вторник, 12 августа 2014 г.

PCI DSS - Information Supplement: Third-Party Security Assurance

PCI Council опубликовал документ – «Third-Party Security Assurance».  Выбор и управление взаимодействием с контрагентами (ИТ).
Документ доступен на официальном сайте.

воскресенье, 22 июня 2014 г.

Несколько слов по результатам парламентского слушания «Законодательное обеспечение развития информационного общества в Украине» от 18.06.14 в Верховной Раде Украины

Что бы дети были мытыми и чистыми их нужно мыть и чистить… (так мог бы сказать Капитан Очевидность или политик).

В рамках трех часовых слушаний, на которые я был аккредитован в роли эксперта в области информационной безопасности, планировалось заслушать порядка сорока докладчиков. Понятно, что в рамках такого регламента никакие обсуждения не состоялись (хотя и планировались).
Мой интерес к данному слушанию вызвал документ «Закон про основы информационной безопасности Украины», а так же выступление главы государственной службы спецсвязи и защиты информации и начальника управления по борьбе с киберпреступностью МВД Украины.
Что касается документа «Закон про основы информационной безопасности Украины», то по нему был подготовлен ряд предложений инициированных коллегами из «Исака Киев» (обсуждение проекта закона доступно тут).
На данный момент они переданы «Комитету по информатизации» и по возможности будут направлены другим учреждениям, вовлеченным в процесс обеспечения информационной безопасности Украины.    
Что же касается других моментов, то был поднят вопрос национального антивируса и ОС (обсуждение инициативы доступно тут).
Много было сказано о необходимости создания единого курирующего органа, для избегания дублирования функций, развития ИТ на техническом и законодательном уровне, дублирования информации в разнородных базах данных, повсеместное использование ЭЦП и пр. Все это хорошо и правильно, вот только напомнило анекдот «Мышки, станьте ежиками…». Инициативы отличные, но со слишком высокоуровневой формулировкой, посмотрим, как будет с реализацией. Частично планируется решить более низкоуровневые вопросы путем создания «Комитетов» по тем или иным вопросам. 
Доклады и предложения зарубежных коллег, были более прикладными и изобиловали примерами реализации и этапами достижения. То же самое можно сказать и о докладе директора «Майкрософт Украина».  
В завершении хочется сказать, что безусловно приятны изменения, которые произошли за 6 месяце с декабря 2013 года и, возможно, законотворчество становится несколько более открытым для экспертов и игроков рынка. С другой стороны, все-таки большинство докладчиков представляющих государственные органы выступают «с листка» и по моему субъективному мнению в значительно большей мере обеспокоены переделом сфер влияния и финансирования, а к внедрению адекватных законодательных изменений и развитию отраслей относятся скорее по остаточному признаку. 
Ничего не меняется за один день, надеюсь, что с течением времени взаимодействие представителей государственных органов с экспертами в вопросах законотворчества будет неуклонно расти. И мы сможем пользоваться качественной законодательной базой, а так же удобными государственными сервисами. Вот только путь этот может быть долгий и тернистый…        

воскресенье, 15 июня 2014 г.

Презентация с доклада «Поэтапный процесс построения информационной безопасности в Компании» в рамках конференции «Outsource people»

Дополнено презентацией - скачать.

В Воскресение, 15 июня в 12:40 буду читать презентацию «Поэтапный процесс построения информационной безопасности в Компании» в рамках конференции «Outsource people».

План презентации:
  1. Цели и задачи безопасности в компании.
  2. Предварительный аудит.
  3. Анализ рисков.
  4. Устранение критических уязвимостей.
  5. Описание процессов и разработка документации.
  6. Внедрение процессов безопасности.
  7. Внедрение систем безопасности.
  8. Поддержка процессов и систем.
  9. Примеры реализации.
  10. Вопросы для обсуждения.
Буду рад видеть всех, кому интересна данная тема. До встречи на вебинаре. 

четверг, 12 июня 2014 г.

Доклад «Использование стандартов и лучших практик ИТ в процессах информационной безопасности»

Сегодня, 12 июня с 18:00 до 19:00 в рамках совместного круглого стола ISACA (Kyiv Chapter) и PWC под названием «IT Management – необходимость или дань моде»  планирую выступление с докладом «Использование стандартов и лучших практик ИТ в процессах информационной безопасности». 

Буду рад видеть коллег и заинтересованных темой представителей других направлений бизнеса. 

понедельник, 12 мая 2014 г.

PCI DSS 3.0. Перенимая опыт и следуя рекомендациям.

Все большее количество компаний начинает подготовку к прохождению аудита по требованиям стандарта PCI DSS 3.0. Для того, что бы лучше разобраться с требованиями и изменениями в стандарте PCI DSS 3.0, а так же понять, как выполнить подготовку максимально эффективно, будет полезно ознакомиться со следующими презентациями по данному вопросу.

      Так же хочу напомнить, что ознакомиться с моей презентацией о подготовке и прохождении аудита соответствия PCI DSS можно тут.    


среда, 16 апреля 2014 г.

PCI DSS 3.0. Изменения по сравнению со второй версией стандарта.

С перечнем изменений, которые появились в третьей версии стандарта PCI DSS можно ознакомиться по нескольким ссылкам ниже:
      1.       Официально.
      2.       Основными моментами. 

среда, 19 марта 2014 г.

Return on relationships for CISO

Не так давно увидел новое для себя понятие ROR (return on relationships) по аналогии с ROI (return on investments). Все мы используем данный термин осознано или нет, строя формальные и не формальные отношения, как на работе, так и в других аспектах жизни.
Давайте рассмотрим, с кем же CISO стоит строить отношения в компании в первую очередь, для каких целей и как это лучше всего сделать?
С формальными отношениями все отчасти регламентируется инструкциями, политиками и правилами, а то, что касается неформальных взаимоотношений - стоит особого внимания, и требует приложить максимум усилий, что бы добиться поддержки (идеальный случай), понимания или на худой конец непредвзятости руководителей, а потом и сотрудников подразделений.
Ну что же, давайте вкратце рассмотрим, с кем руководитель информационной безопасности зачастую строит формальные и не формальные отношения в новой компании.
Непосредственный руководитель. Само собой разумеется, что для плодотворной работы коммуникация с таким человеком должна быть отменной. Понимания (хотя бы частично) его истинных целей в компании, чем можно быть ему полезным, а главное как. В какой форме предоставлять ему информацию более удобно, какие цели действительно первоочередные, по его мнению (в отличие от декларируемых целей). Хорошо бы составить его психологический портрет, и собрать мнения и отзывы от коллег. Все это вам понадобится, для того что бы понимать, как стоить свою игру. Если это группа людей все заметно усложняется.

воскресенье, 23 февраля 2014 г.