#аудит_иб — Public Fediverse posts

Диагностика ОРД: как выявить «хромые» места в документах, пока их не нашел регулятор

Автор: Елизавета Пермякова, консультант по информационной безопасности Innostage Подход регуляторов к выстраиванию процессов информационной безопасности меняется. Регуляторы больше не спрашивают «есть ли у вас документы?». Теперь вопрос звучит иначе: «Как вы подтверждаете, что эти документы работают?». Для выполнения большинства моих рабочих задач мне необходимо анализировать существующую и разрабатывать недостающую организационно-распорядительную документацию для организаций из разных отраслей (это и ТЭК, и металлургия, и финансовые организации). На практике замечаю, где компании с низким уровнем зрелости ИБ допускают одни и те же ошибки, и благодаря каким подходам компании со средним и высоким уровнем зрелости ИБ – выстраивают работающие процессы ИБ. В этой статье я покажу, где обычно «хромает» документация, и дам лаконичный чек-лист, с которым большинство документов можно проверить примерно за 15 минут.

https://habr.com/ru/companies/innostage/articles/1023220/

#информационная_безопасность #иб #аудит_иб #документация #орд #зрелость_иб #регуляторы #фстэк_россии #роскомнадзор

Диагностика ОРД: как выявить «хромые» места в документах, пока их не нашел регулятор

Автор: Елизавета Пермякова, консультант по информационной безопасности Innostage Подход регуляторов к выстраиванию процессов информационной безопасности меняется. Регуляторы больше не спрашивают «есть ли у вас документы?». Теперь вопрос звучит иначе: «Как вы подтверждаете, что эти документы работают?». Для выполнения большинства моих рабочих задач мне необходимо анализировать существующую и разрабатывать недостающую организационно-распорядительную документацию для организаций из разных отраслей (это и ТЭК, и металлургия, и финансовые организации). На практике замечаю, где компании с низким уровнем зрелости ИБ допускают одни и те же ошибки, и благодаря каким подходам компании со средним и высоким уровнем зрелости ИБ – выстраивают работающие процессы ИБ. В этой статье я покажу, где обычно «хромает» документация, и дам лаконичный чек-лист, с которым большинство документов можно проверить примерно за 15 минут.

https://habr.com/ru/companies/innostage/articles/1023220/

#информационная_безопасность #иб #аудит_иб #документация #орд #зрелость_иб #регуляторы #фстэк_россии #роскомнадзор

Диагностика ОРД: как выявить «хромые» места в документах, пока их не нашел регулятор

Автор: Елизавета Пермякова, консультант по информационной безопасности Innostage Подход регуляторов к выстраиванию процессов информационной безопасности меняется. Регуляторы больше не спрашивают «есть ли у вас документы?». Теперь вопрос звучит иначе: «Как вы подтверждаете, что эти документы работают?». Для выполнения большинства моих рабочих задач мне необходимо анализировать существующую и разрабатывать недостающую организационно-распорядительную документацию для организаций из разных отраслей (это и ТЭК, и металлургия, и финансовые организации). На практике замечаю, где компании с низким уровнем зрелости ИБ допускают одни и те же ошибки, и благодаря каким подходам компании со средним и высоким уровнем зрелости ИБ – выстраивают работающие процессы ИБ. В этой статье я покажу, где обычно «хромает» документация, и дам лаконичный чек-лист, с которым большинство документов можно проверить примерно за 15 минут.

https://habr.com/ru/companies/innostage/articles/1023220/

#информационная_безопасность #иб #аудит_иб #документация #орд #зрелость_иб #регуляторы #фстэк_россии #роскомнадзор

Диагностика ОРД: как выявить «хромые» места в документах, пока их не нашел регулятор

Автор: Елизавета Пермякова, консультант по информационной безопасности Innostage Подход регуляторов к выстраиванию процессов информационной безопасности меняется. Регуляторы больше не спрашивают «есть ли у вас документы?». Теперь вопрос звучит иначе: «Как вы подтверждаете, что эти документы работают?». Для выполнения большинства моих рабочих задач мне необходимо анализировать существующую и разрабатывать недостающую организационно-распорядительную документацию для организаций из разных отраслей (это и ТЭК, и металлургия, и финансовые организации). На практике замечаю, где компании с низким уровнем зрелости ИБ допускают одни и те же ошибки, и благодаря каким подходам компании со средним и высоким уровнем зрелости ИБ – выстраивают работающие процессы ИБ. В этой статье я покажу, где обычно «хромает» документация, и дам лаконичный чек-лист, с которым большинство документов можно проверить примерно за 15 минут.

https://habr.com/ru/companies/innostage/articles/1023220/

#информационная_безопасность #иб #аудит_иб #документация #орд #зрелость_иб #регуляторы #фстэк_россии #роскомнадзор

Приказ ФСТЭК России № 117: полный обзор нововведений и практическое руководство по переходу от Приказа № 17

Разбираем Приказ ФСТЭК России № 117, который вступил в силу с 1 марта 2026 года и заменил действовавший более десяти лет Приказ № 17. В статье подробно рассматриваются новые требования к защите информации в государственных информационных системах, включая введение показателей Кзи и Пзи, переход к процессной модели управления безопасностью, ужесточение требований к кадровому составу и обязательность внедрения современных средств защиты. Отдельное внимание уделено практическим аспектам применения: какие технические меры стали обязательными, какие сроки установлены для устранения уязвимостей, как изменилась архитектура защиты и почему у многих организаций возникают сложности с переходом. Рассматривается текущая ситуация на рынке, включая нехватку методических разъяснений и возможный пересмотр подходов к классификации систем.

https://habr.com/ru/articles/1016070/

#ФСТЭК_117 #приказ_117_ФСТЭК #защита_информации #информационная_безопасность #соответствие_требованиям_ФСТЭК #аудит_ИБ #управление_уязвимостями

Приказ ФСТЭК России № 117: полный обзор нововведений и практическое руководство по переходу от Приказа № 17

Разбираем Приказ ФСТЭК России № 117, который вступил в силу с 1 марта 2026 года и заменил действовавший более десяти лет Приказ № 17. В статье подробно рассматриваются новые требования к защите информации в государственных информационных системах, включая введение показателей Кзи и Пзи, переход к процессной модели управления безопасностью, ужесточение требований к кадровому составу и обязательность внедрения современных средств защиты. Отдельное внимание уделено практическим аспектам применения: какие технические меры стали обязательными, какие сроки установлены для устранения уязвимостей, как изменилась архитектура защиты и почему у многих организаций возникают сложности с переходом. Рассматривается текущая ситуация на рынке, включая нехватку методических разъяснений и возможный пересмотр подходов к классификации систем.

https://habr.com/ru/articles/1016070/

#ФСТЭК_117 #приказ_117_ФСТЭК #защита_информации #информационная_безопасность #соответствие_требованиям_ФСТЭК #аудит_ИБ #управление_уязвимостями

Приказ ФСТЭК России № 117: полный обзор нововведений и практическое руководство по переходу от Приказа № 17

Разбираем Приказ ФСТЭК России № 117, который вступил в силу с 1 марта 2026 года и заменил действовавший более десяти лет Приказ № 17. В статье подробно рассматриваются новые требования к защите информации в государственных информационных системах, включая введение показателей Кзи и Пзи, переход к процессной модели управления безопасностью, ужесточение требований к кадровому составу и обязательность внедрения современных средств защиты. Отдельное внимание уделено практическим аспектам применения: какие технические меры стали обязательными, какие сроки установлены для устранения уязвимостей, как изменилась архитектура защиты и почему у многих организаций возникают сложности с переходом. Рассматривается текущая ситуация на рынке, включая нехватку методических разъяснений и возможный пересмотр подходов к классификации систем.

https://habr.com/ru/articles/1016070/

#ФСТЭК_117 #приказ_117_ФСТЭК #защита_информации #информационная_безопасность #соответствие_требованиям_ФСТЭК #аудит_ИБ #управление_уязвимостями

Приказ ФСТЭК России № 117: полный обзор нововведений и практическое руководство по переходу от Приказа № 17

Разбираем Приказ ФСТЭК России № 117, который вступил в силу с 1 марта 2026 года и заменил действовавший более десяти лет Приказ № 17. В статье подробно рассматриваются новые требования к защите информации в государственных информационных системах, включая введение показателей Кзи и Пзи, переход к процессной модели управления безопасностью, ужесточение требований к кадровому составу и обязательность внедрения современных средств защиты. Отдельное внимание уделено практическим аспектам применения: какие технические меры стали обязательными, какие сроки установлены для устранения уязвимостей, как изменилась архитектура защиты и почему у многих организаций возникают сложности с переходом. Рассматривается текущая ситуация на рынке, включая нехватку методических разъяснений и возможный пересмотр подходов к классификации систем.

https://habr.com/ru/articles/1016070/

#ФСТЭК_117 #приказ_117_ФСТЭК #защита_информации #информационная_безопасность #соответствие_требованиям_ФСТЭК #аудит_ИБ #управление_уязвимостями

Категорирование КИИ. Проходим проверку, не теряя здравый смысл

Категорирование объектов критической информационной инфраструктуры (КИИ) — вещь, о которой многие компании вспоминают, когда уже пришло письмо из ФСТЭК. А ведь по сути это не просто "обязаловка ради галочки", а инструмент, который помогает самому бизнесу понять: какие системы держат компанию «на плаву», а где можно позволить себе пару часов простоя без последствий. После 2022 года внимание к КИИ выросло в разы. Проверки стали регулярными, требования — конкретными, а ответственность — вполне ощутимой. Особенно это почувствовали банки, энергетика, транспорт и связь — у этих сфер теперь нет права на «бумажную безопасность». Закон — это основа, но не инструкция по выживанию Формально всё держится на трех документах:

https://habr.com/ru/articles/957494/

#кии #категорирование_данных #фстэк #187фз #методика_оценки #информационная_безопасность #модель_угроз #аудит_иб

Поиск открытых сетевых ресурсов и их права доступа

Общие сетевые ресурсы в домене Active Directory используются для упрощения и централизации доступа к файлам, папкам, принтерам и другим ресурсам в корпоративной сети. Это может привести к нарушению одной из основ информационной безопасности – конфиденциальности

https://habr.com/ru/articles/841976/

#автоматизация #пентест #аудит_иб #общие_папки

Закулисье Due Diligence: опыт консультанта по ИБ в инвестиционных кругах Великобритании

Вы знаете, как можно проверить кибербезопасность компании за час и на основе результатов вынести вердикт — подходит бизнес для многомилионных инвестиций или нет? Речь идет о сделках, которые могут стоить сотни миллионов долларов и меняют судьбу владельцев навсегда. Около двух лет я работала консультантом по кибербезопасности в компании, предлагающей Due Diligence таким частным инвестиционным фондам, как Rothschild, BlackStone, Houlikan Lokey, Silver Lake и Bridgepoint, на территории Великобритании. Представьте себе мир, где деньги говорят громче слов, а репутация — это все. Добро пожаловать в закулисье Due Diligence — процесса, который определяет судьбу многомиллионных сделок в элитных инвестиционных кругах Великобритании. Due Diligence, или комплексная оценка, является важным процессом при совершении инвестиционных сделок. Это тщательное исследование потенциальной инвестиции, включающее в себя анализ финансового состояния компании, ее операций, юридического и налогового статуса и, что становится все более актуальным, состояния кибербезопасности.

https://habr.com/ru/companies/jetinfosystems/articles/829424/

#due_diligence #инвестиции #аудит_иб #великобритания #инвестиционные_фонды #консалтинг_иб #gdpr #киберриски