Обучение. Аудит ИБ Банков


Наконец-то банковское сообщество родило курс для аудиторов ИБ. Для всех кто этим занимается, можно сказать что это обязательный для посещения курс.
В ближайшее время проводит его АИС:









Комментарии

Artem Ageev написал(а)…
а еще там круто кормят :)
3 апреля 2011 г. в 23:24
Отправить комментарий

Популярные сообщения из этого блога

СОИБ. Проектирование. Защита файловых ресурсов

Изображение
 В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите файловых ресурсов. Несмотря на тенденцию хранения ценной информации в корпоративных приложениях и БД, в большинстве организаций всё равно хранится чувствительная информация в виде файлов. Могу привести следующие примеры: ·         даже если ценная информация хранится в БД, периодически она выгружается оттуда для передачи в другие системы (платежная информация хранится в АБС банка, но для межбанковских платежей используется передача файлов) ·         ценная информация может выгружаться пользователями из БД и сохраняться во временных файлах в рамках выполнения их служебных обязанностей ·         бизнес приложения обычно формируют отчетность, результаты анализа для руководителей в виде документов и именно эта информация представляет наибольшую ценность ·      ...
Далее...

Новый ГОСТ по обнаружению КА и реагированию на инциденты

Изображение
Вчера на сайте ФСТЭК России для общественного обсуждения был выложен ГОСТ Р «Защита информации. Обнаружения, предупреждения и ликвидации последствий компьютерныхатак и реагирования на компьютерные инциденты. Термины и определения» Как следует из названия, стандарт содержит: термины, определения, взаимосвязь терминов. Термины и определения разделены на разделы и подразделы. Обнаружение компьютерных атак и реагирование на компьютерные инциденты – это тема в которой пересекаются интересы многих регулирующих и иных организаций. Разработчики стандарта так обосновывают его необходимость: “Анализ национальных стандартов, нормативных правовых актов и методических документов показывает необходимость установления единой терминологии в части обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Отсутствие единой терминологии может привести к нарушению взаимопонимания между заказч...
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его ...
Далее...