и рисовать проще

Уж лучше тогда CIS controls. Не люблю NISTовые документы. Сколько лет с ними работаю, а пользы мало… мой топ: 27001, COBIT, ISF SoGP, CIS controls. Ну, иногда и PCI DSS можно глянуть.

Я по-старинке меряю процессы уровнями зрелости

уровни зрелости это в значительной степени миф. то есть они бывают (одно не работает без другого), но не так, как нам рисуют это товарищи из big4

Nist хорош как раз не контролями, контроли можно вообще не трогать, а целевыми параметрами

критерии соответствия ты можешь определять вообще мимо рекомендованных контролей, "я эксперт, я так вижу"

чеклисты же малополезны, потому что не сразу понятно, что у тебя является целевым состоянием и вообще будет ли толк ставить везде галочки

Стартуем в 12 мск. Присоединяйтесь, кто еще не с нами

А что бы вы хотели узнать про защиту web-приложений? Готовим эфир Безопасной среды по этой теме и формулируем вопросы для обсуждения

Да. Отказались по причине ОЧЕНЬ дорого оборудования по чтению венозного рисунка ладони.
В РФ для биометрии приняты две модальности: сценарный голос и лицо.

💻 Безопасная среда | Защита сайтов и WEB-приложений
⚡️ Уже сегодня в 12:00 мск

Программа и регистрация

Сегодня на Безопасной среде планируем дискуссию по защите сайтов и web-приложений.

Обсудим:
1. Обязательно ли использовать WAF или достаточно писать безопасный код?
2. Можно ли доверять сторонним библиотекам? Или лучше программировать все своими силами?
3. Как организовать AppSec при микросервисной архитектуре, если каждый день деплоится десяток новых/доработанных микросервисов?
4. Как найти идеальный баланс между конверсией и разными проверками пользователей?
5. Нужно ли ставить проверку безопасности кода в разрыв или достаточно проверки постфактум?
6. Как наладить общение между безопасниками и разработчиками? Есть ли реальная польза от секьюрити-чемпионов
7. Как быть с заказной разработкой при том, что вендор не даст провести анализ кода?
8. Как быть с legacy-приложениями, которые поддерживать уже некому?
9. Как оценить ущерб от атаки на сайт или приложение?

Заглядывайте на огонек. Ссылка на полную программу и регистрацию выше 👆

Что готовит Дмитрий Кузнецов, Директор по методологии и стандартизации
Positive Technologies, для интенсива Код ИБ ПРОФИ в Сочи узнаем сегодня прямо здесь в чате.

Старт короткого интервью - 11 мск.

А прикольный формат голосовых конф в Телеграме )) Еще бы спикеры с видео вышли... Можно же здесь запускать любые обсуждения таким образом, записи в подкаст выкладывать... Я думаю можно инициативу проявить и сделать такое регулярным. У нас даже заготовка есть для названия проекта такого - ИБэшный движ :) Как раз искали нормальную площадку, и вот мне кажется, Телеграм самое оно. Коллеги, как считаете?

Я не догадался камеру включить :)

Но в целом для небольших групп площадка нормальная. Фича появилась недавно, на больших группах не тестировали

Пишут, что до 1000 человек с возможностью видео :)

«ИБ на грани фола» уже существует

а можно ссылку?