Архивы автора: Алексей Евменков

Об авторе Алексей Евменков

Меня зовут Алексей Евменков. В ИТ бизнесе с 1999 года. Начинал с программного тестирования, плавно перешел в процессную область, затем в информационную безопасность (ИБ). Больше всего мне нравится выстраивать системы. Системы по управлению качеством, по управлению ИБ, просто системы процессов разработки и тестирования. В своей практике занимался внедрением и сертификацией многих СМК (по ISO 9001) и СУИБ (ISO 27001). Создал и сертифицировал первую в Беларуси СУИБ в соответствии со стандартом ISO\IEC 27001:2005. Цель блога - поделиться опытом, структурировать имеющиеся знания. Блог про QA и IS assurance в IT компаниях во всех своих проявлениях:)

Семинар Increasing Business Effectiveness of IT Companies through Risk Management and Certification Standard

Посетил семинар “Повышение эффективности ИТ компаний с помощью риск менеджмента и сертификации”, 10&11 июля, организатор — Европейский Банк Реконструкции и Развития.

Ниже — краткая сводка.
Читать далее

Информационная безопасность в Cobit 5

Вышел Cobit 5. Вообще, это мощное событие на ИТ рынке. Консультанты, специалисты по ИТ практикам, по ИБ — все должны ознакомиться с сим творением:)
Так как я являюсь членом ISACA, то базовый набор документации Cobit 5 мне достался бесплатно.
Что интересно, за отдельный гайд «COBIT 5 for Information Security» нужно платить даже члену ISACA. Ну, деньги небольшие (что-то около 35$), нужно купить.

Пока же я сделал краткий обзор по Cobit 5 — по новой структуре, принципам, содержанию процессной карты — все в разрезе ИБ.

Эту презентацию я сегодня представил на семинаре Инфопарка.
Основной аудиторией были ИТ менежмент с локальных организаций — банков, предприятий. По отклику понял, что несмотря на ‘У Cobita 5 большое будущее’ — на локальном (белорусском) рынке путь Cobit 5 будет долгим и тернистым:-)

Analyst days 2012 — выступил с небольшим докладом

Прошла конференция Analyst days 2012 — 25 мая, детали см тут.

Тема доклада — ISO 9001 must die? — см вверху встроенный ролик. Также вот ссылка на сайте prezi.com.
Также можно скачать одним файлом, в виде флешки.

Тематика доклада — по сути повторение и «красивое оформление» предыдущего моего топика — Король умер. Да здравствует король! Или смерть ISO 9001.

Дали для выступления 20 мин. Мало однако:) Все ж стандартный формат мне больше нравится.

 

В целом конференция понравилась. Было пару классных выступлений (из тех, что я увидел). В частности доклады Дмитрия Безуглова и Сергея Мартыненко.

Завтра еще пойду на тренинг того же Дмитрия — про идеи и бизнес кейсы.

 

 

Король умер. Да здравствует король! Или смерть ISO 9001.

Сейчас редко найдешь среднюю или большую ИТ компанию, не имеющую ISO 9001 сертификата.

Тем не менее, я считаю, что в ближайшей перспективе ISO 9001 умрет для ИТ мира. Почему?

Попытаюсь обосновать.
Читать далее

Социальная реклама и безопасность

Классные ролики про элементартные правила по безопасности — не только ИБ, но также с телефоном, транспортом, для детей и тд.

Вот несколько роликов:

Безопасность в интернете

Осторожно — телефонные мошенники

Безопасность ваших детей

Безопасность в транспортных средствах

CISM application

В продолжение темы CISM — зааплаился таки на CISM.

Для непосвященных, сдача экзамена не означает, что ты автоматически становишься CISM. Нужно еще подтвердить хитрым способом, что ты имеешь минимум 5 лет опыта в различных областях ИБ. Оказалось немелкой работой.

Итак, детальные инструкции даны тут: Requirements to Become a Certified Information Security Manager

Первый шаг — описать основные работы, где ты получил бесценный опыт по ИБ. Причем опыт сей должен быть весьма разносторонним — начиная с построения security strategy и заканчивая элементарной оперативкой (ну за инцидентами там следить, риски анализировать).

Второй шаг — описать те работы, которые не являются прямо относящимися к ИБ, но по правилам ISACA могут быть учтены (substituted) и приплюсованы к основному опыту. Например смежные сертификации, учеба профильная. В моем случае это был MBA с дипломной работой, посвященной построению глобальной СУИБ в интернациональной компании. Обещали 2 года учесть за это, надеюсь что сработает:) Иначе, у меня может и не хватить требуемых 5-ти лет опыта, в зависимости от того, как эти ребята складывают цифры.

Дальше, третий шаг — нужно заручиться поддержкой людей, которые могут подтвердить твой опыт.
Обычно, это менеджеры или независимые специалисты, которые могут подтвердить а) твой спектр опыта, твои активности в ИБ б) количество лет\месяцев потраченных тобой на все это.

Мне пришлось много объяснять своим двум «поручителям» что-откуда-почему. Один из них — финн (ну и живет в Финляндии), просто по почте прислал подписанный скан. Второй — уже не работал в моей компании, пришлось связываться, подъезжать к нему на контору..

Финальный шаг — собрать все материалы воедино и накалякать письмо в ISACA. Получилось довольно объемное письмо — тут и сканы моего диплома с транскриптом, и сама application form, и сканированные листики с подписями верификаторов.

Отослал, теперь жду.

Из опыта, у ISACA ничего не бывает быстрым (кроме рекламной макулатуры). Сказали что недель за 8 прочекают.

 

PS думал еще вот эту картинку использовать, навеяло:)

«принципиальная» безопасность

Прочитал давече прикольный док на сайте ISACA —  Principles for Information Security Practitioners .

Весьма прикольный док. Является совместным плодом ISACA, ISF и ISC2.

Изложены простые принципы, следуя которым можно выстроить в компании отличную СУИБ. Ну или улучшить существующую:) Порадовало, что имеются «морально-этичные» принципы и принципы о культуре компании. Вообще то, думаю это самые важные моменты, проходящие красной нитью через все остальные.

Вот краткий список, детали см по ссылке:

A Support the business

A1 Focus on the business

A2 Deliver quality and value to stakeholders

A3 Comply with relevant legal and regulatory requirements

A4 Provide timely and accurate information on security performance

A5 Evaluate current and future information threats

A6 Promote continuous improvement in information security

B Defend the business

B1 Adopt a risk-based approach To ensure that risks are treated in a consistent and effective manner.

B2 Protect classified information To prevent classified information (eg confidential or sensitive) being disclosed to unauthorised individuals.

B3 Concentrate on critical business applications

B4 Develop systems securely To build quality, cost-effective systems upon which business people can rely (eg that are consistently robust, accurate and reliable).

C Promote responsible security behaviour

C1 Act in a professional and ethical manner

C2 Foster a security-positive culture

Кое что о прогнозах на 2012 в области ИБ

Откопал пару интересных прогнозов о развитии ситуации в области информационной безопасности на 2012г.

Самый детальный (особенно по части анализа 2011г) — Предварительные киберитоги и прогнозы 2011-2012 от Касперского. Из него можно узнать десятки реальных случаев атак, инцидентов по всему миру и в России. Неужели фантастика становится реальностью?:)

Кратенький отчет от Гартнера  — ИТ-прогноз до 2016 г.: крах соцсетей, закат компьютерного ПО, массовая киберпреступность. Интересен  прогноз, что 85% компаний из Fortune-500 не смогут к 2015г научиться пользоваться и защищать «большие данные». Действительно, это какой же командой экспертов нужно располагать, чтобы суметь выстроить защиту гигантских массивов перс.данных. Хотел бы присоединиться к такой команде:)

Интересный обзор составил Александр Бондаренко http://secinsight.blogspot.com/2011/12/2011.html.

Threat Horizon 2012 — Emerging information security threats to business и Threat Horizon 2013 — ISF дает свое видение ИБ в 2012 и 2013 годах. По ссылкам можно посмотреть executive versions, чтобы скачать полные версии — нужно быть мембером ISF. В полных версиях гораздо интереснее — много примеров.

В общем, прогноз простой — все становится интереснее:)