CISM Exam Content Outline and Exam Update—New Deadline for Current Exam—The CISM exam “content outline” (formerly “job practice areas”) is being updated to reflect current industry trends. The new exam will be available 1 June 2022. Participants may still take the current version of the exam through 31 May. Please note: Exam seats are limited, on a first-come, first-served basis

Updates include all sub-
domains and supporting tasks related to each of the four domains:

Current CISM Exam Content Outline
• Domain 1: Information Security Governance (24%)
• Domain 2: Information Risk Management (30%)
• Domain 3: Information Security Program Development and Management (27%)
• Domain 4: Information Security Incident Management (19%)

New CISM Exam Content Outline
• Domain 1: Information Security Governance (17%)
• Domain 2: Information Security Risk Management (20%)
• Domain 3: Information Security Program (33%)
• Domain 4: Incident Management (30%)

CISA exam will be
updated in 2024, CGEIT and CDPSE will be updated in 2025, and CRISC will be updated in 2026

Если перед вами (как и перед одним из читателей канала) стоит задача переехать с PodSecurityPolicy (PSP) на PolicyEngine, то сегодняшний пост определенно для вас и вам не стоит напоминать, что PSP уходит в прошлое в 1.25 (а его замена PodSecurity Admission Controller вам не близка).

И так ситуация: вы в компании используете PSP и вам надо перебраться с минимальными усилиями на PolicyEngine. Как быть? Делать ли все вручную?!

На помощь спешит проект PodSecurityPolicy Migrator!

Он поддерживает (в разной степени) перевод PSP в политики для:
- Gatekeeper
- Kyverno
- Kubewarden
- k-rail

Помимо CLI реализации проекта, есть и online версия, с которой можно поиграться прямо сейчас.

Также не забывайте, что авторы большинства PolicyEngines уже у себя в репозиториях [1,2,3] сделали базовые политики на базе PSP и вы можете туда также смотреть ;)


P.S. Большое спасибо всем читателям, что делятся своими находками при решение свои задач и проблем!

вышла 5-ая редакция документа:
https://csrc.nist.gov/publications/detail/sp/800-53A/rev-5/final

Если вдруг вы решили обновить свою модель угроз или список use cases для своего SOC, то Топ10 техник MITRE ATT&CK по итогам 2021-го года вам может помочь в этом

Как известно, главной угрозой безопасности является сам человек. Компьютерная система может быть идеально настроена для отражения внешних угроз, но если человек сам нарушает периметр безопасности – его бывает сложно защитить. Именно на это чаще всего нацелены различные техники социальной инженерии.

Нашим прихожанам, скорее всего, не надо объяснять правила безопасного онлайн-шопинга, но на таких площадках как Авито каждый месяц общаются друг с другом 50 млн человек, каждому из которых необходимо знать базовые правила, которые сделают шоппинг максимально комфортным.

И вот Авито договорился с Леонидом Агутиным, что он станет лицом их новой кампании по цифровой безопасности. Вместе с известным певцом платформа сняла мини-фильм, где рассказывает о четырех ключевых правилах безопасности при онлайн-покупках — никогда не передавать посторонним данные банковских карт; не переходить по присылаемым ссылкам; оформлять доставку только на официальном сайте (платформе или приложении); обсуждать подробности сделки только во встроенном мессенджере сайта, а не по телефону или в сторонних мессенджерах. «Лицом нашей кампании по безопасности стал человек, одинаково близкий и любимый многим нашим пользователям», - говорит коммерческий директор Авито Игорь Макаров.

Наш пастор, как активный пользователь Авито, искренне надеется, что эта кампания поможет оградить многих не слишком искушенных пользователей от потенциальных проблем.

https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-learning-series-fireside-chat-managing-privacy-risks-nist-privacy

NCCoE Learning Series Fireside Chat: Managing Privacy Risks with the NIST Privacy Framework

🎉 Международный день защиты персональных данных

Коллеги, сегодня отмечается Международный день защиты персональных данных.

Несомненно, обеспечение безопасности персональных данных - важная сторона деятельности специалиста по информационной безопасности. Уже сейчас необходимо обеспечивать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
Все ближе тот день, когда некоторым безопасникам, заточенным под обеспечение безопасности персональных данных в информационных системах персональных данных, необходимо будет обеспечивать и требования Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», и организовывать автоматизированный обмен информацией с ГосСОПКА (речь идёт про тех, кто захочет обрабатывать биометрические персональные данные в целях идентификации и аутентификации).
Очевидно, что защите персональных данных уделяется большое внимание, поэтому желаю всем поспевать за их реализацией.

Ну и прилагаю небольшую заметочку (мысли) о том, что надо учитывать, чтобы понимать относится ли та или иная информация к персональным данным:
https://telegra.ph/O-PDn-01-27