Сам себе «ИБшник»: как понять информационную безопасность с помощью Threagile
Работая в финансовой сфере много лет, я замечал, что иногда людям из разных профессий бывает довольно сложно понять друг друга. Например, по причине повышенных требований к сохранности данных, аналитикам и разработчикам часто приходится общаться со специалистами по информационной безопасности,...
Цифровая модель угроз: упрощаем и автоматизируем процесс создания
Привет, я Ильдар Исмагилов, руководитель направления аналитики и прикладных исследований ИБ Innostage. В этой статье я расскажу о вопросах и проблемах, которые возникают при моделировании угроз, и как их можно решить с помощью нашего сервиса «Цифровая модель угроз». Моделирование угроз — это этап,...
Требования безопасности: пособие для аналитика
Привет, Хабр! Меня зовут Александра, я ведущий системный аналитик отдела криптографии ИнфоТеКС. При разработке системы, важной с точки зрения безопасности, сталкиваешься с тем, как много усилий нужно потратить на учет всех требований безопасности, которые должны в ней быть. Соблазн бросить эту...
Безопасность DevOps. Автоматизация и новые инструменты
Цикл популярности понятий из безопасности приложений, 2022 год. Из одноимённого отчёта Gartner. См. также обновление за 2023 год В процессе внедрения системы безопасности в DevOps можно использовать многие инструменты, которые уже применяются в компании. Какие-то будут плотно интегрированы в...
Пришло время рассказать всю правду о взломе компании RSA
У сотрудников компании RSA закончился десятилетний срок действия соглашений о неразглашении (NDA), так что они наконец-то смогли рассказать о событиях, которые случились в 2011 году. Эти события навсегда изменили ландшафт мировой индустрии информационной безопасности. А именно, это было первая в...
Пишем модель угроз
Всем привет, мы продолжаем свой цикл статей по «бумажной безопасности». Сегодня поговорим о разработке модели угроз. Если цель прочтения этой статьи в получении практических навыков, то лучше сразу скачать наши шаблоны документов, в котором есть и шаблон модели угроз. Но и без шаблона под рукой со...
Проблемы действующей методики определения актуальных угроз от ФСТЭК
Доброго времени суток, Хабр! Сегодня мы бы хотели покритиковать документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный ФСТЭК России 14 февраля 2008г. (далее – Методика). Эта Методика является...