Портфель CISO \ Проведение презентаций. Часть 1

Недавно послушал интересную лекцию Елены Чистяковой "Навыки эффективного общения", в которой одна из тем была посвящена проведению презентаций. Хочу поделиться с Вами основными моментами этой лекции, которую я взял за основу данной статьи. Также я добавил полезную информацию по данной тематике, собранную мной за последние несколько лет, а также некоторые вещи из личного опыта.

Здесь представлена первая часть статьи, посвященная процессу подготовки к проведению презентации.

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Содержание

Домен 04. Физическая безопасность и безопасность окружения

1. Введение в Физическую безопасность

2. Процесс планирования

• 2.1. Предотвращение преступлений посредством проектирования окружения 
• Естественное управление доступом 
• Естественное наблюдение 
• Естественное укрепление территории

• 2.2. Проектирование программы физической безопасности
• Здание
• Конструкция
• Точки входа
• Двери
• Окна
• Внутренние помещения
• Серверные и кроссовые помещения

3. Защита активов

4. Внутренние системы поддержки и снабжения

• 4.1. Электроэнергия
• Защита электроснабжения
• Проблемы электропитания
• Превентивные меры и Хорошие практики
• 4.2. Проблемы окружения
• 4.3. Вентиляция
• 4.4. Предотвращение, выявление и тушение пожара
• Типы пожарных датчиков
• Тушение пожара
• Водяные спринклеры

5. Безопасность периметра

• 5.1. Контроль доступа в здание и помещения
• Замки
• 5.2. Контроль доступа персонала
• 5.3. Механизмы защиты внешних границ
• Ограждения
• Столбики ограждения
• Освещение
• Устройства наблюдения
• Устройства видеозаписи
• 5.4. Системы выявления вторжений
• 5.5. Патрульные и охранники
• 5.6. Собаки
• 5.7. Контроль физического доступа
• 5.8. Тестирование и тренировки

6. Резюме

7. Тест

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Тест

Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.

Практика ИБ \ Наиболее распространенные ошибки при построении системы ИБ

Ниже представлены наиболее распространенные ошибки при построении системы информационной безопасности, которые следует избегать. Это переведенная, расширенная и слегка адаптированная "шпаргалка" (How to Suck at Information Security) с сайта Ленни Зельцера.

В двух словах \ Проект отраслевой частной модели угроз безопасности ПДн для банков

Графическая версия проекта Отраслевой частной модели угроз безопасности ПДн при их обработке в банковских ИСПДн.

Собственно модель угроз для удобства работы с ней представлена в двух вариантах - в разбивке по уровням инфраструктуры и по источникам угроз.

Скачать можно здесь. В архиве картинка в формате PNG и исходный файл в формате FreeMind 0.9 RC7.

С полной версией документа можно ознакомиться на сайте Ассоциации Российских Банков.

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Часть 5

В этой части рассмотрены следующие вопросы:

• Механизмы защиты внешних границ
• Ограждения
• Освещение
• Устройства наблюдения
• Устройства видеозаписи
• Системы выявления вторжений
• Патрульные и охранники
• Собаки
• Контроль физического доступа
• Тестирование и тренировки
• Резюме

Практика ИБ \ Аудит событий безопасности

Антон Чувакин выложил в своем блоге интересную "шпаргалку", в которой приведены все наиболее важные виды событий, которые нужно собирать и анализировать в рамках текущей деятельности и при разборе инцидентов безопасности. Может очень пригодиться на начальном этапе внедрения практического аудита событий, когда нужно из огромной массы возможных событий выбрать тот разумный минимум, который позволит накапливать всю нужную информацию и при этом не утонуть в море "шума". Особенно актуально при анализе событий полуручными методами.

Портфель CISO \ Роман об управлении проектами

Давно лежала у меня книжка Тома Демарко "Deadline. Роман об управлении проектами" - все не было времени прочитать. Но на днях дошли руки и до нее.

Оказалось, что книга - просто весчь! Настоятельно рекомендую к прочтению, книга действительно из разряда "must read" для любого руководителя. Хотя в книге речь идет об управлении проектами по разработке программного обеспечения, большинство советов одинаково хорошо подходят для управления любыми другими проектами, в т.ч. проектами по информационной безопасности.

Книга написана очень легким языком, хотя она описывает довольно-таки сложные вещи. Во главу угла в книге ставятся взаимодействия людей, создание команд, мотивация людей для получения максимального результата. По сути, это действительно роман, даже немножко шпионский :).

Ниже приведены несколько наиболее важных цитат, вполне подходящих для управления проектами по информационной безопасности. Некоторые советы вполне можно применить для более эффективного внедрения новых требований по безопасности в организации, в рамках СУИБ, в рамках повышения осведомленности и т.п.

ISSP \ Домен 04. Физическая безопасность и безопасность окружения. Часть 4

В этой части рассмотрены следующие вопросы:

• Безопасность периметра
• Контроль доступа в здание и помещения
• Замки
• Контроль доступа персонала

В двух словах \ Положение ФСТЭК №58 о методах и способах ЗИ в ИСПДн

Сделал графическую версию нового документа ФСТЭК по защите персональных данных "Положение о методах и способах защиты информации в информационных системах персональных данных" (утверждено приказом ФСТЭК №58 от 05.02.2010). Это, конечно, еще не mind map, но работать уже гораздо удобнее, чем с текстовой версией. Представлены все требования без исключений. В приложении для каждого следующего класса (для 3-го класса - для каждого следующего типа системы) показаны добавившиеся требования (синим цветом) и исключенные требования (красным цветом) по сравнению с предыдущим классом (типом).

Скачать можно здесь. В архиве основной документ и приложение к нему - в виде картинок в формате PNG и в виде исходных файлов в формате FreeMind 0.9 RC7.

С полной версией документа можно ознакомиться на сайте Консультант Плюс.

P.S. Использованные сокращения - в комментариях.

Переводы / Почему Вы не получите работу CISO

Прочитал недавно интересную статейку, касающуюся отличий в мировоззрении специалистов по ИБ и бизнеса. Статья называется «Почему Вы не получите работу CISO», она является ответом на статью специалиста по ИБ «Нездоровое отсутствие вакансий по ИБ», в которой он описывает проблемы с недостаточным вниманием бизнеса к ИБ и те последствия, к которым это может привести. Переводить всю статью я не стал, т.к. ряд вопросов для нашей российской действительности не актуален. Перевод достаточно вольный и «адаптированный» :)