Автор: Сергей Борисов

Недавно OWASP опубликовали новую версию Top 10 API Security Risks. Кроме этого сообщество OWASP было известно рейтингами Top 10 web уязвимостей, Top 10 уязвимостей kubernetes и Top 10 CI/CD Security Risks и другими полезными Top 10 по безопасности. API-интерфейсы являются важной частью современных мобильных, облачных, микросервисных, одностраничных и веб-приложениях. По своей природе API-интерфейсы раскрывают логику […]

Запись сессии ответов на вопросы, связанные с выполнением и применением свежих НПА в области персональных данных. Проводил: Ю.Е. Контемиров, начальник Управления Роскомнадзора по защите прав субъектов персональных данных Трансляция состоялась 1 марта 2023 года в сообществе РКН

Коллеги, слушатели и читатели, всем привет. Продолжаю цикл небольших видео, посвященных моделированию угроз. В предыдущих сериях, в ответ на постоянные изменения в компании и системах мы рассмотрели подходы к моделированию угроз в электронных таблицах Excel и в специализированных системах автоматизации моделирования угроз, в системах совместной работы над задачами, а также начали рассматривать варианты применения модели […]

Коллеги, слушатели и читатели, всем привет. Продолжаю цикл небольших видео, посвященных моделированию угроз. В предыдущих сериях, в ответ на постоянные изменения в компании и системах мы рассмотрели подходы к моделированию угроз в электронных таблицах Excel и в специализированных системах автоматизации моделирования угроз, а также в системах совместной работы над задачами. В этот раз рассмотрим варианты […]

В ноябре Microsoft разработали и опубликовали интересный фреймфорк (набор практик) безопасности опенсорсного ПО в составе корпоративных продуктов — Open Source Software (OSS) Secure Supply Chain (SSC) Framework. Чуть позже они передали этот фреймворк сообществу Open Source Security Foundation, где он был опубликован уже под именем Secure Supply Chain Consumption Framework (S2C2F). Давайте посмотрим подробнее что […]

В декабре OWASP опубликовали Top 10 CI/CD Security Risk Сообщество OWASP уже отличалось широко известным рейтингом Top 10 web уязвимостей и мало известным Top 10 kubernetes уязвимостей. Почему решили сделать такой рейтинг и для CI/CD? Процессы, системы и окружения CI/CD — это сердце современной софтовой компании. Они доставляют код от разработчика до продакшена. В комбинации […]

ФСТЭК России выступает с инициативой (https://regulation.gov.ru/projects#npa=132326) внесения изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 08.02.2018 № 127. По мнению регулятора от предлагаемых изменений ПП №127 дополнительных затрат в бюджете не появится, поэтому с большой вероятностью изменения будут приняты. Подготовил наглядный анализ изменений, чтобы было понятно, на […]

Ответы Роскомнадзора на Вебинар об изменениях законодательства в сфере персональных данных от 29 сентября 2022

Коллеги, слушатели и читатели, всем привет. Рад снова видеть вас после небольшого перерыва. Последнее время много занимаюсь автоматизацией в ИБ и хотел бы поделиться с вами чем-то полезным в этой части. А начну с моей любимой темы – моделирования угроз ИБ (cyber threat model) Только в отличие от классического подхода, где модель угроз создается один […]

Коллеги, слушатели и читатели, всем привет. Рад снова видеть вас после небольшого перерыва. Последнее время много занимаюсь автоматизацией в ИБ и хотел бы поделиться с вами чем-то полезным в этой части. А начну с моей любимой темы – моделирования угроз ИБ (cyber threat model) Только в отличие от классического подхода, где модель угроз создается один […]

Коллеги, слушатели и читатели, всем привет. Рад снова видеть вас после небольшого перерыва. Последнее время много занимаюсь автоматизацией в ИБ и хотел бы поделиться с вами чем-то полезным в этой части. А начну с моей любимой темы – моделирования угроз ИБ (cyber threat model) Только в отличие от классического подхода, где модель угроз создается один […]

Коллеги, поздравляю всех с наступающим новым годом. Желаю всем в новом году: регуляторов ИБ которые больше помогают, обучают и меньше запрещают продуктов ИБ, которые решают именно ваши задачи поставщиков, которые не забывают о вас до следующей оплаты, а помогают решить все возникающие проблемы интеграторов, которые возьмутся за не самую прибыльную для них, но важную для […]

Новая серия публикаций NISTIR 8286 посвящена обсуждению этапов управления рисками ИБ, того как они соотносятся с особенностями отдельных подразделений и систем, и того как они интегрируются в единую систему менеджмента рисками. Серия состоит из 3х частей, при этом для 8286A опубликована финальная версия, 8286B опубликован второй драфт, а 8286С обещают через пару недель. Идею интеграции […]

Для тех, кто уже провел моделирование угроз с использованием техник и тактик нарушителей из методики ФСТЭК России следующим логичным шагом будет выбор контрмер, которыми можно предотвратить техники нарушителей. Логично что меры для защиты ИСПДн надо выбирать из приказа ФСТЭК №21, для государственной информационной системы из приказа ФСТЭК №17, для объектов КИИ из приказа ФСТЭК №239 […]

Коллеги! В среду 13.10 прошел данный межблогерский вебинар Спикеры: Сергей Борисов, proib.ru Ксения Шудрова, RISC Денис Лукаш, DPO в странах Евразии группы компаний Infobip, член IAPP Для чего мессенджеры используются на работе? Для решения корпоративных задач и в бизнес-процессах компании, для взаимодействия с клиентами и партнерами, для общения с аутстаферами, техподдержкой, внешними обслуживающими организациями и […]