A
Спасибо
На основании своей экспертизы что то откуда можно выбросить, но как чек-лист чтобы ничего не упустить - самое оно
Size: a a a
2021 March 12
AD
Ага, вы их видели? Там контроли типо 'проверить доступ к файлу etc/shadows
Более старые версии видел, тогда были норм квик вины, самые новые не смотрел
AI
Зачем это коммерческой компании?
чтобы затем предложить мероприятия по улучшению конкретных технических вещей так и процессов в целом
AI
Или не так делается?
A
Зачем делать работу, которая не нужна никому кроме гос регулятора
AI
Зачем делать работу, которая не нужна никому кроме гос регулятора
Странно, а как вы без обследования узнаете, что не так? ))
TE
Зачем делать работу, которая не нужна никому кроме гос регулятора
Уууууу, ты ещё скажи что инвентаризация не нужна чтоб найти поднятый админами второй домен и можно найти его просто ткнув пальцем в небо
AS
Кто сможет подсказать, Если нужно с нуля оценить процессы Иб в коммерческой компании и затем предложить мероприятия по улучшению конкретных технических вещей так и процессов в целом , можно ли взять для этого iso 27001 в нем описаны процессы Иб и какой нибудь гост например 57580.1-2017 защита инф. Фин организаций в нем описаны конкретные меры ... на основе этих документов выкатить рекомендации,норм подход ?
нет, не надо брать iso. надо брать nist csf, при этом не ходить по чеклисту контролей из 800-53, а думать головой
TE
нет, не надо брать iso. надо брать nist csf, при этом не ходить по чеклисту контролей из 800-53, а думать головой
Я с тобой не часто соглашаюсь но вот про думать головой - соглашусь
TE
Вообще есть консалтерская метода пирамиды Минто по которой очень неплохо нарезается свой личный опыт того что смотреть, что делать и как самому себе план и чеклисты структурированные сделать для аудитов
MS
Коллеги, есть срочные вакансии:
1) специалист (начальник ИБ) не бумажник - Мытищи - до 150 от навыков
2) 6 инженеров SIEM от нулевых навыков до экспертов Москва (зп индивидуальна) - готовы студентов последних курсов
писать m.stepchenkov@rusiem.com
1) специалист (начальник ИБ) не бумажник - Мытищи - до 150 от навыков
2) 6 инженеров SIEM от нулевых навыков до экспертов Москва (зп индивидуальна) - готовы студентов последних курсов
писать m.stepchenkov@rusiem.com
AP
Коллеги, есть срочные вакансии:
1) специалист (начальник ИБ) не бумажник - Мытищи - до 150 от навыков
2) 6 инженеров SIEM от нулевых навыков до экспертов Москва (зп индивидуальна) - готовы студентов последних курсов
писать m.stepchenkov@rusiem.com
1) специалист (начальник ИБ) не бумажник - Мытищи - до 150 от навыков
2) 6 инженеров SIEM от нулевых навыков до экспертов Москва (зп индивидуальна) - готовы студентов последних курсов
писать m.stepchenkov@rusiem.com
Вакансии лучше сюда закинуть https://t.me/CyberJobsRussia
ИЗ
Здравствуйте Коллеги!
Подскажите пожалуйста, где можно взять презентации выступающих со вчерашнего мероприятия в г.Красноярск?
Подскажите пожалуйста, где можно взять презентации выступающих со вчерашнего мероприятия в г.Красноярск?
Здравствуйте, презентации доступны по ссылке: https://community.codeib.ru/slides/1/category/4?tag=17
G
Здравствуйте, презентации доступны по ссылке: https://community.codeib.ru/slides/1/category/4?tag=17
Большое спасибо ;)
AI
Webcam, закладки или IT?
AI
Потому что после школы только три пути... )))))
AP
Webcam, закладки или IT?
Может, первую линию SOC набирают. 🤔
AP
Кто сможет подсказать, Если нужно с нуля оценить процессы Иб в коммерческой компании и затем предложить мероприятия по улучшению конкретных технических вещей так и процессов в целом , можно ли взять для этого iso 27001 в нем описаны процессы Иб и какой нибудь гост например 57580.1-2017 защита инф. Фин организаций в нем описаны конкретные меры ... на основе этих документов выкатить рекомендации,норм подход ?
ISO 27001 - самый простой, универсальный и, на мой взгляд, полезный стандарт. Для большей конкретики берите его требования совместно с рекомендациями ISO 27002.
Я пробовал и другие варианты, например, NIST CSF, CIS Controls (SANS TOP 20), COBIT for IS, PCI DSS, СТО БР ИББС, ISF SoGP, Katakri, но всегда в итоге возвращался к 27001 и 27002, или делал маппинг...
Но, а так, конечно, стоит ориентироваться на то, что принято в отрасли, компании. Кто-то до сих про ничего лучше СТР-К не пробовал.
Я пробовал и другие варианты, например, NIST CSF, CIS Controls (SANS TOP 20), COBIT for IS, PCI DSS, СТО БР ИББС, ISF SoGP, Katakri, но всегда в итоге возвращался к 27001 и 27002, или делал маппинг...
Но, а так, конечно, стоит ориентироваться на то, что принято в отрасли, компании. Кто-то до сих про ничего лучше СТР-К не пробовал.
AP
Вообще есть консалтерская метода пирамиды Минто по которой очень неплохо нарезается свой личный опыт того что смотреть, что делать и как самому себе план и чеклисты структурированные сделать для аудитов
Без конкретных критериев у вас будет не аудит, а что-то типа «экспертной оценки». Тоже полезно, но суть другая
AP
Iso слишком общий и подходит для зрелых компаний. 80% из него обычному бизнесу будет обузой
Дык, он и хорош тем, что общий и комплексный, можно быстро найти области, которые совсем не закрыты...