Исполнил мечту детства, опубликовал первую статью на Хабре:
Весенние игры KIPS. Или осваиваем бюджет на ИБ в 300.000$
Ну и вторую тоже:
четверг, 23 марта 2017 г.
среда, 1 февраля 2017 г.
ɢoogle.com
Если в в строке браузера написать ɢoogle.com (желательно скопировать отсюда), то можно прочитать занимательный стишок
http://money.get.away.get.a.good.job.with.more.pay.and.you.are.okay.money.it.is.a.gas.grab.that.cash.with.both.hands.and.make.a.stash.new.car.caviar.four.star.daydream.think.i.ll.buy.me.a.football.team.money.get.back.i.am.alright.jack.ilovevitaly.com/
вторник, 6 декабря 2016 г.
Новая доктрина информационной безопасности
Когда увидел новость, подумал: сейчас прочитаю текст, нарежу цитат и выложу в блог. Но ничего примечательного в документе не обнаружилось. Разве что:
Видимо в случае LinkedIn необходимость обеспечения национальной безопасности перевесила.
понедельник, 5 декабря 2016 г.
KIPS Winter Series 2016
Сбылась мечта специалиста по ИБ, я поучаствовал в KIPS 2016. Официальное подтверждение:
Немного скриншотов из самой игры:
Довольно подробно по игре можно прочитать у Алексея Лукацкого.
Не смог не обратить внимание на следующие моменты (понятно, что это всего лишь игра, но все же):
Не смог не обратить внимание на следующие моменты (понятно, что это всего лишь игра, но все же):
- При максимально возможной прибыли за игру 1.000.000$, бюджет ИБ составляет 250.000$, эх что бы я так жил...
- а как же основопологающий принцип ИБ? Не верю, что потратить 50.000$ на ИБ и не потерять не реализации угроз 10.000$ лучше, чем не потратить 50.000$ и потерять на угрозах 10.000$.
ФСБ, банки и все-все-все *минутка юмора*
- Шеф, Федеральная служба безопасности РФ опубликовала заявление, что владеет информацией о подготовке иностранными спецслужбами в период с 5 декабря 2016 года масштабных кибератак с целью дестабилизации финансовой системы Российской Федерации, в том числе деятельности ряда крупнейших российских банков.
- Что ожидается?
- Мошеннические sms клиентам, DDoS и фальшивые публикации в СМИ
- Чем нам грозит DDoS?
- Наши информационные системы будут не доступны в течении какого то времени.
- А банкоматы?
- Они в том числе.
- Мы не можем этого допустить, мы должны сделать шаг быстрее злоумышленников!
(Разговор является вымышленным и не имеет связи с реальным миром).
P.s.
 |
| Нотариально заверенный скриншот |
среда, 30 ноября 2016 г.
С днем защиты информации!
В 1988 году американская Ассоциация компьютерного оборудования объявила 30 ноября Международным днем защиты информации (Computer Security Day). Целью Дня является напоминание пользователям о необходимости защиты их компьютеров и всей хранимой в них информации.Как еще писал Пушкин: "Береги сервер с нову, а честь с молоду". С праздником, коллеги!
П.с. Лаборатория Касперского приготовила нам изумительный подарок: бесплатное участие в KIPS Winter Series (https://wseu.kips.site/), успевайте зарегистрироваться!
вторник, 18 октября 2016 г.
Обучение сотрудников
Необходимость повышения грамотности сотрудников в вопросах ИБ зафиксирована в большинстве стандартов.
Например для банков: 382-п
Например для банков: 382-п
2.12.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников в области обеспечения защиты информации:по порядку применения организационных мер защиты информации;по порядку использования технических средств защиты информации.Для любителей ISO: ISO/IEC 27002
7.2.2 Осведомленность, образование и обучение в сфере информационной безопасностиЧто можно сделать в своей организации уже завтра:
Все сотрудники организации и, там, где это существенно, работающие по контракту должны быть соответствующим образом информированы и обучены, а также регулярно извещаться об изменениях в политиках и процедурах организации, в той мере, насколько это важно для исполнения их служебных обязанностей. (Так же в этом пункте 7.2.2. есть практические рекомендации по применению. Найти текст стандарта можно здесь)
- Приказом принять инструкцию по ИБ для пользователей. В ней описать основные требования. Всех сотрудников ознакомить с ней под подпись. Теперь, в случае ее нарушения, у нас будет механизм воздействия на сотрудника.
- Издать памятку по ИБ. Это неофициальный документ, в нем в доступной форме описаны все основные требования. Должна быть красочная, в корпоративном стиле. Каждому новому сотруднику выдавать такую в руки, чтобы пылилась под клавиатурой и всем своим видом напоминала, что ИБ это важно.
- Информационные рассылки по почте. Лучше проводить нечасто, раз в 2-3 недели, чтобы глаз не замыливался ими. В них обращаем внимание на актуальные вопросы.
- Личный инструктаж каждого нового сотрудника, при желании с проведением небольшого теста в конце, что бы "страшный безопасник" еще больше запомнился (плюсом бланки тестов с подписью очень весело показывать проверяющим из ЦБ).
По каждому из пунктов, при вашем желании, могу дать рекомендации и привести рабочие примеры.
Подписаться на:
Сообщения (Atom)