Pull to refresh
  • by relevance
  • by date
  • by rating

Яндекс.Облако стало первой платформой из РФ, которая подтвердила соответствие международным стандартам

Информационная безопасностьIT-стандартыЯндекс APIОблачные сервисы
image

Яндекс.Облако — первая в России и СНГ публичная облачная платформа, которой удалось выстроить управление информационной безопасностью по стандарту ISO/IEC 27017:2015 и обеспечить защиту персональных данных пользователей по международному стандарту ISO/IEC 27018:2019. Соответствие стандартам подтвердил независимый аудитор — Британский институт стандартов (BSI).

BSI заявил, что Яндекс.Облако соответствует требованиям трех международных стандартов информационной безопасности: ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC27018:2019. Два из них подтверждены в России впервые.
Читать дальше →
Total votes 23: ↑20 and ↓3 +17
Views11.2K
Comments 14

ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?

Информационная безопасностьIT-стандарты
Tutorial

*Виновен в разглашении конфиденциальной информации! Ваш ТЕЛЕФОН говорит только то, что говорите ВЫ...*

В последний раз я освещал вопрос обеспечения ИБ в США почти год назад в материале, посвящённом разработке Фреймворка управления рисками ИБ. Настало время более подробно рассказать о том, как устроена ИБ в Америке. По крайней мере на бумаге, изданной вполне авторитетной организацией NIST.
Стоит обратить отдельное внимание на то, что дальше речь пойдет о теоретической ИБ, так называемых best practices, которые, как известно большинству специалистов по практической безопасности, в жизни встречаются редко. Однако это не умаляет их значимости при построении реальной системы обеспечения ИБ.

Ссылки на все части статьи:
ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?
ИБ по-американски. Часть 2. А можно поподробнее о NIST 800-53 и причём тут управление рисками?
ИБ по-американски. Часть 3. Что из себя представляет базовый набор контролей и как определять критичность систем?
ИБ по-американски. Часть 4. Разбираемся с «подгонкой» и «перекрытиями» и завершаем этот обзор
Читать дальше →
Total votes 21: ↑20 and ↓1 +19
Views32.1K
Comments 6

Интернет-контрразведка в действии: создаем персональную систему менеджмента информационной безопасности

ЭшелонИнформационная безопасность

В предыдущих статьях мы рассматривали разведывательные способы добывания информации о человеке в интернете, но ни разу не затронули тему защиты от подобных действий со стороны наших недоброжелателей. Теперь время пришло, и мы это сделаем. Перед погружением в сегодняшнюю тему небольшой дисклеймер:


Все события и участники являются вымышленными. Любые совпадения случайны. Автор не несет ответственности за любые негативные последствия в случае внедрения рассматриваемых контрмер, в том числе физические травмы, полученные в результате неконтролируемого приступа ревности, возникшего у вашей второй половинки. Помните: усиление мер защиты может привлечь ненужное внимание и вызвать подозрения.


Читать дальше →
Total votes 48: ↑42 and ↓6 +36
Views39.9K
Comments 52

Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

ua-hosting.companyХостингIT-инфраструктураХранение данныхХранилища данных
В этой статье мы расскажем какие инфраструктурные решения реализуют наши клиенты с применением серверных платформ Dell R730xd и почему цена на аренду этой платформы в европейском дата-центре TierIII+ уровня с отличными каналами связи в Украину и Россию, а также в 9 локациях в США, уже с размещением и коннективностью по цене от $249 / месяц за 2 х Intel Dodeca-Core Xeon E5-2650 v4 128GB DDR4 6x480 SSD 1Gbps стала реальностью. Поделимся возможными вариантами решений на основе этих платформ с применением частных vlan, 10G локальной сети и аппаратных Firewall от СISCO, которые доступны нашим клиентам по запросу. А также, в лучших традициях, предложим бонус в виде бесплатного периода пользования серверами Dell R730xd для читателей Habrahabr.

image

В последнее время мы получаем всë больше и больше запросов на построение различных корпоративных инфраструктур, и связано это, к сожалению, не столько с тем, что мы предоставляем решения очень высокого качества, сколько с ценой на эти решения и тем уровнем безопасности и верховенства права, который обеспечивается в Нидерландах и США, но увы, зачастую недоступен в Украине и России. Где, к сожалению, подобные решения стоят просто «космических» денег, так как понятие «длинные деньги» чуждо для постсоветских стран в принципе, на фоне других рисков или во все отсутствия необходимой инфраструктуры и уровня сертификации.
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views25.7K
Comments 18

5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Гнев

Информационная безопасностьХранение данных
Вторая стадия эмоционального реагирования на изменения – гнев. Этому соответствует наша стадия борьбы со сложностями начальной подготовки к сертификации – чему и посвящён наш сегодняшний рассказ.

image
Читать далее
Total votes 3: ↑3 and ↓0 +3
Views3.1K
Comments 2

Анализ международных документов по управлению рисками информационной безопасности. Часть 2

Информационная безопасность
В предыдущей части мы описали общую концепцию риск-менеджмента и раскрыли методы управления рисками в соответствии с документами NIST SP серии 800. В данной части мы продолжим обзор международных документов по управлению рисками информационной безопасности: у нас на очереди стандарты ISO 27005 и 31010. Приступим!

image
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views6.4K
Comments 5

5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Торг

Информационная безопасностьХранение данных
Третья стадия эмоционального реагирования на изменения – торг. Разобравшись со своим гневом и эмоциональной составляющей, мы начали думать о том, что реально нужно сделать для того, что у нас всё заработало. Настало время изучить стандарт более детально, применить его к нашей текущей ситуации и адаптировать его требования под нашу компанию. Здесь важно было при соблюдении требований стандарта обойтись «малой кровью». Любые изменения должны были быть адекватными – то есть соизмеримыми с соответствующим риском. Затраты на защиту не должны были превышать возможный ущерб от реализации риска.

image
Читать далее
Total votes 6: ↑5 and ↓1 +4
Views2.1K
Comments 3

5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Депрессия

Информационная безопасностьХранение данных
Четвертая стадия эмоционального реагирования на изменения – депрессия. В этой статье мы расскажем вам о нашем опыте прохождения самой затяжной и малоприятной стадии – об изменениях бизнес-процессов компании с целью достижения их соответствия стандарту ISO 27001.



Ожидание


Первый вопрос, которым мы задались после выбора сертифицирующего органа и консультанта – сколько времени нам реально понадобится на все необходимые изменения?

Изначальный план работ был расписан так, что мы должны были уложиться за 3 месяца.



Читать дальше →
Total votes 3: ↑2 and ↓1 +1
Views1.9K
Comments 4

«Меня развели мои же коллеги»: как и зачем мы проводим внутренние фишинговые рассылки

DataLineИнформационная безопасность
Привет! Меня зовут Саша, и уже полтора года я периодически промышляю фишингом. Только не ради наживы, а для повышения киберграмотности коллег. Такие рассылки помогают нам проверить, насколько вероятна утечка из-за человеческого фактора, кому и какое обучение порекомендовать по основам кибербезопасности. В итоге грамотность сотрудников повышается: к концу года доля «попавшихся» снизилась с 17% до 2%. 

Это помогает проходить аудит по стандарту ISO/IEC 27001. Такая рассылка со сбором статистики и последующим обучением встраивается в систему внутреннего аудита по требованиям стандарта. 

В посте покажу примеры, как мы проводили внутреннюю фишинговую рассылку и какие результаты она дает. 


Читать дальше →
Total votes 24: ↑23 and ↓1 +22
Views4.5K
Comments 2