Defense Innovation Board wants to help DOD understand zero trust - FedScoop
https://www.fedscoop.com/zero-trust-defense-innovation-board-paper/
https://www.fedscoop.com/zero-trust-defense-innovation-board-paper/
FedScoop
Defense Innovation Board wants to help DOD understand zero trust - FedScoop
The Pentagon’s technology advisory board is urging the military to implement zero trust architecture (ZTA) for network access, and it has produced a new document on how and where the increasingly popular mode of security can be a good fit. The Defense Innovation…
Forwarded from RUSCADASEC news: Кибербезопасность АСУ ТП (Anton Shipulin)
The Forum of Incident Response and Security Teams (FIRST) анонсировал Common Vulnerability Scoring System (CVSS) версия 3.1
В новую версию системы оценки уязвимостей добавили возможность провайдерам оценок добавлять дополнительные метрики и группы метрик, которых ранее не хватало для некоторых отраслей. В частности, специалисты про промышленной кибербезопасности жаловались, что прежняя система не учитывала возможный негативный эффект уязвимостей в компонентах систем промышленной автоматизации
FIRST опубликовал спецификацию системы, калькулятор, инструкцию по его использованию и примеры. А также обновил новыми терминами CVSS Glossary of Terms
https://www.first.org/cvss/v3-1/
В новую версию системы оценки уязвимостей добавили возможность провайдерам оценок добавлять дополнительные метрики и группы метрик, которых ранее не хватало для некоторых отраслей. В частности, специалисты про промышленной кибербезопасности жаловались, что прежняя система не учитывала возможный негативный эффект уязвимостей в компонентах систем промышленной автоматизации
FIRST опубликовал спецификацию системы, калькулятор, инструкцию по его использованию и примеры. А также обновил новыми терминами CVSS Glossary of Terms
https://www.first.org/cvss/v3-1/
FIRST — Forum of Incident Response and Security Teams
Common Vulnerability Scoring System
Forwarded from RUSCADASEC news: Кибербезопасность АСУ ТП (Anton Shipulin)
Ralph Langner выпустил пятую редакцию своего набора шаблонов документов Simple Cyber Governance Program, для построения процессов системы управления информационной безопасностью для технологических систем (ISMS for OT/ICS). Набор коммерческий, но для промышленных предприятий доступна возможность скачать документы для ознакомления и для примера. Включает документы:
• HIGH-LEVEL MANAGEMENT PLAN
• DETAILED EXECUTION PLAN
• GLOSSARY
• METRICS FOR MEASURING PROGRESS
• ASSET INVENTORY SPECIFICATIONS
• NETWORK DIAGRAM STYLE GUIDE
• DATA FLOW DIAGRAM STYLE GUIDE
• NW & ENDPOINT REFERENCE ARCHITECTURE
• DETAILED SYSTEM PROCUREMENT LANGUAGE
• INCIDENT MANAGEMENT PROCESS DETAILS
• VULNERABILITY MANAGEMENT PROCESS DETAILS
• ROLES AND RESPONSIBILITIES
• ROLE SPECIFIC CYBER SECURITY POLICIES
• TRAINING CURRICULUM
https://www.langner.com/scgp/
• HIGH-LEVEL MANAGEMENT PLAN
• DETAILED EXECUTION PLAN
• GLOSSARY
• METRICS FOR MEASURING PROGRESS
• ASSET INVENTORY SPECIFICATIONS
• NETWORK DIAGRAM STYLE GUIDE
• DATA FLOW DIAGRAM STYLE GUIDE
• NW & ENDPOINT REFERENCE ARCHITECTURE
• DETAILED SYSTEM PROCUREMENT LANGUAGE
• INCIDENT MANAGEMENT PROCESS DETAILS
• VULNERABILITY MANAGEMENT PROCESS DETAILS
• ROLES AND RESPONSIBILITIES
• ROLE SPECIFIC CYBER SECURITY POLICIES
• TRAINING CURRICULUM
https://www.langner.com/scgp/
OTbase by Langner
OT/ICS security policy templates that will save you man-years of labor
Ready-made, proven cyber policy templates for OT/ICS, developed by the team that cracked Stuxnet. 2019 edition!
Forwarded from RUSCADASEC news: Кибербезопасность АСУ ТП (Anton Shipulin)
Напомню, что существует похожий бесплатный набор шаблонов документов для СУИБ промышленных систем
https://nathanpocock.github.io/I-ISMS/
https://nathanpocock.github.io/I-ISMS/
nathanpocock.github.io
Industrial Information Management Security System Template Library
Information Security Management System Document Template Library for Industrial Operations
Возможные замены аутентификации по смс.
ChipTANs (TAN generator devices provided by banks)
Photo-TANs (a special mobile app or reader device that photographs a “barcode” on the computer screen and generates the TAN number)
Push-TANs (via a specialized Tan app) or
Digital signatures (via smart cards).
ChipTANs (TAN generator devices provided by banks)
Photo-TANs (a special mobile app or reader device that photographs a “barcode” on the computer screen and generates the TAN number)
Push-TANs (via a specialized Tan app) or
Digital signatures (via smart cards).
Второй монитор как угроза: нецелевое использование интернет трафика для стриминга спорта.
https://www.helpnetsecurity.com/2019/07/10/second-screens-threat/
https://www.helpnetsecurity.com/2019/07/10/second-screens-threat/
Help Net Security
The pervasive use of second screens endangers corporate IT networks - Help Net Security
Many people today use their additional monitor to stream music and watch sporting events and companies are struggling to cope with the extra bandwidth.
Forwarded from Пост Лукацкого
Институт будущего человечества при университете Оксфорда оценил наиболее серьезные технологических проблемы ближайших 10 лет. Приватность данных, кибератаки, цифровые манипуляции (фейки), повсеместное наблюдение... Максимальная вероятность именно у данных проблем pic.twitter.com/aIWgPMpkCf
— Alexey Lukatsky (@alukatsky) July 14, 2019
— Alexey Lukatsky (@alukatsky) July 14, 2019
Twitter
Alexey Lukatsky
Институт будущего человечества при университете Оксфорда оценил наиболее серьезные технологических проблемы ближайших 10 лет. Приватность данных, кибератаки, цифровые манипуляции (фейки), повсеместное наблюдение... Максимальная вероятность именно у данных…
Что характерно пока никто не "созрел" до обсуждения проблем утечки информации при обсуждении проблем с privacy.
Forwarded from WTF_HR
Доброе понедельничное утро!
В Госдуму внесен законопроект об электронных трудовых книжках, подразумевающий, что в 2021 года все данные трудовых книжек в России будут в обязательном порядке храниться в едином реестре, на создание которого выделят 76 миллионов рублей.
Новость прекрасная, хотя и иллюстрирует в очередной раз истину о том, что проблемы цифровизации всегда сложнее узкотехнических вопросов. Самой большой помехой при обсуждении законодательства об электронных трудовых стала явно не техническая проблема создания единого реестра: на него потратят всего миллион евро – в несколько раз меньше, чем на РосГосЛинкедин, например.
Помехой было то, что, даже несмотря на успешный пилот с участием Сбера и Евраза, часть компаний заявила, что не готова к заполнению трудовых в электронном виде – по старинке хранить их в сейфе кому-то просто удобнее, а кому-то и выгоднее – не любят наши компании, когда государство постоянно получает информацию об их кадрах.
Решением стала возможность для компаний, не хотящих в цифровое будущее, написать заявление до конца 2020 года и продолжать заполнять трудовые книжки убористым почерком. Заодно у «бумажных» предприятий и сотрудников в отличие от электронных, останется возможность трудовую книжку потерять, если очень хочется.
Кстати, пока государство автоматизирует один относительно простой процесс, наши источники сообщают, что некоторые компании по собственной инициативе идут дальше и разрабатывают системы, которые позволяют автоматически заполнять все кадровые документы данными из аккаунта сотрудника на Госуслугах.
Выглядеть это будет примерно как регистрация в каком-нибудь сервисе типа Dropbox через аккаунт Google или Facebook – только вместо гуглофейсбука будут Госуслуги. Удобно? Конечно. Только вот в Госуслугах содержится не только ИНН, СНИЛС и военный билет, необходимые для оформления в «кадрах», но и, например, информация о штрафах ГИБДД, которую многие не захотят показывать своему работодателю. Разумеется, что такая регистрация возможна лишь с согласия сотрудника, но попробуй не дай согласия, когда на кону твое трудоустройство. Упс, кажется у нас опять проблема цифровизации, не имеющая отношения к технологиям.
В общем, постепенно двигаемся к единой системе обмена данными о сотрудниках между государством и компаниями – что, конечно, с одной стороны вроде как цифровая диктатура и кровавый режим, а с другой стороны позволяет избавить от рутинной не приносящей ценности работы сразу довольно большое количество людей.
Хорошо бы еще узаконить электронную подпись по кадровым документам. Но и это в масштабах государства значительно более сложная история, чем принято считать.
В Госдуму внесен законопроект об электронных трудовых книжках, подразумевающий, что в 2021 года все данные трудовых книжек в России будут в обязательном порядке храниться в едином реестре, на создание которого выделят 76 миллионов рублей.
Новость прекрасная, хотя и иллюстрирует в очередной раз истину о том, что проблемы цифровизации всегда сложнее узкотехнических вопросов. Самой большой помехой при обсуждении законодательства об электронных трудовых стала явно не техническая проблема создания единого реестра: на него потратят всего миллион евро – в несколько раз меньше, чем на РосГосЛинкедин, например.
Помехой было то, что, даже несмотря на успешный пилот с участием Сбера и Евраза, часть компаний заявила, что не готова к заполнению трудовых в электронном виде – по старинке хранить их в сейфе кому-то просто удобнее, а кому-то и выгоднее – не любят наши компании, когда государство постоянно получает информацию об их кадрах.
Решением стала возможность для компаний, не хотящих в цифровое будущее, написать заявление до конца 2020 года и продолжать заполнять трудовые книжки убористым почерком. Заодно у «бумажных» предприятий и сотрудников в отличие от электронных, останется возможность трудовую книжку потерять, если очень хочется.
Кстати, пока государство автоматизирует один относительно простой процесс, наши источники сообщают, что некоторые компании по собственной инициативе идут дальше и разрабатывают системы, которые позволяют автоматически заполнять все кадровые документы данными из аккаунта сотрудника на Госуслугах.
Выглядеть это будет примерно как регистрация в каком-нибудь сервисе типа Dropbox через аккаунт Google или Facebook – только вместо гуглофейсбука будут Госуслуги. Удобно? Конечно. Только вот в Госуслугах содержится не только ИНН, СНИЛС и военный билет, необходимые для оформления в «кадрах», но и, например, информация о штрафах ГИБДД, которую многие не захотят показывать своему работодателю. Разумеется, что такая регистрация возможна лишь с согласия сотрудника, но попробуй не дай согласия, когда на кону твое трудоустройство. Упс, кажется у нас опять проблема цифровизации, не имеющая отношения к технологиям.
В общем, постепенно двигаемся к единой системе обмена данными о сотрудниках между государством и компаниями – что, конечно, с одной стороны вроде как цифровая диктатура и кровавый режим, а с другой стороны позволяет избавить от рутинной не приносящей ценности работы сразу довольно большое количество людей.
Хорошо бы еще узаконить электронную подпись по кадровым документам. Но и это в масштабах государства значительно более сложная история, чем принято считать.
TJ
Правительство внесло в Госдуму законопроект о переходе на электронные трудовые книжки
Работодатели смогут направлять данные о сотрудниках в Пенсионный фонд в электронной форме.
Недавно сдал экзамен на CISM.
Хотел поделится впечатлениями.
Для подготовки очень пригодился курс от Академии информационных систем тем что в стоимость курса вошел официальный гайд CISM и тренировочная база вопросов и ответов QAE.
Тренерами выступило сразу 2 опытных лектора нашего отделения, то что группы небольшие тоже считаю плюсом.
Сама база QAE претерпела существенные изменения в конце прошлого года теперь у нее более приятный интерфейс, из интресного она позволяет делать тестовые наборы вопросов не просто по одному из выбранных доменов. но и по конкретным таскам этого домена.
Экзамен сам принимается в Сибинфоцентре - небольшой но уютный учебный центр.
Рекомендую по датам экзамена кроме выбора дат на сайте через PSI созваниватся с УЦ во избежание накладок.
Хотел поделится впечатлениями.
Для подготовки очень пригодился курс от Академии информационных систем тем что в стоимость курса вошел официальный гайд CISM и тренировочная база вопросов и ответов QAE.
Тренерами выступило сразу 2 опытных лектора нашего отделения, то что группы небольшие тоже считаю плюсом.
Сама база QAE претерпела существенные изменения в конце прошлого года теперь у нее более приятный интерфейс, из интресного она позволяет делать тестовые наборы вопросов не просто по одному из выбранных доменов. но и по конкретным таскам этого домена.
Экзамен сам принимается в Сибинфоцентре - небольшой но уютный учебный центр.
Рекомендую по датам экзамена кроме выбора дат на сайте через PSI созваниватся с УЦ во избежание накладок.
Еще актуальны заметки Андрея Прозорова, единственное вес доменов немного изменили с момента заметок.
http://80na20.blogspot.com/2014/07/cism-1.html?m=1
http://80na20.blogspot.com/2014/07/cism-1.html?m=1
Blogspot
Как я сдавал (и сдал) CISM. Часть 1: Третья попытка...
Управление информационной безопасностью
Тем кто решил погрузится в ИБ стоит оценить
Peter Gregory CISM all in one exam guide, он имеет выше оценки на амазоне чем официальный гайд по CISM. У официального гайда есть ньюанс, так как его писало довольно много авторов он довольно сложно читается и в некоторых местах противоречит друг другу.
Peter Gregory CISM all in one exam guide, он имеет выше оценки на амазоне чем официальный гайд по CISM. У официального гайда есть ньюанс, так как его писало довольно много авторов он довольно сложно читается и в некоторых местах противоречит друг другу.
Вот несколько фото из обновленного QAE CISM, подозреваю QAE по другим экзаменам также симпатичны.