Блог Сергея Борисова про ИБ

  Достаточно части организации задают вопрос – как построить процесс управления уязвимостями в организации. Недавно сообщество OWASP опубликовало документ Vulnerability Management Guide ( OVMG ) – по сути руководство по построению процесса управления уязвимостями. Давайте посмотрим подробнее на наиболее интересные моменты: ·         Чтобы “съесть” большого слона и не подавиться предлагается разделить его на маленькие понятные части ·         Поэтому общий процесс управления уязвимостями рассматривается как тройной цикл из подпроцессов, каждый из которых состоит из повторяющихся задач и подзадач o    Detection (Обнаружение) §   Define/Refine scope (Определение области применения) §   Optimize Tools (Оптимизация средств анализа) §   Run Vulnerability Tests ( Запуск тестов ) §   Confirm Findings (Подтверждение результатов) o    Reporting ( Отчетность ) §   Create Asset Groups ( Классификация активов ) §   Define/Refine Metrics (Определение метрик критичности)

Недавно у нас с Ксенией Шудровой прошел уже 10-тый юбилейный межблогерский вебинар. В этот раз гостями были Вячеслав Золотарев и Мария Сидорова и обсуждали мы с ними современные технологии и подходы в обучении ИБ. Все четыре докладчика рассказывали про разные стороны обучения ИБ, каждый исходя из своего опыта: ·         Я рассказал про современные технологии и подходы в корпоративном обучении ИБ, про попытки привлечь внимание пользователей за счет геймификации, интерактива, удобства, интересного контента, микрокурсов. Немного пересказов gartner много картинок из современных систем обучения ИБ и лучшие карточные игры ИБ, как подручный материал для тренинга. ·         Ксения Шудрова, наоборот, призывала брать пример с вузов при корпоративном обучении ИБ, совместно читать библию законодательство в первоисточниках, писать конспекты, использовать доски, учебники, методички, давать побольше самостоятельных работ и практических работ с кейсами, ну и конечно тесты с билетами. ·