Pull to refresh
  • by relevance
  • by date
  • by rating

В США потребовали от организаций установить последние патчи безопасности для Windows Server из-за серьёзных уязвимостей

Information Security *Development for Windows *Software
image

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) дало федеральным агентствам время до полуночи вторника, чтобы исправить критическую уязвимость Windows Server под названием Zerologon (CVE-2020-1472), которая позволяет злоумышленникам мгновенно получить несанкционированный контроль над Active Directory. Сама Microsoft сообщила о закрытии уязвимости еще в августе.
Total votes 5: ↑5 and ↓0 +5
Views 3.3K
Comments 3

В США представили законопроект, обязывающий компании сообщать правительству о кибератаках и выплатах хакерам

Information Security *Legislation in IT

Сенаторы комитета внутренней безопасности США обнародовали законопроект, который обяжет компании сообщать федеральным властям о кибератаках и о том, что они заплатили хакерам. Положение также позволит Агентству по кибербезопасности и безопасности инфраструктуры (CISA) вызывать в суд лиц, которые подверглись незаконным действиям киберпреступников.

Читать далее
Total votes 14: ↑13 and ↓1 +12
Views 933
Comments 8

30 июля пройдет четвертое собрание украинского сообщества специалистов по информационной безопасности

Information Security *
30 июля в 10:00 Ukrainian Information Security Group соберется в Daily Kiev Bar (галерея «ХудГраф») на бульваре Т.Шевченко, 33.

Некоторые из активных членов сообщества согласились сделать установочные доклады и задать темы для общения:
— Глеб Пахаренко (Инфопульс) и Мария Сидорова (Код безопасности) расскажут про опыт работы сообществ по информационной безопасности в Украине и России.
— Владимир Илибман (Cisco) расскажет про сдвиг парадигмы IT в сторону размытости границ, который происходит благодаря облачным сервисам и мобильным сотрудникам.
— Андрей Лысюк (Ernst&Young) и Александр Дмитриев (Das magazine) поделятся опытом проведения сертификации CISM/CISA и ISO 27001

Также, планируется обсудить создание украинского CERT (Computer Emergency Response Team) и cпецифические информационные угрозы виртуальных инфраструктур.

Основная часть докладов пройдет с 10:00 до 16:00, после чего планируется «пивная программа».

Всех желающих принять участие в семинаре просим зарегистрироваться на странице события в LinkedIn
Ссылка на карту проезда
Total votes 5: ↑4 and ↓1 +3
Views 445
Comments 0

Получение CISA. История одного сертификата и помощь интересующимся

Information Security *
Эта история о том, как я получал сертификат CISA, чтобы стать сертифицированным аудитором информационных систем и присоединиться к армии из более чем 100.000 профессионалов (по утверждению самой ISACA). Думаю в общем виде аналогия может быть расширена на CISM, CGEIT и CRISC.

Сертификация довольно популярная, в России, судя по явке на экзамен, сдают пытаются сдать многие, но не так много материалов о том, как готовиться и просто личного опыта на эту тему. Я решил исправить эту ситуацию.



Дальше таких больших картинок не будет!
Total votes 33: ↑28 and ↓5 +23
Views 37K
Comments 32

Security Week 44: законодатели и безопасность, криптография и разведка

«Лаборатория Касперского» corporate blog Information Security *Cryptography *
Если и есть в сфере информационной безопасности тема сложнее криптографии, то это законодательство. Любую исследовательскую работу по шифрованию, ее основные выводы и возможные последствия можно понять. Во многих случаях для этого потребуются пара лет интенсивного обучения по основной и сопутствующим темам, и еще десяток лет работы экспертом по безопасности. Но понять можно. Далеко не всегда можно понять, какие последствия будут у закона, регулирующего сферу информационной безопасности, даже если его внимательно прочитать. Даже если ты хорошо владеешь языком, на котором он написан.

Тем не менее, понимать надо, потому что законодательство может серьезно повлиять на вопросы безопасности, в ту или иную сторону. Хорошие, годные инициативы мотивируют компании лучше защищаться от киберугроз, защищают клиентов банков от потери денег в случае онлайнового мошенничества, улучшают безопасность самих государственных структур и наших данных, ими обрабатываемых, борются с криминалом. Плохие законы в лучшем случае никак не меняют ландшафт угроз, в худшем — позволяют киберпреступникам выходить на свободу, даже после ареста и при наличии убедительных доказательств вины, затрудняют работу исследователей, и делают приватные данные чуть менее приватными, чем хотелось бы.

В этой серии дайджеста поговорим о двух важных новостях в области американского ИБ-законодательства, а также продолжим обсуждение криптографии, на сей раз — благодаря агентству АНБ, решившему поучаствовать в обсуждении вопросов шифрования. Что, впрочем, тоже недалеко ушло от политики. Правила: каждую неделю редакция новостного сайта Threatpost выбирает три наиболее значимых новости, к которым я добавляю расширенный и беспощадный комментарий. Все эпизоды сериала можно найти по тегу.
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views 9K
Comments 4

Готовимся к экзамену CISA. Определения Business Continuity

МУК corporate blog Information Security *
Пашков КузьмаLead InfoSec, EMC trainer @ training.muk.ua

image

Годы подготовки к международно-признаваемым сертификациям в сфере информационной безопасности показывают, что наибольшее количество определений термину Business Continuity (далее BC) дают участники семинаров для аудиторов информационных систем. И это не случайно – оператор сертификации ISACA ожидает от кандидатов на получения статуса CISA углубленного понимания, в частности, терминологии.

Точка зрения в виде сочетания занимаемой должности, отрасли и поставленных целей дает разные определения BC:
Читать дальше →
Total votes 5: ↑2 and ↓3 -1
Views 2.7K
Comments 0

Готовимся к экзамену CISA. Польза Business Continuity

МУК corporate blog Information Security *
Tutorial
Пашков Кузьма — Lead InfoSec, EMC trainer @ training.muk.ua



В прошлой статье мы рассмотрели определения Business Continuity (далее BC) и сделали вывод, что в отличии от Disaster Recovery (далее DR), ВС фокусируется на прибыли. Пока в распоряжении организации есть время и деньги, она может функционировать. Деньги могут иметь форму капитала, заемных средств, инвестиций и платежей клиентов. BC фокусируется на поступлении платежей на счет организации даже если она не поставляет клиентам товар. Идеальным примером является старая как мир «распродажа». Целью распродажи является увеличение расчетных средств, наличие которых дает время на продолжение деятельности и финансирование восстановления.

Организация может использовать принципы BC чтобы:
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 1.9K
Comments 0

Готовимся к экзамену CISA. Практики Business Continuity

МУК corporate blog Information Security *
Tutorial
Пашков Кузьма — Lead InfoSec, EMC trainer @ training.muk.ua

Разобравшись в прошлых статьях с определениями и пользой Business Continuity (далее BC) нужно рассмотреть практики ее реализации.

Читать дальше →
Total votes 8: ↑5 and ↓3 +2
Views 2.3K
Comments 0

Сертификации CompTIA для ИТ-специалистов. Часть 5 из 7. CompTIA CASP (Advanced Security Practitioner)

МУК corporate blog Studying in IT Education abroad IT-emigration
Tutorial
Сертификации CompTIA для ИТ-специалистов. Часть 1 из 7: CompTIA A+
Сертификации CompTIA для ИТ-специалистов. Часть 4 из 7. CompTIA Security+
Сертификации CompTIA для ИТ-специалистов. Часть 6 из 7. CompTIA Storage+
Сертификации CompTIA для ИТ-специалистов. Часть 7 из 7. CompTIA CTT+ (Certified Technical Trainer)
Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 6.7K
Comments 2

Сертификации CompTIA для ИТ-специалистов. Часть 3 из 7. CompTIA Cloud+

МУК corporate blog Studying in IT Education abroad Reading room
Tutorial
Сертификации CompTIA для ИТ-специалистов. Часть 1 из 7: CompTIA A+
Сертификации CompTIA для ИТ-специалистов. Часть 4 из 7. CompTIA Security+
Сертификации CompTIA для ИТ-специалистов. Часть 5 из 7. CompTIA CASP (Advanced Security Practitioner)
Сертификации CompTIA для ИТ-специалистов. Часть 6 из 7. CompTIA Storage+
Сертификации CompTIA для ИТ-специалистов. Часть 7 из 7. CompTIA CTT+ (Certified Technical Trainer)


1. “Что такое Cloud (облако)?”


В ответ на этот вопрос обычно приводят различные варианты аренды инфраструктуры (Infrastructure-), платформы (Platform-) или приложения (Software-) как услуги (asService) у публичного (Public) или частного (Private) поставщика (Provider), с которыми успели столкнуться. Крайне редко частично воспроизводится замысловатое определение термина Cloud Computing, данное Национальным Институтом стандартизации и Технологий (NIST) США в серии публикаций SP800-145, а именно:
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 3.9K
Comments 0

Сертификаты CISSP, CISA, CISM: как получить и стоит ли овчинка выделки?

Эшелон corporate blog Information Security *
А почему у тебя на визитке написано «КИСА»?
Ты вроде серьезный человек…
(из разговора с приятелем)

Мы все знаем, что нас встречают всегда по одежке, но не всегда задумываемся, а что именно стоит за этим словом «одежка». «Одежкой» являются наши атрибуты, которые позволяют другим людям легко вписать нас в свое представление о мире или, проще говоря, навесить на нас ярлык. Соответственно, управляя своими атрибутами, мы можем управлять тем, как нас воспринимают другие люди. В среде специалистов по информационной безопасности устоявшимися атрибутами, позволяющие другим причислять вас к серьезным ИБ-специалистам, являются такие статусы, как CISSP, CISA, CISM.

В данной статье подробно рассмотрим, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.


Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 72K
Comments 28

Получение CPE для поддержания профессиональных сертификаций (на примере ISACA)

Information Security *Studying in IT IT career
Tutorial

В статье опубликованной 4,5 года назад и посвящённой получению профессиональной сертификации ИТ аудитора я обещал рассказать о том, как эту сертификацию поддерживать в актуальном состоянии, что, к сожалению, является не привилегией, но обязательством. Набравшись опыта за прошедшие годы, я представляю всем заинтересованным краткий обзор своего опыта по получению и регистрации CPE на примере сертификаций от ISACA (CISA, CRISC, CISM, CGEIT). Несмотря на то, что процесс не отличается особой замысловатостью, возможно кому-то будет интересен и полезен.
Сложно было найти интригующую КДПВ, поэтому просто приглашаю под кат...
Total votes 10: ↑10 and ↓0 +10
Views 2.3K
Comments 0