четверг, 19 ноября 2009 г.

Юридические аспекты консалтинга в области ИБ

Опубликовал презентацию доклада «Всех аудиторов «посодют»?! Юридические аспекты консалтинга в области ИБ»:

http://www.ptsecurity.ru/news_page.asp?id=75

Обратная связь приветствуется.

понедельник, 9 ноября 2009 г.

Всех аудиторов «посодют»?! Серия 2.

В рамках II Межотраслевого Форума директоров по информационной безопасности решил собраться с мыслями и поднять снова эту щекотливую тему. Пора уже скомпилировать статью, но... Конец года...

Презентацию, естественно выложу.

Всех аудиторов «посодют»?! Юридические аспекты консалтинга в области ИБ

Сергей Гордейчик, Positive Technologies

В последнее в профессиональной среде широко обсуждаются различные юридические вопросы проведения тестов на проникновение и аудитов информационной безопасности. Как часто бывает, при столкновении физиков с лириками, дискуссия зачастую порождает совершенно противоположные мнения, вплоть до срочной необходимости привлечения всех аудиторов к уголовной ответственности по широкому спектру статей. В рамках доклада делается попытка свести воедино все вопросы и рассмотреть их с точки зрения российского законодательства и сложившийся практики

Ищу человека

Скопилось огромное количество дел на работе, которыми готов поделится с хорошим(и) человек-ом(-ами). На постоянной основе и за адекватное вознаграждение, естественно.

Как уже говорил - работы много, и пока есть возможность выбирать. Как пишут на ценниках - работа в асс. :) Не смотря, на то, что практически все связанно с MaxPatrol, широта и глубина продукта (plug) позволяют захватывать, пахать, расширять и углублять широченный пласт информационной безопасности, что полезно для головы.

Консалтинг

Широкий пласт задач, связанный с запуском и поддержкой у Заказчиков процессов управления уязвимостями и соотвествия стандартам.
• Разработка и адаптация регламентов и проч. с учетом использования средств автоматизации.
• Разработка и адаптация существующих технических стандартов и типовых профилей защиты.
• Реализация типовых профилей защиты и процесса мониторинга ИБ в рамках MaxPatrol.
• Разработка набора ключевых показателей эффективности и метрик безопасности для оценки эффективности внедляемых процессов.
• Реализация ключевых показателей эффективности и метрик безопасности в рамках MaxPatrol.
• Поддержка и оптимизация процессов.
• И т.д. и т.п.

Причем для нас крайне важно, чтобы процессы "крутились", продукт использовался, поэтому реализации только первого этапа недостаточно :). Это плавно подводит нас к следующей задаче.

Сервисные услуги

Можете называть это, если угодно "аутсорсингом". Суть та же, что и в предудущем случае, но степень включения во внутренние процессы выше. Ну и капитальные расходы на OPEX перенести можно :)

Развитие MaxPatrol

Тут есть где развернуться фантазии.
  • Конкурентный анализ.
  • Формирование требований к системе.
  • Мониторинг перспективных разработок в области Compliance Management.
  • Формализация и кросс-проекции требований государственных, отраслевых, международных стандартов.
  • Формализация требований к безопасности и формирорание технических стандартов к различным системам (а-ля CIS, только правильных).
  • ...

Пресейл

Заказчики/конференции/публикации/демонстрации/пилотные проекты/спецификации/сопроводжение работ интеграторов.....

Внедрение

Обследование/Опытная эксплуатация/ПИ/Промышленная эусплуатация/ТРП (в алфавитном порядке)


Понятно, что не все и не одновременно. Вполне можно сосредоточится на чем-то одном, или чередовать по желанию/необходимости.

Где работать?

http://www.ptsecurity.ru/contacts.asp

С кем работать?

http://www.ptsecurity.ru/analytics.asp

http://malotavr.blogspot.com/

http://devteev.blogspot.com/

Если интересно или есть вопросы, пишите в почту или сюда.

воскресенье, 1 ноября 2009 г.

Семинар RISSPA от 29.10.2009

Довелось выступить на довольно интересном мероприятии: семинар RISSPA "Технический взгляд на актуальные угрозы информационной безопасности". Этакий междусобойчик российских вайтхэтов и гуру менеджмента ИБ. В принципе понравилось - непринужденно и по делу. Из докладов произвело впечатление выступление Ильи Сачкова из Group IB. Несмотря на прессинг со стороны оппонентов (как оказалось - соратников и конкурентов).

Мой доклад:




Запись online трансляции (c эклюзивной привет-одей заставкой):





Презентации других выступающих:

http://risspa.org/12seminar

Отзывы и обсуждения:

http://securityaudit.blogspot.com/2009/10/blog-post_29.html

http://iso27000.ru/blogi/oleg-bezopasnik/seminar-ot-risspa-tehnicheskii-vzglyad-na-aktualnye-ugrozy-informacionnoi-bezopasnosti/

В целом мероприятие удалось, огромное спасибо организаторам и спонсорам.