В этом году наша ассоциация отмечает 50 лет с момента основания.
В 1967 году начались встречи небольшой группы аудиторов компьютерных систем.
В 1969 году была основана Electronic Data Process Auditing Association (EDPAA).
В 1994 EDPAA была переименована в Information System Audit and Control Association - ISACA.
Запущен официальный сайт даты.
Home - ISACA 50
https://www.isaca50.org/
#ISACA50
В 1967 году начались встречи небольшой группы аудиторов компьютерных систем.
В 1969 году была основана Electronic Data Process Auditing Association (EDPAA).
В 1994 EDPAA была переименована в Information System Audit and Control Association - ISACA.
Запущен официальный сайт даты.
Home - ISACA 50
https://www.isaca50.org/
#ISACA50
Флеш моб от ISACA в связи с юбилеем.
Participate - ISACA 50
https://www.isaca50.org/participate
#isaca50
Participate - ISACA 50
https://www.isaca50.org/participate
#isaca50
Платный сингапурский стандарт про то как реагировать на операционные риски облачной инфраструктуры типа пожара или наводнения (кибербезопасность вне рамок документа).
https://www.singaporestandardseshop.sg/product/product.aspx?id=b9377ccc-ae4f-4454-ad71-830d2c143636
https://www.singaporestandardseshop.sg/product/product.aspx?id=b9377ccc-ae4f-4454-ad71-830d2c143636
Хороший курс для начала погружения в безопасность на примере облачной инфраструктуры.
Часть большой программы по построению облака.
Cloud Computing Security
https://www.edx.org/course/cloud-computing-security-0
Часть большой программы по построению облака.
Cloud Computing Security
https://www.edx.org/course/cloud-computing-security-0
edX
Cloud Computing Security
Learn how to identify security issues in the cloud and industry-standard techniques and procedures to prevent and mitigate risks.
Хороший отчет по 2018 году по повышению осведомленности. Содержит также общие рекомендации по данному направлению, включая модель зрелости.
https://www.sans.org/security-awareness-training/reports/2018-sans-security-awareness-executive-report
https://www.sans.org/security-awareness-training/reports/2018-sans-security-awareness-executive-report
SANS Security Awareness
2018 SANS Security Awareness Executive Report
The first of its kind, the SANS Security Awareness Executive Report draws data from the 2018 Security Awareness Report to reveal a detailed analysis of what drives a thriving awareness program. It presents actionable insight for executives on how to assist…
Gartner Top 10 Strategic Technology Trends for 2019 - Smarter With Gartner
https://www.gartner.com/smarterwithgartner/gartner-top-10-strategic-technology-trends-for-2019/
https://www.gartner.com/smarterwithgartner/gartner-top-10-strategic-technology-trends-for-2019/
Gartner
Gartner Top 10 Strategic Technology Trends for 2019
Blockchain, quantum computing, augmented analytics and AI are some of the Gartner Top 10 Strategic Technology Trends that will drive disruption.
Пост для закрепления
1. Стартовал твиттер отделения https://twitter.com/IsacaSec.
2. ISACA в этом году исполняется 50 лет.
https://www.isaca50.org/
3. Ссылка на чат Московского отделения.
https://news.1rj.ru/str/joinchat/FtEAHAqAuw6ubbQsB6FIDQ
4. Сертификация для начинающих специалистов ИБ CSX.
Для студентов и преподавателей стоимость экзамена 60$, материалы бесплатно.
Промокод Московского отделения CFCSSGZ
http://www.isaca.org/info/academicpackage/index.html
1. Стартовал твиттер отделения https://twitter.com/IsacaSec.
2. ISACA в этом году исполняется 50 лет.
https://www.isaca50.org/
3. Ссылка на чат Московского отделения.
https://news.1rj.ru/str/joinchat/FtEAHAqAuw6ubbQsB6FIDQ
4. Сертификация для начинающих специалистов ИБ CSX.
Для студентов и преподавателей стоимость экзамена 60$, материалы бесплатно.
Промокод Московского отделения CFCSSGZ
http://www.isaca.org/info/academicpackage/index.html
Twitter
IsacaRuSec (@IsacaSec) | Twitter
The latest Tweets from IsacaRuSec (@IsacaSec). Канал направления ИБ Московского отделения ISACA
Направление канала новости ISACA, новости в области управления ИБ в России и мире, обмен лучшими практиками. Москва, Россия
Направление канала новости ISACA, новости в области управления ИБ в России и мире, обмен лучшими практиками. Москва, Россия
ISACARuSec pinned «Пост для закрепления 1. Стартовал твиттер отделения https://twitter.com/IsacaSec. 2. ISACA в этом году исполняется 50 лет. https://www.isaca50.org/ 3. Ссылка на чат Московского отделения. https://news.1rj.ru/str/joinchat/FtEAHAqAuw6ubbQsB6FIDQ 4. Сертификация для…»
Опубликован сводный план проверок субъектов предпринимательства на 2019 год.
Надо вводить инн, огрн и капчу.
http://plan.genproc.gov.ru/plan2019/
Надо вводить инн, огрн и капчу.
http://plan.genproc.gov.ru/plan2019/
Минздрав США выпустил руководство по кибербезопасности для мед. организаций. Некоторые эксперты видят существенный недостаток, что оно не риск-ориентировано.
HHS releases cyber guides for healthcare orgs -- FCW
https://fcw.com/articles/2019/01/02/hhs-cyber-johnson.aspx?m=1
HHS releases cyber guides for healthcare orgs -- FCW
https://fcw.com/articles/2019/01/02/hhs-cyber-johnson.aspx?m=1
FCW
HHS releases cyber guides for healthcare orgs -- FCW
The Department of Health and Human Services has rolled out new guidance to protect organizations in the health care sector from cyberattacks.
Если не ошибаюсь, то на soc-forum Виталий Сергеевич Лютиков обозначил сектор телекома как условно отстающий в части категоризации КИИ.
CenturyLink outage takes down several 911 emergency services across the US | ZDNet
https://www.zdnet.com/article/centurylink-outage-takes-down-several-911-emergency-services-across-the-us/
CenturyLink outage takes down several 911 emergency services across the US | ZDNet
https://www.zdnet.com/article/centurylink-outage-takes-down-several-911-emergency-services-across-the-us/
ZDNet
CenturyLink outage takes down several 911 emergency services across the US | ZDNet
Downtime caused by network issue affecting 15 of CenturyLink's data centers.
ENISAFactsheetA4201709181955pdf.pdf
881 KB
Факты о продлении мандата всеевропейского ФСТЭК -ENISA после 2020 года и грядущей всеевропейской сертификации СЗИ.
1.Пишут, что сертификации сама по себе добровольная, но требования по её наличию могут быть установлены законодательно. Как думаете, как скоро она станет обязательной для GDPR?
2.Приведены существующие системы сертификации в ЕС: CPA, CSPN, BSPA, SOG-IS MRA.
ENISAFactsheetA4201709181955pdf.pdf
1.Пишут, что сертификации сама по себе добровольная, но требования по её наличию могут быть установлены законодательно. Как думаете, как скоро она станет обязательной для GDPR?
2.Приведены существующие системы сертификации в ЕС: CPA, CSPN, BSPA, SOG-IS MRA.
ENISAFactsheetA4201709181955pdf.pdf
ISACARuSec
Из за shutdown не доступны в т.ч. и ресурсы NIST. Shutdown Due to Lapse of Congressional Appropriations | U.S. Department of Commerce https://www.commerce.gov/news/blog/2018/12/shutdown-due-lapse-congressional-appropriations
Что характерно база уязвимостей NVD продолжает работать и не включена в шатдаун.
Опубликован проект ГОСТ Р
"Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения"
https://fstec.ru/tk-362/standarty-tk362/303-proekty/1758-gost-r-2
"Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения"
https://fstec.ru/tk-362/standarty-tk362/303-proekty/1758-gost-r-2
fstec.ru
ГОСТ Р - ФСТЭК России
Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК России)
Хороший пример массового набора специалистов с привязкой к NIST NICE.
https://t.co/BcD1GgxIZ9
https://t.co/BcD1GgxIZ9
CIS
11 of the Coolest Technical Jobs at CIS
There are hundreds of different job noscripts within the cybersecurity industry with millions of unfilled positions around the globe. Find out more about 11 of CIS' interesting and fun careers.
За нарушение gdpr госпиталь в Португалии оштрафовали на 400000 евро.
https://twitter.com/3dwave/status/1082358446199050240?s=09
https://twitter.com/3dwave/status/1082358446199050240?s=09
Twitter
Andrey Prozorov
First #GDPR fine in Portugal issued against hospital for three violations https://t.co/XQqw2UNYHV
Some facts considered proven by the CNPD:
There was no document containing the correspondence between the functional competences of the users and the profiles for access to the information (including to clinical information).
There was also no document defining the rules for creating users of the hospital's information system.
Nine technical employees enjoyed the level of access reserved for the medical group, which resulted in the indiscriminate possibility of such employees consulting the clinical processes of all hospital users.
Existence of access credentials which allowed any doctor, regardless of his/her specialty, to access at any time the data of the clients of a hospital. This was considered as violating the principle of "need to know" and the principle of "minimization of data."
There were 985 users associated with the profile "doctor," but in the official hospital human resources charts there are only 296 doctors in that hospital.
Maintenance of useless profiles for doctors who no longer provide services to the hospital.
There were only 18 user accounts that were inactive and the last one was deactivated in November 2016.
The defendant acted in a free and voluntary way and consciously knowing that its acts are prohibited by law.
There was no document containing the correspondence between the functional competences of the users and the profiles for access to the information (including to clinical information).
There was also no document defining the rules for creating users of the hospital's information system.
Nine technical employees enjoyed the level of access reserved for the medical group, which resulted in the indiscriminate possibility of such employees consulting the clinical processes of all hospital users.
Existence of access credentials which allowed any doctor, regardless of his/her specialty, to access at any time the data of the clients of a hospital. This was considered as violating the principle of "need to know" and the principle of "minimization of data."
There were 985 users associated with the profile "doctor," but in the official hospital human resources charts there are only 296 doctors in that hospital.
Maintenance of useless profiles for doctors who no longer provide services to the hospital.
There were only 18 user accounts that were inactive and the last one was deactivated in November 2016.
The defendant acted in a free and voluntary way and consciously knowing that its acts are prohibited by law.
Forwarded from RUSCADASEC news: Кибербезопасность АСУ ТП (RUSCADASEC-bot)
Хороший обзор того что делает Siemens и ее партнеры по кибербезопасности. Показывает уровень зрелости вендора, а также тенденции рынка industrial cybersecurity и его участников
Долгосрочные исследования Siemens по кибербезопасности
- Self-securing systems design;
- Security validation for digital twin;
- Next-generation patching;
- Security for cooperative, autonomous systems;
- Post-quantum cryptography
- Homomorphic encryption
- Automated forensics and malware analysis;
- Secure, cloud-based, real-time control; and
- Supply-chain security.
Сервисы компании TÜV изначально специализировавшейся на сервисах промышленной безопасности
- Digital footprint of an entity;
- Automated and manual red teaming
- Device fingerprinting based on AI;
- OSINT-based digital reputation;
- Intelligence-led penetration testing;
- Critical asset identification; and
- Top management risk reports
https://www.controlglobal.com/industrynews/2019/siemens-partners-strive-for-security/
Долгосрочные исследования Siemens по кибербезопасности
- Self-securing systems design;
- Security validation for digital twin;
- Next-generation patching;
- Security for cooperative, autonomous systems;
- Post-quantum cryptography
- Homomorphic encryption
- Automated forensics and malware analysis;
- Secure, cloud-based, real-time control; and
- Supply-chain security.
Сервисы компании TÜV изначально специализировавшейся на сервисах промышленной безопасности
- Digital footprint of an entity;
- Automated and manual red teaming
- Device fingerprinting based on AI;
- OSINT-based digital reputation;
- Intelligence-led penetration testing;
- Critical asset identification; and
- Top management risk reports
https://www.controlglobal.com/industrynews/2019/siemens-partners-strive-for-security/
Control Global
Siemens, partners strive for security
Siemens AG and 16 of its primary industrial partners, who recently signed their jointly developed Charter of Trust, which is seeking to present a united front and standardized protections against cyber threats, intrusions and attacks. As part of their efforts…
Учитывая, что siemens в топ-20 по вложениям в r&d, шансы очень неплохие, что исследования закончатся значимым итогом.