пятница, 29 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 5

В этой части рассмотрены следующие вопросы:
  • Количественный анализ рисков 
  • Автоматизированные методы анализа рисков 
  • Шаги процесса анализа рисков 
  • Результаты анализа рисков

воскресенье, 24 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 4

В этой части рассмотрены следующие вопросы:
  • Анализ рисков
  • Группа анализа рисков
  • Владельцы рисков
  • Ценность информации и активов
  • Определение стоимости и ценности
  • Идентификация угроз
  • Анализ сбоев и дефектов

четверг, 21 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 3

В этой части рассмотрены следующие вопросы:
  • Управление информационными рисками
  • Кто действительно разбирается в управлении рисками?
  • Политика управления информационными рисками
  • Группа управления рисками (IRM-группа)

вторник, 19 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 2

В этой части рассмотрены следующие вопросы:
  • Организационная модель безопасности
  • Компоненты программы безопасности
  • Стандарты безопасности
  • Управление безопасностью на стратегическом уровне
  • Разработка программы безопасности

понедельник, 18 мая 2009 г.

В двух словах \ PCI DSS 1.2

Краткое описание основных положений стандарта PCI DSS версии 1.2, который в настоящее время является необходимым для соблюдения всеми банками (и не только ими), выпускающими и обслуживающими банковские карты.
Краткое описание позволит быстро сориентироваться в требованиях и найти нужные. Разумеется, это не заменяет изучение полной версии стандарта, с которой можно ознакомиться по следующим ссылкам:
- PCI Data Security Standard 1.2 (оригинал на английском языке)
- PCI DSS 1.2 (перевод на русский язык компанией "Информзащита")

Итак. Стандарт PCI DSS 1.2 содержит 12 требований. Вот они:

четверг, 14 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 1

В этой части рассмотрены следующие вопросы:
  • Управление безопасностью
  • Распределение обязанностей по управлению безопасностью
  • Подход "сверху-вниз"
  • Администрирование безопасности и защитные меры
  • Основные принципы безопасности (AIC-триада)
  • Доступность
  • Целостность
  • Конфиденциальность
  • Определения безопасности (уязвимость, угроза, риск, воздействие, контрмеры)
  • Безопасность посредством неизвестности

среда, 13 мая 2009 г.

ISSP \ Введение

Некоторое время назад начал на досуге читать книгу Shon Harris “CISSP All-in-One Exam Guide” (подготовка к сдаче экзамена на получения сертификата CISSP). Книга, на мой взгляд, крайне интересная и полезная для любого защитника информации. Несмотря на некоторый имеющийся у меня опыт (все-таки я работаю в направлении ИБ уже около 10 лет), я нашел для себя много интересного и полезного. Рекомендую к обязательному прочтению всем профессионально занимающимся вопросом ИБ и до сих пор не ознакомившимся :)

Однако для тех, кто страдает повышенной тягой к знаниям, но английский пока изучить не успел, я буду выкладывать слегка сокращенный русский перевод книги. Заодно это позволит мне попрактиковаться с английским, что будет не лишним (ведь делать перевод, да еще и более-менее литературный, совсем не то же самое, что просто читать английский текст). Надеюсь что затраченное на перевод время принесет пользу кому-нибудь из коллег и сделает информацию в этом мире чуточку безопаснее :)

Так как чтение представленного в блоге материала без дополнительной подготовки вряд ли позволит сдать экзамен CISSP, то первый раздел моего блога я назову ISSP ;)

Предупреждение:
Если Вы намерены получить сертификат CISSP, представленные в этом блоге части перевода книги
Shon Harris “CISSP All-in-One Exam Guide” ни в коей мере не заменят для Вас чтение оригинала и обучение на подготовительных курсах. Подробнее узнать о сертификации, проведении курсов и экзаменов можно на сайтах RISSPA и Микроинформ.