среда, 28 октября 2015 г.

Оценка рисков с использованием R·Vision SGRC

Всем привет ! 

Завтра провожу вебинар по теме "Оценка рисков с использованием R·Vision SGRC"


Поговорим про анализ рисков вообще и моделирование угроз в частности, обсудим западные методики и пока еще не вышедшую методичку ФСТЭК.  Детально расскажу и покажу новые возможности по идентификации и оценке рисков в R·Vision SGRC. 

Регистрируйтесь, вебинар завтра, 29 октября в 11:00 ! 

вторник, 20 октября 2015 г.

Организация программы по повышению осведомленности

Кризис бьет по экономике, бизнес-руководство "режет косты", т.е сокращает финансирование, но обеспечивать безопасность по-прежнему нужно. И хочешь не хочешь, но необходимо искать какие-то простые (в идеале бесплатные) методы достижения нужного результата.  Конечно порой такая погоня за дешевизной в прямом смысле дорого обходится, но пост не об этом. 

Одним из самых недорогих, но действенных методов по повышению общего уровня безопасности на мой взгляд является программа повышения персонала в вопросах ИБ. Внедряя такую программу в компании подразделение ИБ убивает сразу 2х зайцев:
  • сотрудники становятся более грамотными в плане ИБ, что приводит к меньшему количеству ошибок, обращений в ИТ и ИБ и в конечном итоге уменьшает количество инцидентов;
  • программа повышения осведомленности может помочь популяризировать деятельность подразделения ИБ в компании, эдакий способ PR-а внутри компании. 
Есть несколько простых инструментов, которые могут составить такую программу повышения осведомленности: 
  • периодические тренинги персонала - самый очевидный, но при этом самый ресурсозатратный метод, да и часто вызывает определенное отторжение, поэтому я бы рекомендовал его применять крайне дозированно (раз в год, например). 
  • рассылки внутри компании - метод простой и в меньшей степени напряжный, особенно если удастся обеспечить хороший контент для такой рассылки. Если делать ее не часто (раз в месяц например) и включать советы в том числе по личной компьютерной безопасности, то уверен что найдется немало людей кто будет даже благодарен. 
  • плакаты, наглядная агитация - хороший метод, но только если прям угадаете с оформлением. Нужно ориентироваться на принятую культуру в компании, средний возраст персонала и проч. Должно быть интересно, немного смешно и должно запомниться.  Есть вечные темы вроде полуголых женщин, призывающих "не болтать", есть дизайнерские находки, вроде тех плакатов, которые в свое время делал для себя Билайн (жаль что их нигде в сети нет)
  • база знаний - раздел на внутрикорпоративном сайте компании, который содержит в простой и доступной форме описание и разъяснение основных положений политики ИБ компании, описание действий в ситуации "если вдруг ___  то действуйте так ____"
Для реализации всего того, что я написал выше, в первую очередь нужен грамотный контент - материал из которого будут делаться тренинги, рассылки, плакаты и проч.  С этим конечно все сложнее и это пожалуй единственный серьезный барьер, о который разбиваются многие попытки внедрить деятельность по повышению осведомленности. 

Приведу несколько ссылок, надеюсь что помогут. Практически все на английском, у нас в России по этой теме пока мало кто активно работает.  Но ведь стоимость переводчика не такая большая, можно нанять, а можно самому перевести, да еще и знание языка повысить :) 

  • Проект Так безопасно от компании ЛЕТА - набор готовых плакатов - скринсейверов, с описанием стандартных и очевидных правил информационной безопасности.
  • Microsoft Security Awareness Toolkit - тулкит от компании Microsoft, содержащий различные материалы (планы, статьи, презентации), которые могут быть использованы для реализации программы повышения осведомленности. 
  • Stay Smart Online - Сайт Австралийского агентства Department of Communications and the Arts, содержит набор статей, описывающих основные рекомендации по обеспечению персональной безопасности в сети.  
  • Stop. Think. Connect - онлайн ресурс, содержащий рекомендации по обеспечению ИБ, а также подборку плакатов 

четверг, 8 октября 2015 г.

Вебинар про R·Vision SGRC

Мы строили, строили  и наконец построили.....


Хочу поделиться приятной новостью.  Еще в начале этого года мы затеяли глобальную переделку системы R-Vision. В рамках этой работы необходимо было решить 2 серьезные задачи:
  • Объединить весь имеющийся функционал в одну систему, с целью консолидации информации и создания единой модели данных, с которыми работают пользователи продукта.
  • Расширить гибкость системы с целью адаптации ее под нужды различных компаний

В результате мы практически полностью переписали все что было, но это того стоило. Забегая вперед, скажу что нам все удалось и даже больше. Подробности сейчас раскрывать не буду, чтобы сохранить интригу. 

В следующую среду (14 октября) в 11:00 мы будем проводить большой вебинар, на котором покажем и расскажем о том что же такое SGRC, как мы его видим и какие новые возможности дает наша обновленная система. 

Регистрируйтесь, будем рады всех видеть - https://rvision.pro/?post_type=event&p=1192