Ralph Langner выпустил пятую редакцию своего набора шаблонов документов Simple Cyber Governance Program, для построения процессов системы управления информационной безопасностью для технологических систем (ISMS for OT/ICS). Набор коммерческий, но для промышленных предприятий доступна возможность скачать документы для ознакомления и для примера. Включает документы:

• HIGH-LEVEL MANAGEMENT PLAN
• DETAILED EXECUTION PLAN
• GLOSSARY
• METRICS FOR MEASURING PROGRESS
• ASSET INVENTORY SPECIFICATIONS
• NETWORK DIAGRAM STYLE GUIDE
• DATA FLOW DIAGRAM STYLE GUIDE
• NW & ENDPOINT REFERENCE ARCHITECTURE
• DETAILED SYSTEM PROCUREMENT LANGUAGE
• INCIDENT MANAGEMENT PROCESS DETAILS
• VULNERABILITY MANAGEMENT PROCESS DETAILS
• ROLES AND RESPONSIBILITIES
• ROLE SPECIFIC CYBER SECURITY POLICIES
• TRAINING CURRICULUM

https://www.langner.com/scgp/

Напомню, что существует похожий бесплатный набор шаблонов документов для СУИБ промышленных систем

https://nathanpocock.github.io/I-ISMS/

Возможные замены аутентификации по смс.

ChipTANs (TAN generator devices provided by banks)

Photo-TANs (a special mobile app or reader device that photographs a “barcode” on the computer screen and generates the TAN number)

Push-TANs (via a specialized Tan app) or

Digital signatures (via smart cards).

Второй монитор как угроза: нецелевое использование интернет трафика для стриминга спорта.

https://www.helpnetsecurity.com/2019/07/10/second-screens-threat/

Институт будущего человечества при университете Оксфорда оценил наиболее серьезные технологических проблемы ближайших 10 лет. Приватность данных, кибератаки, цифровые манипуляции (фейки), повсеместное наблюдение... Максимальная вероятность именно у данных проблем pic.twitter.com/aIWgPMpkCf
— Alexey Lukatsky (@alukatsky) July 14, 2019

Что характерно пока никто не "созрел" до обсуждения проблем утечки информации при обсуждении проблем с privacy.

Доброе понедельничное утро!

В Госдуму внесен законопроект об электронных трудовых книжках, подразумевающий, что в 2021 года все данные трудовых книжек в России будут в обязательном порядке храниться в едином реестре, на создание которого выделят 76 миллионов рублей.

Новость прекрасная, хотя и иллюстрирует в очередной раз истину о том, что проблемы цифровизации всегда сложнее узкотехнических вопросов. Самой большой помехой при обсуждении законодательства об электронных трудовых стала явно не техническая проблема создания единого реестра: на него потратят всего миллион евро – в несколько раз меньше, чем на РосГосЛинкедин, например.

Помехой было то, что, даже несмотря на успешный пилот с участием Сбера и Евраза, часть компаний заявила, что не готова к заполнению трудовых в электронном виде – по старинке хранить их в сейфе кому-то просто удобнее, а кому-то и выгоднее – не любят наши компании, когда государство постоянно получает информацию об их кадрах.

Решением стала возможность для компаний, не хотящих в цифровое будущее, написать заявление до конца 2020 года и продолжать заполнять трудовые книжки убористым почерком. Заодно у «бумажных» предприятий и сотрудников в отличие от электронных, останется возможность трудовую книжку потерять, если очень хочется.

Кстати, пока государство автоматизирует один относительно простой процесс, наши источники сообщают, что некоторые компании по собственной инициативе идут дальше и разрабатывают системы, которые позволяют автоматически заполнять все кадровые документы данными из аккаунта сотрудника на Госуслугах.

Выглядеть это будет примерно как регистрация в каком-нибудь сервисе типа Dropbox через аккаунт Google или Facebook – только вместо гуглофейсбука будут Госуслуги. Удобно? Конечно. Только вот в Госуслугах содержится не только ИНН, СНИЛС и военный билет, необходимые для оформления в «кадрах», но и, например, информация о штрафах ГИБДД, которую многие не захотят показывать своему работодателю. Разумеется, что такая регистрация возможна лишь с согласия сотрудника, но попробуй не дай согласия, когда на кону твое трудоустройство. Упс, кажется у нас опять проблема цифровизации, не имеющая отношения к технологиям.

В общем, постепенно двигаемся к единой системе обмена данными о сотрудниках между государством и компаниями – что, конечно, с одной стороны вроде как цифровая диктатура и кровавый режим, а с другой стороны позволяет избавить от рутинной не приносящей ценности работы сразу довольно большое количество людей.
Хорошо бы еще узаконить электронную подпись по кадровым документам. Но и это в масштабах государства значительно более сложная история, чем принято считать.

Недавно сдал экзамен на CISM.

Хотел поделится впечатлениями.

Для подготовки очень пригодился курс от Академии информационных систем тем что в стоимость курса вошел официальный гайд CISM и тренировочная база вопросов и ответов QAE.

Тренерами выступило сразу 2 опытных лектора нашего отделения, то что группы небольшие тоже считаю плюсом.

Сама база QAE претерпела существенные изменения в конце прошлого года теперь у нее более приятный интерфейс, из интресного она позволяет делать тестовые наборы вопросов не просто по одному из выбранных доменов. но и по конкретным таскам этого домена.

Экзамен сам принимается в Сибинфоцентре - небольшой но уютный учебный центр.

Рекомендую по датам экзамена кроме выбора дат на сайте через PSI созваниватся с УЦ во избежание накладок.

Еще актуальны заметки Андрея Прозорова, единственное вес доменов немного изменили с момента заметок.

http://80na20.blogspot.com/2014/07/cism-1.html?m=1

Тем кто решил погрузится в ИБ стоит оценить
Peter Gregory CISM all in one exam guide, он имеет выше оценки на амазоне чем официальный гайд по CISM. У официального гайда есть ньюанс, так как его писало довольно много авторов он довольно сложно читается и в некоторых местах противоречит друг другу.

Вот несколько фото из обновленного QAE CISM, подозреваю QAE по другим экзаменам также симпатичны.

Если кто то сможет поделится историями по подготовке и сдаче других экзаменов ISACA welcome в группу, посты в канал я перенесу.

Кроме того теперь на engage портале можно отслеживать статус с момента сдачи экзамена в приятном интерфейсе.