Александр Астахов
Операции с документом
Об информационной безопасности серьезно, непредвзято и без цензуры. "Есть люди, которые знают, и - спокойны; есть люди, которые не знают и тоже спокойны; есть люди, которые думают, что знают, и они то и мутят мир".
-
Зеркало этого блога на https://protektiva.blogspot.com/
-
Для удобства коммуникаций создано зеркало этого блога по адресу https://protektiva.blogspot.com/. Туда дублируются все посты.
27-03-2020 | Комментарии: 0 | Автор: Александр Астахов -
Экспертная система ПРОТЕКТИВА: Новый уровень управления соответствием в области ИБ
-
Выкладываю презентацию и тезисы доклада, прочитанного мной на X ежегодной межрегиональной научно-практической конференции «Инфокоммуникационные технологии в региональном развитии», проходившей в Смоленске 16 февраля 2017 г. ПРОТЕКТИВА - это наш новый бренд, под которым осуществляется разработка средств автоматизации процессов менеджмента ИБ.
28-02-2017 | Комментарии: 0 | Автор: Александр Астахов -
Анонс книги "Искусство управления информационными рисками"
-
Книга предоставляет читателям возможность познакомиться с основами управления рисками информационной безопасности, а также с шагами, необходимыми для быстрого и успешного перехода от разговоров об искусстве, сложности и нетривиальности задачи управления информационными рисками к простой и эффективной практике оценки, анализа и обработки рисков.
24-04-2010 | Комментарии: 4 | Автор: Александр Астахов -
Философия безопасности: что самое важное для обеспечения ИБ?
-
Для успешного осуществления любой деятельности, включая обеспечение личной, информационной, промышленной, государственной и т.п. ... безопасности, важно понимать суть проблемы и правильно расставлять приоритеты, уметь выделять наиболее существенное и располагать необходимыми для этого знаниями и навыками. Если бы вас попросили сформулировать в двух словах что является самым важным для безопасника, то что бы вы ответили?
09-02-2023 | Комментарии: 0 | Автор: Александр Астахов -
Что изменилось для операторов персональных данных с 1 сентября 2022 года?
-
1 сентября 2022 года вступили в силу июльские поправки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных", направленные на повышение защищенности персональных данных граждан от несанкционированного доступа неограниченного круга лиц, а также на усиление государственного контроля в указанной сфере (Федеральный закон от 14 июля 2022 г. № 266-ФЗ)
08-09-2022 | Комментарии: 0 | Автор: Александр Астахов -
Архитектура GRC-систем. Часть 1
-
Назрела необходимость систематизировать наши знания о GRC-системах, которые все шире применяются в крупном и среднем бизнесе для автоматизации различных процессов менеджмента организации. Материал весьма обширен, поэтому его изложение придется разбить на несколько частей. В первой части рассмотрим основные понятия, связанные с GRC-системами и их архитектурой. В последующих частях планируется освещать прикладные аспекты, связанные с внедрением и использованием GRC-систем, включая проектирование модели функционирования процессов менеджмента, настройка и адаптация GRC-платформы под задачи конкретной организации, интеграцию GRC-систем с различными средствами управления и обеспечения ИБ. Чтобы не быть голословными, рассмотрим и несколько актуальных примеров SGRC-систем.
28-09-2021 | Комментарии: 0 | Автор: Александр Астахов -
Моделирование угроз по новой методике ФСТЭК. В чем загвоздка?
-
Старые методики оценки и моделирования угроз ФСТЭК (2007-2009 г.) постепенно утрачивали свою актуальность. Они были слишком схематичны, условны и не учитывали стремительно накапливаемого мирового опыта реализации атак на компьютерные системы. В нынешнем 2021 году им на смену пришла новая Методика оценки угроз, кардинально отличающаяся от предыдущих. Но и с ней не все так гладко, как хотелось бы.
19-10-2021 | Комментарии: 0 | Автор: Александр Астахов -
Management vs Governance. В чем различие?
-
Governance - это стратегическое управление компанией и взаимоотношениями между органами власти (собственники, акционеры, совет директоров, правление). Менеджмент - это оперативное управление компанией и взаимодействием ее структурных подразделений. Другими словами, все процессы и взаимоотношения на уровне генерального директора (президента) и выше - это Governance. Все, что ниже этого, - это Менеджмент.
28-09-2021 | Комментарии: 0 | Автор: Александр Астахов -
Упрощенный подход к оценке рисков ИБ
-
Существуют базовые подходы и методики оценки рисков ИБ, описанные в книгах, стандартах и многочисленных публикациях и положенные в основу сложных аналитических систем, средств автоматизации и GRC-систем. Они всем хороши, но слишком сложны и дороги. Существует также не в чем не противоречащий им упрощенный поход к оценке рисков ИБ, который в том или ином виде и применяется в реальной практике. Рассмотрим как легко и изящно этот упрощенный подход реализуется в экспертной системе Protectiva Risk Manager.
28-01-2022 | Комментарии: 0 | Автор: Александр Астахов -
Компания Garmin заплатила вымогателям за расшифровку своих файлов
-
По сообщению компании Bleeping Computer компания Garmin получила ключи шифрования для вируса-вымогателя WastedLocker, зашифровавшего их файлы, 25 июля, через 2 дня после инцидента. Точно неизвестно сколько было уплачено за ключи, но первоначальное требование операторов WastedLocker составляло сумму $10 млн.
05-08-2020 | Комментарии: 0 | Автор: Александр Астахов -
Надо ли доверять аттестованным ЦОД?
-
Некоторые дата-центы в целях отстройки от конкурентов проходят аттестацию по требованиям безопасности информации по уровням защищенности персональных данных УЗ3 или УЗ2, и предлагают компаниям размещение ИСПДн на таких площадках в качестве панацеи от требований регуляторов и ответственности за защиту ПДн. В нашей практике приведения организаций в соответствие с требованиями 152-ФЗ подобные ситуации встречаются регулярно. В связи с этим, прокомментирую вопрос о том, в какой степени операторам ПДн и прочим владельцам ИС стоит доверять аттестованным ЦОД и что при этом надо учесть.
27-03-2020 | Комментарии: 0 | Автор: Александр Астахов -
Автоматизация процессов менеджмента информационной безопасности
-
Автоматизация процессов менеджмента ИБ строится на базе современных GRC-платформ. В качестве одного из возможных вариантов рассмотрим использование одного из лидирующих продуктов RSA Archer GRC в комбинации отечественной экспертной системой Protectiva Compliance Manager. Архитектуру подобных систем и технические детали оставим для отдельной публикации, а пока ограничимся функциональным описанием.
23-03-2020 | Комментарии: 0 | Автор: Александр Астахов -
Правовые и неправовые аспекты мониторинга контента: американский опыт
-
Не секрет, что в сфере информационной безопасности особое место занимает мониторинг деятельности работников, включающий в себя электронный мониторинг системных событий и мониторинг контента, порождающий ряд правовых, этических и технических проблем для работодателя. Такие проблемы существуют во всех демократических странах. Несмотря на то, что в одной статье нельзя раскрыть все аспекты данной непростой темы, авторы постарались охватить многие существенные вопросы, включая законодательство, лучшие практики и «подводные камни», на примере США.
07-08-2019 | Комментарии: 0 | Автор: Александр Астахов -
Вечная поэзия (offtop)
-
Жизнь такова, какова она есть и больше - никакова; Быть знаменитым некрасиво; Я не любил уж много лет...
29-05-2019 | Комментарии: 0 | Автор: Александр Астахов -
Формула ЗОЖ (offtop)
-
Здоровый образ жизни, ЗОЖ — образ жизни человека, направленный на сохранение здоровья, профилактику болезней и укрепление человеческого организма в целом. Любые искренние излияния обязательно включают в себя пожелание человеку крепкого здоровья. Все согласны с тем, что здоровье в первую очередь, что это самое важное. Все примерно себе представляют от каких основных факторов зависит состояние здоровья и каким образом можно на эти факторы влиять (ну очень примерно). Я решил на досуге проанализировать эти факторы и вывести свою формулу здоровья - формулу ЗОЖ.
24-05-2019 | Комментарии: 0 | Автор: Александр Астахов -
Замысел новой книги "Технология защиты персональных данных"
-
В данной книге, написанной с позиций консультанта и проектировщика систем защиты информации, впервые раскрывается весь комплекс юридических, социальных, технических и организационных проблем, связанных с защитой персональных данных в РФ и в мире. Проблемы защиты ПДн, прав субъектов и прав операторов ПДн, а также имеющиеся между ними противоречия, не только подробно описываются, но также определяются конкретные организационно-технические методы и подходы к решению обозначенных проблем. Книга будет полезна широкому кругу читателей, включая сотрудников операторов ПДн и контролирующих органов, консультантов и проектировщиков систем защиты ПДн, службы информационной безопасности организаций, ответственных за обработку и защиту ПДн в организациях, а также граждан РФ, являющихся субъектами ПДн.
15-11-2018 | Комментарии: 0 | Автор: Александр Астахов -
Использование методов рационального (научного) мышления в информационной безопасности
-
Еще со школы у меня сохранилось смутное представление о научных принципах мышления, а также о величайшем физике Ньютоне, авторе "Математических основ натуральной философии", который первым эти принципы сформулировал. На этих принципах построено все здание современной естественной науки. Но моя естественная наука закончилась в институте, а дальше началась реальная жизнь с ее (ненаучными) гуманитарными дисциплинами и иррациональными способами мышления, которые повсюду меня окружали. Методы научного мышления в реальной жизни стали сдавать свои позиции, а мое представление о методе Ньютона сильно потускнело, так что пришлось прибегать к Википедии, чтобы это вспомнить.
15-11-2018 | Комментарии: 0 | Автор: Александр Астахов -
Использование Менеджера Соответствия «Протектива» для выполнения требований законодательства в области персональных данных
-
Российские безопасники уже привыкли к тому, что использование тех или иных видов СЗИ предписывается руководящими документами регуляторов. Каждое СЗИ закрывает определенную группу обязательных требований и, в совокупности с другими СЗИ, обеспечивает соответствие информационных систем организации требованиям законодательства и нормативной базы в области защиты информации. Однако обеспечение соответствия в области ИБ не сводится только к использованию определенного набора СЗИ. Процесс управления соответствием включает в себя планирование, обеспечение и поддержание, периодически плановый и внеплановый контроль, формирование отчетности о соответствии и подтверждение соответствия. Решение этих задач может быть обеспечено специальным классом автоматизированных средств - менеджерами соответствия (compliance manager).
15-11-2018 | Комментарии: 0 | Автор: Александр Астахов -
Оценка рисков некорректного распределения полномочий в информационных системах
-
В настоящей статье рассматривается использование методов оценки и обработки рисков в соответствии с требованиями международного стандарта ISO/IEC 27005:2011 для анализа рисков, связанных с некорректным распределением полномочий в приложениях и информационных системах.
27-07-2018 | Комментарии: 0 | Автор: Александр Астахов -
Расширенная методика аудита полномочий пользователей в SAP ERP
-
Расширенная методика аудита полномочий SAP ERP в дополнение к базовой методике включает в себя анализ наиболее критичных транзакций, а также использование ряда дополнительных аналитических возможностей, предоставляемых SAP для этих целей, в том числе анализ групп толерантности.
22-03-2018 | Комментарии: 0 | Автор: Александр Астахов
