Архив метки: СМИБ

IT Security Conference 2018

Вообще это финальный кадр конференции, буквально за 3 минуты до закрытия — поздравление организатора конференции, Анищенко Владимира (справа)

Побывал на очередной, уже 4й конференции IT Security Conference. На наших просторах выбора особого нет, поэтому данную конференцию можно считать чуть ли не единственной профильной по ИБ.  Поэтому считаю, что каждый ИБэшник должен таки сходить сюда, отдать дань уважения так сказать)

Сам смог поприсутствовать только половину первого дня и половину второго, и многое, к сожалению,  пропустил :-/ Поэтому мой отзыв весьма поверхностный, но тем не менее:

  • Очень много времени посвящено блокчейну. Вернее, ИБ в блокчейне. По немногим посещенным докладам и по круглому столу (см. картинку ниже) — я понял что мало кто понял что кто-то что-то понимает в блокчейне но не в ИБ. Ну вот примерно такие были обсуждения, как предложение это) Лично мне кажется, что на практике это мало кому нужно, а большинство просто пытается подстроиться под хайп.
  • Многовато вендорских докладов. Ну чесн слово, хотелось бы послушать обычных ребят со своими проблемами и решениями.
  • Тем не менее, у некоторых вендоров были прикольные доклады, с интересными цифрами, из которых можно делать выводы (не покупая при этом вендорских продуктов:)

Круглый (ну или прямой) стол по блокчейну

 

Что про себя — выступил с презентацией про то, что если уж вляпался в ИБ, так это надолго (на всю жизнь). И что с этим делать? Ответа прямого, как вы понимаете, нет)

Хотел поблагодарить организаторов — за отличное мероприятие!

Статья в журнале !БДИ — СМИБ: «ЧЕЛОВЕЧЕСКОЕ ЛИЦО» ТЕХНИЧЕСКОЙ ЗАЩИТЫ

Картинка из журнала - Базовая схема СМИБЗапостил статью в журнале «!Безопасность деловой информации» — про человеческий и технический фактор при внедрении СМИБ. Полное название статьи: «СМИБ: «ЧЕЛОВЕЧЕСКОЕ ЛИЦО» ТЕХНИЧЕСКОЙ ЗАЩИТЫ«.

Интересен оказался процесс взаимодействия с авторами журнала. Во многом то, как я первоначально видел и писал — оказалось переделанным, отдизайненным и выглядящим уже не «как родное»:) Но более профессионально что-ли.

В общем, хороший опыт)

Компания Exadel — сертифицирована по стандарту ИСО 27001!

Друзья, делюсь успехом — сертификация ИСО 27001 в компании Exadel свершилась!

Об этом официально сообщили в блоге компании, см. ISO Certifies Exadel for Information Security.  Значит и я могу уже говорить:)

В этот проект я вложил больше года профессиональной жизни, применил все что знал, научил команду всему что знал, ну и сам также научился многому.

На мой субъективный взгляд, проект удался!

Мы разработали и внедрили классическую методику управления рисками, качественно прошлись по им всем, разработали фигову тучу защитных мер.

Риски были действительно обработаны, и на это ушло часов 200 от ключевых людей компании — замы директора, руководители отделов, проектов. По результатам анализа рисков были приняты взвешенные решения — что внедрять, до какой степени, чтобы не мешало бизнесу и нужный уровень защиты обеспечивался.
2015-11-25 14.07.45

ИБ — тема веселая)

2015-11-25 14.08.13

2016-03-28 09.14.34

..но серьезная

Создали классную программу для управления рисками — см . скрин ниже. Прога может делать с рисками все — от активов до SoA, контролов и разнообразных отчетов.rts

Занимались кучей разных под-проектов.

Часть отчета по пентесту сети

Часть отчета по пентесту сети

Играем в шпионов - что там видно через окно?

Играем в шпионов — что там видно через окно?

Тренируемся перед процедурой уничтожения HDD

Тренируемся перед процедурой уничтожения HDD

Веник уничтожен. И не говорите что это нетехнологический способ. Знаю) Просто будем считать это начальным этапом)

Веник уничтожен.
И не говорите что это нетехнологический способ. Знаю) Просто будем считать это начальным этапом)

Провели множество тренингов, как целевых, так и на всю компанию.

DSC_8219

Тренинг в помщении инкубатора ПВТ, отличное место

DSC02250

Мне (нам) сильно повезло — в проекте было заинтересованно руководство, от вице-президентов компании, до линейных менеджеров. Причем, люди были заинтересованы в результате, в эффективных процессах. Поэтому все получилсь хорошо.

Сейчас в Exadel создана отличная ИБ команда, ребята прогрессивные и мотивированные.
Команда ИБ Exadel (ну кроме меня, того что в пиджачке:)

Команда ИБ Exadel (я слева, в пиджачке:)

После сертификации может сложиться впечатление, что все, проект закрыт, людей можно распускать:) Но по факту, только сейчас и начинается реальная работа. Обработка рисков в динамике, работа с инцидентами, анализ метрик (их еще нужно выбрать, чтобы живыми были), обучение персонала. Я набросал как-то список.

СМИБ развивается и пытается  помогать бизнесу. Сейчас это главный приоритет.

 

Тренинг «ИСО 27001 и СМИБ . Теория и практика»

Ну что же, 3-х дневный тренинг по ИСО 27001 и внедрению СМИБ — проведен!

Вложил в тренинг все что знал, постарался сделать максимально практичным.

На первый тренинг собралась достаточно разношерстная публика: ИТ компания и госконторы. Был определенный «челендж» в разъяснении теории для разнородных организаций.

Для интересующихся, см. обзорную презентацию по тренингу — Обзорная презентация по тренингу СМИБ и ИСО 27001.Training cover

Training program

 

Из субъективных ощущений — подготавливать курсы на несколько дней — неимоверно тяжело! Спал я мало в ту неделю:)

Зато, вроде бы понравилось людям. По крайней мере, оценки в опросной анкете выставили высокие:)

Для заинтересованных в будущих тренингах — записывайтесь у softline (следующая сессия планируется 8-10 июня). Либо контактируйте со мной — возможно организовать тренинг на базе организации, с учетом вашей специфики.