно "контент", а не "контекст". дело в том, что мы привыкли, что системы обнаружения угроз работают преимущественно по сигнатурам и поэтому часто ставим знак равенства между "сигнатурой" и "механизмом обнаружения", что неправильно. Сигнатура была и остается одним из популярных, но сегодня уже явно не единственным способом обнаружения угроз,...
Шудрова Ксения, Эксперт по информационной безопасности
05.11.2020
Добрый день, коллеги! В этом году все онлайн, что с одной стороны плохо, так как нет живого общения, но с другой стороны хорошо, так как уравнивает наши шансы попасть на классное мероприятие из любого города страны. Вот так и я, не садясь в самолет, из пригорода Красноярска окажусь на конференции про персональные данные BUSINESS PRIVACY FORUM 2020. А сказать мне есть что. Итак, давайте по...
Лукацкий Алексей, Бизнес-консультант по безопасности
05.11.2020
Как я уже писал в прошлой заметке, обнаружение угроз сегодня давно уже не то, что было в начале 90-х годов прошлого века и оно уже не ограничивается только сигнатурными системами обнаружения атак/вторжений. Я планирую посвятить этой теме немало последующих заметок в блоге, ну а пока начну с краткого резюме, которое охватывает все темы, о которых я планирую писать. Итак, при построении современной...
Шнайер Брюс, Американский криптограф
04.11.2020
Accuracy isn’t great, but that it can be done at all is impressive. Murtuza Jadiwala, a computer science professor heading the research project, said his team was able to identify the contents of texts by examining body movement of the participants. Specifically, they focused on the movement of their shoulders and arms to extrapolate the actions of their fingers as they typed. Given the...
Davydych Viktor, CISO
04.11.2020
В данной статье я хочу описать основные этапы подготовки к аудиту безопасности. Чаще всего это аудит соответствия стандартам безопасности серии ISO (27***) или PCI DSS, либо выполнение требований соответствия GDPR. Мой опыт в области информационной безопасности 12 лет. За это время мной были выполнены проекты с десятками компаний из США, Британии, Китая, России, Украины и стран Европы. Клиентами...
Лукацкий Алексей, Бизнес-консультант по безопасности
04.11.2020
Год назад я уже рассказывал об истории, как один подрядчик, получив задание построить систему обнаружения атак, так буквально и понял задачу и включил в проект кучу сенсоров системы обнаружения вторжений, забыв про все остальные способы обнаружения чего-то вредоносного в организации. И это достаточно распространенная практика, продолжающая описанные в предыдущих двух заметках терминологическую...
Атаманов Геннадий Альбертович,
03.11.2020
Вышел из печати очередной номер журнала «Защита информации. Инсайд», в котором напечатана очень важная в методологическом плане статья. Разместил её в своём блоге. Кому интересно, заходите, читайте, применяйте на практике. Читать статью…