Security Vision - информационная безопасность от А до Я

В условиях цифровизации и повсеместного перехода на безналичные способы оплаты проблема обеспечения кибербезопасности с каждым годом становится всё более актуальной. Динамика объема и количества несанкционированных операций с использованием платежных карт неуклонно растет от года к году.

Ситуационная осведомленность – это модель оценки обстановки. Одним из наиболее известных исследователей в этой области является Мика Эндсли, где она сформировала следующее определение: ситуационная осведомленность — это восприятие элементов и событий окружающей среды по отношению к времени или пространству, понимание их значения и проекция их статуса в ближайшем будущем.

Скорость развития и изменения киберпространства в последние 3-5 лет поражает воображение уже не только неискушенных пользователей, но и маститых специалистов в области ИТ и ИБ. Происходит экспоненциальное развитие даже не объема обрабатываемых данных, количества подключенных к интернету устройств или приложений/сервисов, но и самих концепций и технологий, а всеобъемлющая цифровизация и переход большинства бизнесов в онлайн в связи с пандемией лишь ускорили данный тренд.

Вопросы обеспечения конфиденциальности персональных данных стали подниматься практически сразу после начала широкого применения средств вычислительной техники для обработки сведений, касающихся физических лиц. Именно поэтому еще в 1981 году была подписана Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Разумеется, с развитием информационных технологий надежная защита личной информации стала необходимым условием для успешной работы как коммерческих, так и государственных структур - ни клиенту интернет-магазина, ни пользователю государственного сервиса не захочется стать жертвой утечки его персональных данных.

Термин «Интернет вещей» (IoT - internet of things) подразумевает большое количество элементов электроники потребительского уровня, непрерывно подключенных к разнообразным сетями, в т.ч. к интернет, для взаимодействия между собой, с владельцем и с разнообразными интернет-сервисами. Примерами IoT-устройств могут быть: смарт-телевизоры, «умные колонки», фитнес-трекеры, элементы «умного дома» (датчики, бытовая техника, системы безопасности), веб-камеры, автомобильные и транспортные системы и т.д. С развитием сетей 5G количество устройств «интернета вещей» будет лишь расти, поскольку сети нового поколения поддерживают высокоскоростную передачу данных с малым расходом электроэнергии и взаимодействие устройств непосредственно друг с другом.

Направление информационной безопасности, или кибербезопасности, достаточно молодо. Еще лет 10-15 назад специалисту по ИБ приходилось объяснять коллегам и друзьям, чем же он занимается. Однако, в настоящее время вопросы защиты информации, киберустойчивости, хакерских атак обсуждаются на уровне первых лиц государств, а темы кибербезопасности и защиты от мошенников не сходят с главных страниц новостных сайтов. При этом, как и любое другое современное направление бизнеса, информационная безопасность эволюционирует - причем не только в части тактик и техник хакерских атак, новых компьютерных уязвимостей или средств защиты информации. Меняются сами концепции защиты: например, такой подход, как «безопасность контролируемого информационного периметра», столь знакомый и понятный еще 5-10 лет назад, теперь уже не имеет практического применения в большинстве случаев, а удаленная работа в связи с пандемией только усилила устаревание данной концепции. В настоящей статье мы рассмотрим наиболее яркие и актуальные на наш взгляд современные тренды в области информационной безопасности.

В сегодняшней публикации рассмотрим международный стандарт ISO/IEC 27004:2016, который также посвящен проблематике измерения, оценки и анализа эффективности системы управления информационной безопасностью (СУИБ) и описывает, как выстроить процесс измерения эффективности ИБ в организациях.

Разумеется, для целостного подхода следует обратиться к международным лучшим практикам и стандартам, которые описывают рекомендованные подходы к количественному измерению качества процессов кибербезопасности. Такими рекомендациями являются публикация NIST SP 800-55 и стандарт ISO/IEC 27004:2016.

Перед руководителями подразделений информационной безопасности зачастую стоят вопросы не столько организации выполнения непосредственных функций по защите информации и реагированию на инциденты, сколько необходимость демонстрации эффективности кибербезопасности и защиты годовых бюджетов, которые компания готова выделить на ИБ.

Основные требования по обеспечению информационной безопасности финансовых технологий, определенные Центральным банком в своих нормативных актах, можно разделить на три группы:

- требования к инфраструктуре, представленные в основном требованиями ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»
- требования к прикладному программному обеспечению, которые сводятся к требованию анализа на уязвимости исходных кодов приложений, непосредственно взаимодействующих с сетью интернет
- требования к технологии.

Изменения коснулись множества аспектов, от дизайна и архитектуры до наполнения модулей и принципов работы с данными. Однако общий подход остался неизменным: Security Vision - это платформа автоматизации и оркестрации процессов информационной безопасности, гибкость которой позволяет оптимизировать практически любое направление деятельности ИБ. Вне зависимости от выбранных функциональных модулей (IRP/SOAR/SGRC) продукт меняет парадигму зонтичных решений, открывая огромное пространство возможностей.

где компания обрабатывает персональные данные? Но сначала необходимо понять, что вообще понимается под термином «Обработка персональных данных».

В этом году исполняется 15 лет Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных». За столь уже продолжительный срок закон и подзаконные акты к нему претерпели существенные изменения, пройдя путь от жестких требований до того, что мы имеем сейчас. Я занимаюсь защитой персональных данных с самого начала и видел все происходящие изменения в требованиях по обработке и защите, наблюдал, как изменялись взгляды регуляторов (ФСТЭК России, ФСБ России и Роскомнадзора). В данной статье я постараюсь рассмотреть динамику и изменения 152-ФЗ, сопутствующих требований и подходов регуляторов.

В предыдущей публикации мы рассмотрели первые два шага процесса управления рисками по стандарту ISO/IEC 27005:2018: определение контекста и оценку рисков. В данной публикации мы обсудим дальнейшие этапы риск-менеджмента, а также рассмотрим стандарт IEC 31010:2019 как источник подробной информации о техниках оценки рисков.

В предыдущих публикациях мы раскрыли методы управления рисками в соответствии с документами NIST SP серии 800. Специальные публикации NIST SP 800-39, NIST SP 800-37 и NIST SP 800-30 предлагают логически связанный системный подход к оценке и обработке рисков, а документы NIST SP 800-53, NIST SP 800-53A и NIST SP 800-137 предлагают конкретные меры по минимизации рисков ИБ. Однако следует иметь ввиду, что данные документы по своей сути носят лишь рекомендательный характер и не являются стандартами (например, в отличие от документов NIST FIPS), а также то, что изначально они разрабатывались для компаний и организаций из США.

Обсудив в предыдущих публикациях основы информационной безопасности и законодательные нормы по защите информации, следует перейти к описанию риск-ориентированного подхода для обеспечения кибербезопасности. В этой и последующих статьях мы обсудим основы риск-менеджмента, анализа и расчета рисков в области информационной безопасности, рассмотрим соответствующие нормативные документы, а также применение методов анализа рисков информационной безопасности.

Обсуждая процессы управления рисками, мы зачастую делаем акцент на процессах, характерных именно для обеспечения информационной безопасности. Однако, риск-менеджмент применяется в организациях не только для управления киберрисками. В различных крупных компаниях, в первую очередь финансовых, применяются фреймворки управления бизнес-рисками для обработки финансовых, юридических, проектных, репутационных и иных рисков. В данной публикации мы рассмотрим стандарт ISO 31000:2018 ”Risk management – Guidelines” («Менеджмент риска - Рекомендации»), который дает общие рекомендации и описывает фреймворк, принципы и сам процесс управления бизнес-рисками без привязки конкретно к рискам ИБ. Приступим!

Целью данной статьи является краткое и доступное объяснение смысла управления операционными рисками в кредитных организациях, а также того, какую роль в этом играет новое Положение Банка России № 716-П.

В данной статье рассмотрим стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007, который объяснит вам принципы и поможет выстроить систему управления инцидентами информационной безопасности с учетом международной практики (ISO/IEC TR 18044:2004).

В данной статье мы познакомимся с документами отечественного стандарта обеспечения информационной безопасности организаций банковской системы РФ – СТО БР ИББС, а также проясним ситуацию по обязательности его применения в 2021 году.

Особенности обеспечения защиты информации

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма

Основы риск- и бизнес-ориентированной информационной безопасности. Основные понятия и парадигма. Часть 6

Основы риск- и бизнес-ориентированной информационной безопасности. Основные понятия и парадигма. Часть 5

Основы риск- и бизнес-ориентированной информационной безопасности. Основные понятия и парадигма. Часть 4