Новая работа, новые цели, новые перспективы.

Хотел бы донести до Вас, коллеги, некоторую информацию. Думаю, что она будет Вам интересна и возможно, что даже полезна.
С середины мая 2011 года я сменил место работы и более не работаю в компании «ЕВРААС.ИТ».
Компания, с которой я планирую строить дальнейшие отношения, это процессинговый центр  «Общая карта», которая входит в состав «БИНБАНКА». Где на данный момент я и занимаю должность, которая звучит как CISO - Chief Information Security Officer.  И подразумевает построение и поддержание процессов информационной безопасности, подготовку к прохождению аудитов платежных систем VISA, MASTERCARD и соответствию стандарту PCI DSS. 
Кроме того неотъемлемой частью работы является ведение проектной деятельности, которая охватывает такие сферы как внедрение систем информационной безопасности, разработку внутренней документации и стандартизации процессов. Надеюсь, что данные сферы ответственности позволят мне реализоваться в полной мере, а компании получить максимальный результат от моей работы.  

Перевод книги Шона Харриса "CISSP All-In-One Exam Guide"

Не так давно натолкнулся на перевод книги Шона Харриса "CISSP All-In-One Exam Guide".

Рад отметить, что благодаря одному из наших коллег, мы все обладаем возможностью облегчить процесс подготовки к данной сертификации.

В качестве обращения хочу привести слова самого автора перевода: 

"Надеюсь, что русский вариант книги поможет лучше понять предмет ИБ начинающим специалистам, которые еще не успели хорошо изучить английский. Для уже состоявшихся специалистов по ИБ книга может послужить хорошим справочником и набором лучших практик при разработке нормативных документов и организации различных процессов ИБ."
 

С радостью делюсь ссылкой на данный шедевр! 

Ссылка.

Интервью с директором компании «Антивирусная лаборатория Цебит», Виктором Жора

Виктор Жора – директор компании «Антивирусная лаборатория Цебит».
Компания предоставляет полный комплекс услуг в области информационной безопасности, обладая глубокой экспертизой в сферах защиты от вредоносного программного обеспечения и построения систем управления информационной безопасностью.

Добрый день. Спасибо, что нашли время ответить на несколько вопросов.

1.    Я знаю, что Вы, как и я, заканчивали Физико-технический институт Киевского политеха, но одного из первых выпусков. Почему пошли учиться именно туда?

Направление защиты информации, которое всегда меня привлекало, стало очень актуальным в 90-х годах. Эта тематика была новой, перспективной, а на рынке ощущался значительный дефицит специалистов. Одним из первых украинских вузов, открывших учебное направление в сфере защиты информации, был Национальный технический университет Украины «КПИ». На базе физико-технического факультета, созданного в 1995 году, была сформирована мощная преподавательская команда, преимущественно состоявшая из выпускников Московского физико-технического института. В учебном процессе киевский физтех ориентировался на программы МФТИ, предполагавшие углубленное изучение математики, физики, информационных технологий и иностранных языков. По моему убеждению, специалист ИБ должен обладать серьезной подготовкой в области фундаментальных дисциплин, а криптоаналитика, к примеру, вообще невозможно представить без глубоких знаний высшей алгебры, комбинаторики и функционального анализа. В итоге, несмотря на успешную сдачу вступительных экзаменов в МФТИ, я принял решение остаться в Киеве и поступил в КПИ, о чем ни на секунду не пожалел.

Обзор изменений в стандарте PCI DSS версии 2.0 по сравнению с версией 1.2.1

Основой данной публикации послужила информация размещенная достаточно давно на ресурсе pcidss.ru, Сергеем Шустиковым. Но как мне кажется, именно сейчас компании начали задумываться о том, по какой версии проходить или подтверждать соответствие стандарту PCI DSS. И эта информация становится все более актуальной.

С одной стороны нет никаких запретов на протяжении 2011 года проходить аудит на соответствие стандарту PCI DSS по версии 1.2.1. С другой стороны с 2012 года, единственной версией по которой можно будет это сделать станет 2.0. Так как же поступить?

Рассмотрим отличия которые появились в версии 2.0

Требование 1

• Во введении к требованию отмечено, что функциональность межсетевого экранирования может быть реализована не только традиционным межсетевым экраном.
  
• В требовании 1.3.1 уточнено, что входящий трафик, проходящий через DMZ, должен быть ограничен протоколами, необходимыми для предоставления авторизованных сервисов, перечень которых составлен при выполнении требования 1.2.1.

Создание российской профессиональной ассоциации специалистов по информационной безопасности — АРСИБ

Инициативная группа, в которую вошли известные ИБ-специалисты России, объявила об образовании российской профессиональной ассоциации специалистов по информационной безопасности — АРСИБ. Казалось бы, в России уже есть “Ассоциация защиты информации”, есть и комитет по информационной безопасности в российском “Союзе ИТ-директоров” (СоДИТ), представлено направление ИБ и в других профессиональных общественных организациях. Как пояснил председатель правления новой ассоциации Виктор Минин, АРСИБ отличает от прочих общественных объединений то, что это единственная из них, которая непосредственно будет представлять интересы сообщества потребителей средств защиты информации. Одной из своих первостепенных задач ассоциация считает повышение престижа профессии руководителя службы ИБ, защиту интересов ее представителей как внутри организаций и компаний, так и на государственном уровне. 

Интервью с идеологом и вдохновителем Virtualization Security Group Russia - Марией Сидоровой

Мария Сидорова - заместитель руководителя направления «Защита виртуальных инфраструктур» компании «Код Безопасности», руководитель некоммерческого объединения российских специалистов, занимающихся вопросами обеспечения информационной безопасности инфраструктур виртуализации - Virtualization Security Group Russia и главный редактор портала VirtualizationSecurityGroup.Ru.

Добрый день. Спасибо, что нашли время для встречи!

1. Расскажите, что послужило отправной точкой для создания портала VirtualizationSecurityGroup.Ru?

Первоначально была идея создания экспертного сообщества, объединения специалистов, которые занимаются как вопросами виртуализации, так и вопросами обеспечения информационной безопасности, для обмена опытом и популяризации вопросов правильного построения систем информационной безопасности для виртуальных инфраструктур, а также развития рынка в целом. Мы создали страничку группы в LinkedIn, однако со временем нам стало тесно в пределах этого формата, возникало много новых идеи и проектов, и вот результат – в декабре 2009 года у нас появился собственный портал. Портал мы создавали, когда нас было уже шестеро. После появления портала к нашей команде присоединился Алексей Колесников, который в настоящее время вместе со мной координирует работу группы.

Публикация в журнале «Inside. Защита информации»

В апрельском номере журнала «Inside. Защита информации» опубликована статья моего авторства, под названием: «Обнаружение и нейтрализация уязвимостей корпоративной сети».

С данной статьей в несколько измененном виде, Вы также можете ознакомиться на данном блоге.  

Статья "Построение процессов управления сетевыми уязвимостями и соответствием"

Международные стандарты информационной безопасности и законы стран СНГ

В разделе "Законы и стандарты" опубликованы международные стандарты и лучшие практики по вопросам информационной безопасности.

А так же законы и стандарты России, Украины, Белоруссии, Азербайджана и Таджикистана.

ISO\IEC

ISO/IEC 27002:2005. Свод правил по управлению защитой информации (на русском)

CERT

CERT. Руководство по предотвращению и выявлению инсайдерских угроз

Другие документы CERT по безопасности

CIS

CIS: Метрики безопасности (на английском)

Другие документы CIS по проверке безопасности различных систем

SANS 

Документы SANS по безопасности

PCI DSS

PCI DSS v 2.0

PCI DSS v 2.0 (Русская версия)

Другие документы PCI и PA DSS

NIST

NIST SP800-30. Руководство по управлению рисками (на английском)

NIST SP800-39. Управление рисками информационной безопасности (на английском)

NIST SP800-35. Руководство по сервисам безопасности информационных технологий (на английском)

NIST SP800-40. Создание программы управления обновлениями и уязвимостями (на английском)

NIST SP800-41. Рекомендации по межсетевым экранам и Политике межсетевого экранирования (на английском)

NIST SP800-42. Руководство по проверке безопасности сети (на английском)

NIST SP800-46R1. Руководство по обеспечению безопасности телеработы и удаленного доступа (на английском)

Стандарт PCI DSS v 2.0 доступен на русском

Сообщество PCIDSS.RU совместно с Digital Security выпустило русскую версию стандарта PCI DSS 2.0, которая вступила в силу еще с 1 января 2011 года.

Данная версия стандарта отличается в некоторых моментах от предыдущей. А именно в описании вопросов виртуализации и расчета рисков.

Несмотря на то, что стандарт версии 2.0 вступил в силу с 1 января 2011 года, участники индустрии платежных карт могут использовать предыдущую версию до конца 2011 года. Подобная инициатива Совета PCI SSC позволяет выполнить постепенный переход на новую версию. Следующая версия будет подготовлена Советом PCI SSC в течение трехлетнего жизненного цикла.

Скачать русскую версию стандарта PCI DSS версии 2.0

Информация предоставлена ресурсом: "Virtualization Security Group Russia". 

Обзор рынка информационной безопасности Украины

Начнем с очевидных фактов – рынок информационной безопасности в Украине существует и развивается, несмотря на общую неблагоприятную рыночную обстановку. В нашем понимании участниками рынка информационной безопасности (ИБ) кроме потребителей и поставщиков услуг и решений, также выступают украинские и международные регуляторы. Еще участниками можно считать новый для Украины сегмент страхования рисков информационных технологий (услуга на Украине только начала развиваться). Ниже приведена структура современного рынка ИБ Украины.