Size: a a a

2019 September 14

B

Bulat in Codeibcommunity
Расчеты, коэффициенты - это конечно все хорошо, но не для масштабов обычного бизнеса. Все проще. Бизнес обычно сам чувствует риски. Если у вас на сервере ценная информации, то вполне возможно руководитель первый к вам придёт и спросит про бэкап. Задача в том, чтобы попытаться понять структуру бизнеса и основные процессы. Может модель угроз сведётся к листочку А4
источник

B

Bulat in Codeibcommunity
А большие модели, со сложными вычислениями воспринимаются бизнесом как попытка что то продать дорогое и ненужное. Тем более что цифры там обычно с потолка.
источник

DD

Denis Dubtsov in Codeibcommunity
Roman K
Коллеги, по поводу обоснования затрат и донесения до руководства, что это нужно. У вас есть автомобили? А подушка безопасности? Какова вероятность, что попадёте в ДТП? Хотелось бы в этом случае сидеть в автомобиле, где есть полный комплект мер безопасности? Так же и с бизнесом...есть критичная информация, потеря которой может «покалечить» и потребуется много времени и денег на «выздоровление» или вовсе «привести к летальному исходу». Причём это далеко не всегда зависит от атак из вне, хватает «водятлов» и внутри. Поэтому всякий раз, когда руководство противится тратить деньги на защиту - спросите, готовы ли они даже с вероятностью 5-10% лицезреть как их бизнес «покалечится» или «издохнет». А для оценки в помощь: 1. Выявляем КИ и делим её на 2 типа («покалечит» и «летальный исход») 2. Берём у фин.дира или даже у самого собственника инфу о хотябы примерной стоимости бизнеса (точную цифру вам вряд ли кто даст). 3. Считаем в % вероятность наступления «неблагоприятных ситуаций» (утечка, атака и т.д.) 4. Считаем сумму этого % от стоимости бизнеса. Если сумма потерь больше суммы затрат на защиту - вменяемый Руководитель примет предложение по ЗИ.
P.S. Это так... «на коленке» сварганил, к этому расчету можно подойти более тщательно, чтобы нокаутировать аргументами и цифрами руководство и финансистов, яро урезающих всевозможные расходы на то, чего не понимают.

Всем хороших выходных!)))
Вообще забавно с финансистами и прочими бухгалтерами. Первые для того, что бы финансировать, а не препятствовать финансированию, вторые к финансированию вовсе отношения не имеют. Но и те и другие пытаются влиять на производственные и любые другие подразделения, причём обычно деструктивно. Особенность российского менеджмента - центр расходов вертит центрами доходов.
Возвращаясь к эффективности, на стадии проектной инициативы посчитать эффективность невозможно, предположить при наличии статистики можно. Максимум - это показать предполагаемый возврат инвестиций, но и для этого нужно оперировать не гипотетическими а понятными руководству цифрами и параметрами. Вероятность обычно не работает, особенно, если речь про хакеров или регулятора, она всегда 50/50, и шансы получить финансирование такое же. Итого, выходит, что руководители по вашей оценке скорее не вменяемые, хотя у них просто хороший аппетит или ROI строили вокруг мифической КТ или штрафов РКН, а не вокруг понятного value.
источник
2019 September 15

IB

Ilya Borisov in Codeibcommunity
Рекомендую к прочтению Дугласа Хаббарда "How to measure anything in cybersecurity"
источник

DD

Denis Dubtsov in Codeibcommunity
Ilya Borisov
Рекомендую к прочтению Дугласа Хаббарда "How to measure anything in cybersecurity"
А еще для поднятия настроения Risk Management strategy в песне https://www.youtube.com/watch?v=9IG3zqvUqJY
источник

АК

Алексей Классныйчува... in Codeibcommunity
Igor
не соглашусь.
ОАО, ПАО: откройте hh - все ищут.
Минобразование утверждает новый перечень профессий по ИБ - на этой неделе только список опубликован был.
На уровнее ООО: также поиск специалистов, которые могут конфигурировать маршрутизаторы по соединениям различных подразделенией.
ПАК СКЗИ - эту аббревиатуру знают все больше и больше руководителей, которые взаимодействуют с государственными органами власти.

Ваше утверждение относится к бизнесу, с доходной частью от 3 до 5 млн в год. Соглашусь. Одна точка. Бизнес по модели купи-продай. И даже в таком "контуре", уже многое выносится в облачные системы, удаленные ПК и так далее. И возращаемся к hh - вбейте слово mikrotik
А дайте ссыль на список профессий
источник

I

Igor in Codeibcommunity
Алексей Классныйчувак
А дайте ссыль на список профессий
​​Проекты федеральных государственных образовательных стандартов от Минобрнауки по направлениям, связанным с информационной безопасностью
 
Вчера обрела узкую популярность новость, связанная с подготовкой Минобрнауки проектов федеральных государственных образовательных стандартов, связанным с информационной безопасностью. Скорее всего, эти стандарты скоро будут приняты, но еще пока можно поучаствовать в их публичном обсуждении. Речь идет о следующих проектах:
 
1.                Приказ Минобрнауки «Об утверждении федерального государственного образовательного стандарта высшего образования – специалитет по специальности 10.05.04 Информационно-аналитические системы безопасности».

2.                Приказ Минобрнауки «Об утверждении федерального государственного образовательного стандарта высшего образования – специалитет по специальности 10.05.03 Информационная безопасность автоматизированных систем», который, кстати, ключает, в том числе, такие специализации как:
·                   специализация № 4 «Безопасность автоматизированных систем критически важных объектов»;
·                   специализация № 10 «Безопасность автоматизированных систем управления технологическим процессом» (по области применения);
·                   специализация № 11 «Безопасность значимых объектов критической информационной инфраструктуры».

3.                Приказ Минобрнауки «Об утверждении федерального государственного образовательного стандарта высшего образования – специалитет по специальности 10.05.02 Информационная безопасность телекоммуникационных систем».

4.                Приказ Минобрнауки «Об утверждении федерального государственного образовательного стандарта высшего образования – специалитет по специальности 10.05.01 Компьютерная безопасность», который, кстати, включает, в том числе, такую специализацию как специализация № 7 «Специальные технологии противодействия компьютерным атакам».

5.                Приказ Минобрнауки «Об утверждении федерального государственного образовательного стандарта высшего образования – магистратура по направлению подготовки 10.04.01 Информационная безопасность».

6.                Приказ Минобрнауки «Об утверждении федерального государственного образовательного стандарта высшего образования – бакалавриат по направлению подготовки 10.03.01 Информационная безопасность».

Как видно, все перечисленные стандарты применяются в, так сказать, обычных гражданских образовательных учреждениях высшего профессионального образования, так и в аналогичных организациях, находящихся ведении «силовых» федеральных органов исполнительной власти, но в этом случае программы обучения могут быть дополнены некоторыми специальными дисциплинами.
источник

DK

Daniel Kravtsov in Codeibcommunity
Igor
​​Проекты федеральных государственных образовательных стандартов от Минобрнауки по направлениям, связанным с информационной безопасностью
 
Вчера обрела узкую популярность новость, связанная с подготовкой Минобрнауки проектов федеральных государственных образовательных стандартов, связанным с информационной безопасностью. Скорее всего, эти стандарты скоро будут приняты, но еще пока можно поучаствовать в их публичном обсуждении. Речь идет о следующих проектах:
 
1.                Приказ Минобрнауки «Об утверждении федерального государственного образовательного стандарта высшего образования – специалитет по специальности 10.05.04 Информационно-аналитические системы безопасности».

2.                Приказ Минобрнауки «Об утверждении федерального государственного образовательного стандарта высшего образования – специалитет по специальности 10.05.03 Информационная безопасность автоматизированных систем», который, кстати, ключает, в том числе, такие специализации как:
·                   специализация № 4 «Безопасность автоматизированных систем критически важных объектов»;
·                   специализация № 10 «Безопасность автоматизированных систем управления технологическим процессом» (по области применения);
·                   специализация № 11 «Безопасность значимых объектов критической информационной инфраструктуры».

3.                Приказ Минобрнауки «Об утверждении федерального государственного образовательного стандарта высшего образования – специалитет по специальности 10.05.02 Информационная безопасность телекоммуникационных систем».

4.                Приказ Минобрнауки «Об утверждении федерального государственного образовательного стандарта высшего образования – специалитет по специальности 10.05.01 Компьютерная безопасность», который, кстати, включает, в том числе, такую специализацию как специализация № 7 «Специальные технологии противодействия компьютерным атакам».

5.                Приказ Минобрнауки «Об утверждении федерального государственного образовательного стандарта высшего образования – магистратура по направлению подготовки 10.04.01 Информационная безопасность».

6.                Приказ Минобрнауки «Об утверждении федерального государственного образовательного стандарта высшего образования – бакалавриат по направлению подготовки 10.03.01 Информационная безопасность».

Как видно, все перечисленные стандарты применяются в, так сказать, обычных гражданских образовательных учреждениях высшего профессионального образования, так и в аналогичных организациях, находящихся ведении «силовых» федеральных органов исполнительной власти, но в этом случае программы обучения могут быть дополнены некоторыми специальными дисциплинами.
ФГОСы это конечно круто. Но кто учить то будет? Преподаватели которые за всю жизнь ни одной строчки правил для МЭ не писали, не настраивавших СОВ, DLP, антивирусы, you name it. Которые не слышали про hardening и не имеющих представления о том как работают ИС на заводах, в банках и прочих организациях, список могу продолжать дальше.
источник

I

Igor in Codeibcommunity
Daniel Kravtsov
ФГОСы это конечно круто. Но кто учить то будет? Преподаватели которые за всю жизнь ни одной строчки правил для МЭ не писали, не настраивавших СОВ, DLP, антивирусы, you name it. Которые не слышали про hardening и не имеющих представления о том как работают ИС на заводах, в банках и прочих организациях, список могу продолжать дальше.
Этот вопрос не ко мне.
Писал ранее о другом. Эта информация о том, что ИБ начинает становиться более осязаема, не только на уровне Вами перечисленными отраслями, но и как науки в целом.
источник

DK

Daniel Kravtsov in Codeibcommunity
Igor
Этот вопрос не ко мне.
Писал ранее о другом. Эта информация о том, что ИБ начинает становиться более осязаема, не только на уровне Вами перечисленными отраслями, но и как науки в целом.
Согласен. Но в нашей деревне (Омск) эта осязаемость пока только на бумаге. Мне вон вчера пятикурсник пришел на пересдачу и утверждал что TCP сессия инициируется с ACK пакета, метод SYN сканирования бесшумный, а при передаче копии трафика через SPAN СОВ будет что-то назад отвечать роутеру )
источник

Js

Jogi shimanskii in Codeibcommunity
Daniel Kravtsov
Согласен. Но в нашей деревне (Омск) эта осязаемость пока только на бумаге. Мне вон вчера пятикурсник пришел на пересдачу и утверждал что TCP сессия инициируется с ACK пакета, метод SYN сканирования бесшумный, а при передаче копии трафика через SPAN СОВ будет что-то назад отвечать роутеру )
Привет Омичам и всем остальным тоже
источник
2019 September 16

YZ

Yerkebulan Zhalgasba... in Codeibcommunity
Dmitriy
С учетом стоимости защищаемого актива и величины ущерба
Приветствую. Может уже есть обкатанные подходы, методики? Мы сейчас пытаемся собрать стат.данные за прошлые периоды и хотяб на их базе какие то прогнозы построит касательно потенциального киберущерба.
источник

DK

Daniel Kravtsov in Codeibcommunity
Jogi shimanskii
Привет Омичам и всем остальным тоже
Привет. Если не ошибаюсь мы в мин. обре с Вами пересекались?
источник

Js

Jogi shimanskii in Codeibcommunity
Daniel Kravtsov
Привет. Если не ошибаюсь мы в мин. обре с Вами пересекались?
Именно
источник

NA

Natalia Akilova in Codeibcommunity
Уважаемые участники, если среди вас есть те, кому интересна тема BYOD и безопасность, или вам просто очень нравятся наши конференции, то милости просим на Код ИБ в Екатеринбург. Конференция пройдет в ЭТОТ ЧЕТВЕРГ. Для иногородних участников добираться очень удобно - отель проведения расположен прямо в аэропорту Екатеринбурга. Участие бесплатное. Программа и форма регистрации по ссылке: https://ekaterinburg.codeib.ru/
источник

Js

Jogi shimanskii in Codeibcommunity
Natalia Akilova
Уважаемые участники, если среди вас есть те, кому интересна тема BYOD и безопасность, или вам просто очень нравятся наши конференции, то милости просим на Код ИБ в Екатеринбург. Конференция пройдет в ЭТОТ ЧЕТВЕРГ. Для иногородних участников добираться очень удобно - отель проведения расположен прямо в аэропорту Екатеринбурга. Участие бесплатное. Программа и форма регистрации по ссылке: https://ekaterinburg.codeib.ru/
Может стрим сделаете или видео-трансляцию сделаете с мероприятия
источник

OP

Olga Pozdnyak in Codeibcommunity
Всем привет 🙂

Участников чата с Урала хочу пригласить на наши ближайшие конференции Код ИБ в Екатеринбурге (19 сентября) и Челябинске (26 сентября).

Обязательно регистрируйтесь на странице своего города и присоединяйтесь. Участие  бесплатно 👍

https://conf.codeib.ru
источник

NA

Natalia Akilova in Codeibcommunity
можем сделать видео трансляцию с пленарной дискуссии в наш паблик в ФБ https://www.facebook.com/codeibacademy/
источник

Js

Jogi shimanskii in Codeibcommunity
А нельзя видео выложить и тут ссылку разместить
источник

NA

Natalia Akilova in Codeibcommunity
можно)
источник