В этой статье мы рассмотрим оценку рисков информационной безопасности, которая является ядром системы менеджмента информационной безопасности. Понимание процесса оценки рисков необходимо Сертифицированному Специалисту по Кибербезопасности для грамотного выстраивания СМИБ.

В данной статье мы разберем самые основы менеджмента информационной безопасности, которые должен понимать каждый специалист по информационной безопасности, а уж Сертифицированный Специалист по Кибербезопасности и подавно.

Система менеджмента

Думаю, все согласятся, что основной целью любого человека, занимающегося менеджментом чего-либо, является получение результата (результативность), при этом этот менеджер работает с ограниченными ресурсами и поэтому хочет достичь желаемой цели исключительно минимальными усилиями (эффективность). Когда речь заходит об организации, в которой необходимо направлять к единой цели группы людей и управлять многими процессами, возникает потребность в системе менеджмента. Она должна включать в себя четко сформулированные цели и принципы их достижения, распределение обязанностей и ответственности, описание того, что и как нужно делать, ну и, конечно, необходимые ресурсы.

Организации выстраивают системы менеджмента в различных сферах своей деятельности - управление качеством, ИТ, энергопотреблением и т.д, и т.п. Для нас представляет интерес менеджмент информационной безопасности.

Система менеджмента информационной безопасности

Система менеджмента информационной безопасности (СМИБ) определяется в ГОСТ Р ИСО 27000 через перечисление составляющих ее элементов: “Система менеджмента информационной безопасности (СМИБ) включает в себя политику, процедуры, руководящие принципы и связанные с ними ресурсы и мероприятия, коллективно управляемые организацией в целях защиты ее информационных активов.”

Специалистам по информационной безопасности, как и другим ИТ-профессионалам, часто требуется подтверждение своих знаний в различных ситуациях: на собеседованиях, при переходе на новую работу или в борьбе за выгодный контракт. Наличие широко признаваемого сертификата может значительно упростить решение данных задач.

В мировой практике существует более десятка сертификаций для специалистов нашего профиля, каждая из которых имеет свою направленность. Самые известные из них: Certified Information Systems Security Professional (CISSP), Certified Ethical Hacker (CEH), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), CompTIA Security+ и Offensive Security Certified Professional (OSCP).

Однако после 2022 года доступ для российских специалистов к получению этих международных сертификатов значительно затруднился. Для заполнения этого пробела был создан российский аналог CISSP и CISM — сертификация ССК (Сертифицированный специалист по кибербезопасности). Были организованы подготовительные курсы, а также сдача сертификационных экзаменов.

В данной статье приведен краткий обзор системы профессиональной сертификации Также статья станет содержанием пособия, которое обещали участникам и которое теперь начнем писать и публиковать в виде статей на Хабре.

Книга с интригующим названием «Нетворкинг для разведчиков» была написана полковниками СВР Еленой Вавиловой и Андреем Безруковым. Они стали известными в 2010 году после того, как были разоблачены как разведчики‑нелегалы и в том же году в рамках обмена вернулись в Россию. В 2021-м году они решили поделиться своим опытом нетворкинга, опубликовав свою книгу. В этой статье разберем, почему опыт разведчиков‑нелегалов может быть интересен для современных руководителей и приведем основные рекомендации авторов по созданию эффективной сети контактов.

Первого января 2022 года был введен в действие стандарт ГОСТ Р ИСО/МЭК 27001:2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» (аутентичный перевод ISO/IEC ISO 27001:2013). Данное событие осталось не особо замеченным уважаемой публикой, хотя любому специалисту по информационной безопасности, стремящемуся к уменьшению бардака в сфере ИБ в своей организации с помощью внедрения процессного подхода, стоит не только понимать, но и уметь применять данный ГОСТ. К тому же в отличие от предыдущей версии 2006 года новый стандарт очень качественно переведен на русский язык.

К сожалению, на неподготовленного читателя данный стандарт, как и любой другой подобный документ, нагнетает скуку своим сухим языком и не всегда очевидной терминологией. Поэтому в этой статье кратко рассмотрим ключевые понятия и концепции, лежащие в основе стандарта. По ходу изложения разберем основные отличия новой версии от предыдущей и узнаем, почему старая версия стандарта позволяла обмануть центры по сертификации, а с вводом новой версии такое провернуть уже невозможно.

Когда мы пытаемся разобраться с какой-либо ситуацией и найти ответ на один из извечных вопросов «Кто виноват?», наш мозг любит выбирать первый понравившийся ответ и все факты уже рассматривать через его призму. Для того, чтобы ленивое серое вещество обмануть и заставить выйти из энергосберегающего режима, аналитики разведывательных служб придумали техники структурированного анализа (Structured Analytic Techniques), которые заставляют нас принять во внимание не только симпатичные нам варианты развития событий. Одной из самых распространенных техник является техника тестирования альтернативных гипотез, которую мы рассмотрим на небольшом шуточном кейсе.

В этой краткой заметке разберем, что такое киберучения, как они проводятся и какую пользу можно извлечь, анализируя отчеты об уже проведенных мероприятиях.

В культовом фильме начала двухтысячных «Пароль «Рыба-меч» талантливому хакеру необходимо подобрать пароль в течение одной минуты. В этом ему помогает приятель, который заботливо держит пистолет у виска и темпераментная блондинка, прячущаяся под столом. Что делать, если таких друзей поблизости нет, а пароль подобрать необходимо? Например, в ходе тестирования на проникновение…

Небольшое, но важное предупреждение: если предлагаемым в статье подходом пользоваться не в рамках проектов по тестированию защищенности, то ваши действия легко могут подпасть под статью 272 УК РФ (Неправомерный доступ к компьютерной информации).

Редко кто из экспертов, специализирующихся на тестировании защищенности, сталкивался с ситуацией, когда не смог полностью скомпрометировать сеть в ходе внутреннего тестирования на проникновение. Причем причины успехов этичных хакеров банальны: слабые пароли, отсутствие критичных обновлений безопасности, ошибки конфигурации. Возникает вопрос: если причины незащищенности такие тривиальные, можно ли разработать перечень ключевых проверок, которые мог бы провести системный администратор самостоятельно и есть ли единый инструмент, позволяющий это реализовать? Попробуем разобраться.

Во вчерашней статье мы подробно разобрали методологию комплексного тестирования защищенности и соответствующий инструментарий этичного хакера. Даже если мы с вами в совершенстве овладеем методикой взлома и проведем тестирование на самом высоком уровне, но не сможем грамотно представить результаты заказчику, то проект будет «так себе». Как написать грамотный отчет по тестированию защищенности – об этом мы и поговорим сегодня.

Когда речь заходит о хакинге, неважно, об этичном или не очень, многие из нас представляют темное помещение с мониторами и очкастым профессионалом с красными от постоянного недосыпания глазами. Действительно ли систему может взломать только гик-профессионал и действительно ли для того, чтобы протестировать защищенность своих систем необходимо привлекать только таких экспертов? А нельзя ли вооружить грамотного ИТ-специалиста хакерскими инструментами и логичной методологией и получить качественный результат? Попробуем разобраться.

В предыдущих статьях мы рассматривали разведывательные способы добывания информации о человеке в интернете, но ни разу не затронули тему защиты от подобных действий со стороны наших недоброжелателей. Теперь время пришло, и мы это сделаем. Перед погружением в сегодняшнюю тему небольшой дисклеймер:

Все события и участники являются вымышленными. Любые совпадения случайны. Автор не несет ответственности за любые негативные последствия в случае внедрения рассматриваемых контрмер, в том числе физические травмы, полученные в результате неконтролируемого приступа ревности, возникшего у вашей второй половинки. Помните: усиление мер защиты может привлечь ненужное внимание и вызвать подозрения.

В очередной статье нашего цикла публикаций, посвященного интернет-разведке, рассмотрим, как операторы продвинутого поиска Google (advanced search operators) позволяют быстро находить необходимую информацию о конкретном человеке.

В комментариях к первой нашей статье, читатели просили побольше практических примеров и скриншотов, поэтому в этой статье практики и графики будем много. Для демонстрации возможностей «продвинутого» поиска Google в качестве целей были выбраны личные аккаунты автора. Сделано это, чтобы никого не обидеть излишним интересом к его частной жизни. Хочу сразу предупредить, что никогда не задавался целью скрыть свое присутствие в интернете, поэтому описанные методы подойдут для сбора данных об обычных людях, и могут быть не очень эффективны для деанонимизации фэйковых аккаунтов, созданных для разовых акций. Интересующимся читателям предлагаю повторить приведенные примеры запросов в отношении своих аккаунтов и оценить насколько легко собирать информацию по ним.

А почему у тебя на визитке написано «КИСА»?
Ты вроде серьезный человек…
(из разговора с приятелем)