Рубрика «risk management»

Добрый день!

Меня зовут Максим Торнов. Я долгое время работал в различных областях ИТ, затем более 13 лет занимался ИТ аудитом, управлением риском ИТ и оценкой эффективности систем внутреннего контроля, в одной из консалтинговых компаний «Большой четверки».

В данном материале мне бы хотелось рассказать Вам об основах управления риском ИТ.

Читать полностью »

Статья описывает как мы использовали инфраструктуру безопасности для перевода всей нашей команды менеджеров и разработчиков на удаленную работу в период карантинных мероприятий и самоизоляции.
Читать полностью »

Сегодня многие IT-компании всё активнее используют актёрство как источник будущих
специалистов. Все вы знаете, что на рынке жесточайший дефицит квалифицированных айтишников; к тому же опытные сотрудники приносят с собой прежний опыт и убеждения, которые не всегда согласуются с принятыми в компании принципами. Мы тоже обратились к практике стажёрства, и хотим поделиться мнениями трёх наших стажёров. Они поделятся своим мнением о том, нужно ли стажироваться человеку с опытом, чем практика отличается от теории, расскажут о проектах, которые поручат начинающим, и о тонкостях IT-жизни в банке.

Выпускники IT-стажировок в Райффайзенбанке — о том, как это было - 1

Читать полностью »

Как выявляют риски в госконтроле и зачем для этого машинное обучение - 1

В предыдущей статье на тему государственного риск-менеджмента мы прошлись по основам: зачем государственным органам управлять рисками, где их искать и какие существуют подходы к оценке. Сегодня поговорим о процессе анализа рисков: как выявить причины их возникновения и обнаружить нарушителей.
Читать полностью »

Привет, коллеги,

в конце прошлой недели International Security Forum опубликовал очередной ежегодный отчёт о грядущих трендах ИТ-угроз бизнесу Threat Horizon 2019. Отчёт содержит подробные описания девяти основных угроз, а также информацию об их воздействии на бизнес и рекомендуемые действия.

Я также добавил перевод результатов прошлогоднего отчёта (2018). Представленная информация должна помочь ИТ и риск-менеджерам, а так же руководителям бизнеса ознакомиться с набирающими силу рисками и оценить возможные последствия.

По ссылке вы можете скачать выдержку из отчёта на английском. Прошлогодняя, позапрошлогодняя, и более ранние выдержки находятся в открытом доступе. Тем же, кто хочет ознакомиться с переводом выводов и рекомендаций из отчётов последних трёх лет — прошу под кат.

В комментариях предлагаю описать актуальность приведённых выводов и рекомендаций для вашей организации.
Читать полностью »

ИБ по американски. Часть 4. Разбираемся с «подгонкой» и «перекрытиями» и завершаем этот обзор
*Оставьте свою работу на рабочем месте!*

Итак, нелёгкий путь по обзиранию созданию краткого обзора NIST SP 800-53 подходит к логическому концу. Я рад, что мне удалось совершить задуманное и написать пусть небольшой, но законченный по содержанию цикл статей, не остановившись на первой или второй части. В дальнейшем, надеюсь, получится от случая к случаю делиться с общественностью своими соображениями на тему ИБ, ИТ и аудита.

Итак, в этой статье будет наконец-то поведано о выборе набора контролей безопасности, подгонке его под нужды конкретной организации и создании так называемых перекрытий «overlays», применимых вне масштабов отдельной организации.

Ссылки на предыдущие статьи:

ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?
ИБ по-американски. Часть 2. А можно поподробнее о NIST 800-53 и причём тут управление рисками?
ИБ по-американски. Часть 3. Что из себя представляет базовый набор контролей безопасности и как определять критичность информационных систем?

Читать полностью »

ИБ по американски. Часть 3. Что из себя представляет базовый набор контролей и как определять критичность систем?
*Безопасность — это отнюдь не борьба с ветряными мельницами*

В предыдущих статьях я уже достаточно подробно рассказал о публикации NIST SP 800-53. Были успешно освещены разбиение контролей на семейства, подробное описание структуры контролей безопасности, процесс управления рисками в масштабах организации и даже вкратце отдельная публикация FIPS 200.
Из-за выхода в свет Geektimes пришлось немного задержаться, но мы продолжаем двигаться дальше, и сегодня речь пойдёт о базовых наборах контролей безопасности и об определении критичности информационных систем.
Ну и конечно в комплекте аутентичные американские плакаты, посвященные безопасности.

Ссылки на предыдущие статьи:
ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?
ИБ по-американски. Часть 2. А можно поподробнее о NIST 800-53 и причём тут управление рисками?

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js