Блог Сергея Борисова про ИБ

PCI Software Security Framework (SSF) это набор стандартов и сопутствующих им дополнительных материалов. В данный момент набор включает в себя 2 параллельно работающих стандарта, имеющих общую основу, а также свои особенности: ·         Secure Software Standard  – требования к функциям и возможностям безопасности ПО ·         Secure SLC Standard  – требования к процессам разработки безопасного ПО Последний стандарт обновился совсем недавно, поэтому давайте взглянем на него поподробнее: ·         как и во многих других лучших практиках, декларируется объективный риск-ориентированный подход при выборе мер защиты и частоты их выполнения ·         требования разделены на 4 большие группы: o    управление безопасностью o    безопасная разработка ПО o    управление ПО и данными o    безопасность взаимодействия ·         каждое требование включает следующие компоненты: o    задачи (Control Objectives) – результаты которые должны быть достигнуты o    оценка (Test Requir

  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот

Как вы, наверное, слышали недавно госдумой были внесены изменения в ФЗ «об образовании в РФ» в части регулирования просветительской деятельности. Сразу же появилось много вопросов, о том, что блогеры по информационной безопасности тоже попадают под эти требования и как именно их будут регулировать? Как будто в ответ на эти вопросы недавно был утвержден и опубликован Профессиональный стандарт «Блогер в сфере информационной безопасности».   В стандарте определены виды блогеров, их трудовые функции, необходимое образование, навыки и умения, а также порядок взаимодействия с органами контроля. В частности, определено, что осуществления своей деятельности блогеры должны будут получить разрешительное заключение от трех профильных органов государственного контроля – Роскомнадзора, ФСТЭК России и ФСБ России. Для этого нужно будет: ·         пройти обучение в организациях, установленных профильными органами; ·         подтвердить соответствие утвержденному стандарту ; ·