tag:blogger.com,1999:blog-82345088992673250912024-03-14T07:50:33.209+03:00Жизнь 80 на 20Управление информационной безопасностьюAndrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.comBlogger872125tag:blogger.com,1999:blog-8234508899267325091.post-91422772992238960822023-09-18T13:56:00.000+03:002023-09-18T13:56:01.966+03:00ISO Survey 2022: ISO 27001 certificates (ISMS)<div style="text-align: center;"><iframe allowfullscreen="" frameborder="0" height="486" marginheight="0" marginwidth="0" scrolling="no" src="https://www.slideshare.net/slideshow/embed_code/key/naVXV7Td5j2nrt?startSlide=1" style="border-width: 1px; border: 1px solid #CCC; margin-bottom: 5px; max-width: 100%;" width="597"></iframe></div><div style="margin-bottom: 5px; text-align: center;"><strong><a href="https://www.slideshare.net/AndreyProzorov/iso-survey-2022-iso-27001-certificates-isms" target="_blank" title="ISO Survey 2022: ISO 27001 certificates (ISMS)">ISO Survey 2022: ISO 27001 certificates (ISMS)</a></strong> from <strong><a href="https://www.slideshare.net/AndreyProzorov" target="_blank">Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001</a></strong></div><div style="margin-bottom: 5px; text-align: center;"><br /></div><div style="margin-bottom: 5px; text-align: justify;">ISO опубликовала свежую стаистику по выданным сертификатам. Я же обновил свою презентацию по сертификатам ISO 27001 (ISMS).</div><div style="margin-bottom: 5px; text-align: justify;"><br /></div><div style="margin-bottom: 5px; text-align: justify;">Всего в 2022 году было зарегистрировано 71 549 сертификатов ISO 27001. Это на 22% больше, чем в 2021 году.</div><div style="margin-bottom: 5px; text-align: justify;"><br /></div><div style="margin-bottom: 5px; text-align: justify;"><div style="margin-bottom: 5px;">ТОП 10 стран по количеству сертификатов:</div><div style="margin-bottom: 5px;">1. China - 26301</div><div style="margin-bottom: 5px;">2. Japan - 6987</div><div style="margin-bottom: 5px;">3. United Kingdom of Great Britain and Northern Ireland - 6084</div><div style="margin-bottom: 5px;">4. India - 2969</div><div style="margin-bottom: 5px;">5. Italy - 2424</div><div style="margin-bottom: 5px;">6. United States of America - 1980</div><div style="margin-bottom: 5px;">7. Netherlands - 1741</div><div style="margin-bottom: 5px;">8. Germany - 1582</div><div style="margin-bottom: 5px;">9. Spain - 1561</div><div style="margin-bottom: 5px;">10. Israel - 1467</div><div style="margin-bottom: 5px;"><br /></div><div style="margin-bottom: 5px;">Для сравнения, в РФ в 2022 году было зарегистрировано (осталось) только 30 сертификатов, а в 2021 было 95 (-70%)...</div></div><div style="margin-bottom: 5px; text-align: justify;"><br /></div>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-39086190244077337642023-09-14T15:36:00.003+03:002023-09-18T14:47:41.511+03:00Мой первый курс на Udemy. Подготовка к сертификационному аудиту СУИБ<p style="text-align: justify;">Выложил на Udemy свой первый курс по подготовке к сертификационному аудиту СУИБ по ISO 27001, "<a href="https://www.udemy.com/course/iso-270012022-how-to-prepare-for-a-certification-audit/?referralCode=867978E76713B489C4E5">ISO 27001:2022. How to prepare for a certification audit</a>"</p><p>На нем я разбираю задачи, которые надо сделать До. Во время и После сертификационного аудита. Курс на английском языке. </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhm_ysyudLX8z9KCgFDpQqj4_pztGSXHuoPS74kOGbgOzn44ZhtmIffZVscJUy0JC2XD2Wo3mqgu2_5c33KZ5qZhiaFzNPR17WNSgZoVHNH9JrmT-XwIu6sXdl0r9p0f-Gv5FmaBpX77BgQNzQpv0YqxmdKRE99FjplS7AMeJyrLq3eFJve2QFHZ5-j5rFz/s2462/Udemy%20Course%2001.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1380" data-original-width="2462" height="358" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhm_ysyudLX8z9KCgFDpQqj4_pztGSXHuoPS74kOGbgOzn44ZhtmIffZVscJUy0JC2XD2Wo3mqgu2_5c33KZ5qZhiaFzNPR17WNSgZoVHNH9JrmT-XwIu6sXdl0r9p0f-Gv5FmaBpX77BgQNzQpv0YqxmdKRE99FjplS7AMeJyrLq3eFJve2QFHZ5-j5rFz/w640-h358/Udemy%20Course%2001.png" width="640" /></a></div><br /><p><br /></p>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-59263341334505550862023-09-05T13:13:00.002+03:002023-09-05T13:13:24.420+03:00Cybersecurity Frameworks<div style="text-align: center;"><iframe allowfullscreen="" frameborder="0" height="486" marginheight="0" marginwidth="0" scrolling="no" src="https://www.slideshare.net/slideshow/embed_code/key/cv6amll9QW67sh?startSlide=1" style="border-width: 1px; border: 1px solid #CCC; margin-bottom: 5px; max-width: 100%;" width="597"></iframe></div><div style="margin-bottom: 5px;"><strong><a href="https://www.slideshare.net/AndreyProzorov/cybersecurity-frameworks-for-dmzcon23-230905pdf" target="_blank" title="Cybersecurity Frameworks for DMZCON23 230905.pdf">Cybersecurity Frameworks for DMZCON23 230905.pdf</a></strong> from <strong><a href="https://www.slideshare.net/AndreyProzorov" target="_blank">Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001</a></strong></div>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-3547786710166266492023-08-23T19:27:00.004+03:002023-08-23T19:27:42.298+03:00Еще одна моя презентация про майндкарты<div style="text-align: center;"><iframe allowfullscreen="" frameborder="0" height="486" marginheight="0" marginwidth="0" scrolling="no" src="https://www.slideshare.net/slideshow/embed_code/key/Bp7Z4Ue2SzdKl3?startSlide=1" style="border-width: 1px; border: 1px solid #CCC; margin-bottom: 5px; max-width: 100%;" width="597"></iframe></div><div style="margin-bottom: 5px; text-align: center;"><strong><a href="https://www.slideshare.net/AndreyProzorov/my-15-years-of-experience-in-using-mind-maps-for-business-and-personal-purposes" target="_blank" title="My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes">My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes</a></strong> from <strong><a href="https://www.slideshare.net/AndreyProzorov" target="_blank">Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001</a></strong></div>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-28131752222398829262023-08-23T19:26:00.002+03:002023-08-23T19:26:37.046+03:00NIST CSF 2.0, draft<div style="text-align: center;"><iframe allowfullscreen="" frameborder="0" height="486" marginheight="0" marginwidth="0" scrolling="no" src="https://www.slideshare.net/slideshow/embed_code/key/2XPmmlBaF5rHF4?startSlide=1" style="border-width: 1px; border: 1px solid #CCC; margin-bottom: 5px; max-width: 100%;" width="597"></iframe></div><div style="margin-bottom: 5px; text-align: center;"><strong><a href="https://www.slideshare.net/AndreyProzorov/from-nist-csf-11-to-20pdf" target="_blank" title="From NIST CSF 1.1 to 2.0.pdf">From NIST CSF 1.1 to 2.0.pdf</a></strong> from <strong><a href="https://www.slideshare.net/AndreyProzorov" target="_blank">Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001</a></strong></div>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-39066563137311986192023-05-31T18:30:00.005+03:002023-05-31T18:30:37.464+03:00Как использовать ChatGPT для внедрения СУИБ<p style="text-align: center;"> <iframe frameborder="0" height="400" marginheight="0" marginwidth="0" scrolling="no" src="https://www.slideshare.net/slideshow/embed_code/key/8OkTXfS4xkSPyZ?hostedIn=slideshare&page=upload" width="476"></iframe></p>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-35320832405374626212022-10-30T01:33:00.004+03:002022-10-30T01:33:56.710+03:00ISO 27005:2022 Обзор изменений<p style="text-align: center;"> </p>
<div style="text-align: center;"><iframe frameborder="0" height="400" marginheight="0" marginwidth="0" scrolling="no" src="https://www.slideshare.net/slideshow/embed_code/key/7MFR0kwysqcSxR?hostedIn=slideshare&page=upload" width="476"></iframe></div>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-8837834495362168572022-10-25T15:12:00.006+03:002022-10-25T15:12:54.964+03:00ISO 27001:2022 Что изменилось?<p> Сделал презентацию по обновлению ISO 27001:2022</p>
<div style="text-align: center;"><iframe allowfullscreen="" frameborder="0" height="485" marginheight="0" marginwidth="0" scrolling="no" src="//www.slideshare.net/slideshow/embed_code/key/y1drFhjZnY4DUB" style="border-width: 1px; border: 1px solid #CCC; margin-bottom: 5px; max-width: 100%;" width="595"> </iframe></div><div style="margin-bottom: 5px; text-align: center;"> <strong> <a href="//www.slideshare.net/AndreyProzorov/iso-270012022-what-has-changedpdf" target="_blank" title="ISO 27001:2022 What has changed.pdf">ISO 27001:2022 What has changed.pdf</a> </strong> from <strong><a href="//www.slideshare.net/AndreyProzorov" target="_blank">Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001</a></strong> </div>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-53254078476731569342022-10-04T11:52:00.005+03:002022-10-04T11:52:29.644+03:00ISO Survey 2021: ISO 27001<p><span style="font-family: inherit;">Моя презентация "ISO Survey 2021: ISO 27001 certificates".</span></p><p><span style="font-family: inherit;">Сырые данные - <a href="https://www.iso.org/the-iso-survey.html">https://www.iso.org/the-iso-survey.html</a></span></p>
<div style="text-align: center;"><iframe frameborder="0" height="400" marginheight="0" marginwidth="0" scrolling="no" src="https://www.slideshare.net/slideshow/embed_code/key/BRxogv47BBOpwU?hostedIn=slideshare&page=upload" width="476"></iframe></div>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-71625322203317568672022-09-30T07:00:00.001+03:002022-09-30T07:00:00.185+03:00Мои тулкиты по СУИБ и GDPR теперь и на BoostyКак вы наверное знаете, я уже несколько лет собираю на <a href="https://www.patreon.com/AndreyProzorov">Патреоне</a> комплекты документов (рекомендации, чек-листы и шаблоны) полезные для внедрения СУИБ по ISO 27001 и обеспечения privacy (GDPR и ISO 27701):<div><br /></div><div>1. ISMS Implementation Toolkit (ISO 27001)</div><div>2. Privacy Implementation Toolkit (GDPR and ISO 27701)</div><div><br /></div><div>Теперь все документы можно скачать и на российском сервисе Boosty - <a href="https://boosty.to/isms8020">https://boosty.to/isms8020</a></div><div>Подписывайтесь и поддержите этот проект!</div>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-58511823691441085382022-09-28T23:13:00.003+03:002022-09-28T23:13:43.024+03:00Рекомендации по внедрению СУИБ и подготовке к сертификации<p>Хочу вам напомнить, что рекомендации по внедрению СУИБ по стандарту ISO 27001 и подготовке к аудитам выложены на Boosty, язык русский - <a href="https://boosty.to/isms8020/posts/0f6f575a-26c3-4ff9-88fa-64799c3c9772">https://boosty.to/isms8020/posts/0f6f575a-26c3-4ff9-88fa-64799c3c9772</a></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUhEl58NzHwZ5gn164UhkBYqP2JXuGeJSVruo8_JmS4bxIcqak_xN5f5_o8tOnvaxjt1F71dyZmkbCPj55SzsslqAV0Chxg_MJIOO5lBOjzexN0zGtkGmWMsjnOtvBxtL_cXYgUkOgXQrtkrW_W1iQbL9YANTzVMt5WrjvFxNbAPUMz8pWPdJVG5AHyQ/s1136/Screen%20Shot%202022-09-28%20at%2011.08.26%20PM.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1038" data-original-width="1136" height="292" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUhEl58NzHwZ5gn164UhkBYqP2JXuGeJSVruo8_JmS4bxIcqak_xN5f5_o8tOnvaxjt1F71dyZmkbCPj55SzsslqAV0Chxg_MJIOO5lBOjzexN0zGtkGmWMsjnOtvBxtL_cXYgUkOgXQrtkrW_W1iQbL9YANTzVMt5WrjvFxNbAPUMz8pWPdJVG5AHyQ/s320/Screen%20Shot%202022-09-28%20at%2011.08.26%20PM.png" width="320" /></a></div><br /><p><br /></p>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-9583682922877057742022-05-29T12:21:00.002+03:002022-05-29T12:22:03.280+03:00Information security in supplier relationships: Standards and Frameworks<p style="text-align: justify;">Обновил и опубликовал на Slideshare свою презентацию про стандарты и руководства по управлению ИБ при взаимодействии с поставщиками.</p>
<div style="text-align: center;"><iframe allowfullscreen="" frameborder="0" height="485" marginheight="0" marginwidth="0" scrolling="no" src="//www.slideshare.net/slideshow/embed_code/key/6ElyelanKsX4U8" style="border-width: 1px; border: 1px solid #CCC; margin-bottom: 5px; max-width: 100%;" width="595"> </iframe></div><div style="margin-bottom: 5px; text-align: center;"> <strong> <a href="//www.slideshare.net/AndreyProzorov/supply-management-11pdf" target="_blank" title="Supply management 1.1.pdf">Supply management 1.1.pdf</a> </strong> from <strong><a href="//www.slideshare.net/AndreyProzorov" target="_blank">Andrey Prozorov, CISM</a></strong> </div>
Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-58984157244222602422022-05-29T12:17:00.002+03:002022-05-29T12:17:10.264+03:00Несколько моих презентаций по GDPR и Privacy<p>Опубликовал на SlideShare несколько своих старых презентаций по GDPR и Privacy:</p><p></p><ul style="text-align: left;"><li>All about a DPIA - <a href="https://www.slideshare.net/AndreyProzorov/all-about-a-dpia-by-andrey-prozorov-20-220518pdf">https://www.slideshare.net/AndreyProzorov/all-about-a-dpia-by-andrey-prozorov-20-220518pdf</a></li><li>Employee Monitoring and Privacy - <a href="https://www.slideshare.net/AndreyProzorov/employee-monitoring-and-privacypdf">https://www.slideshare.net/AndreyProzorov/employee-monitoring-and-privacypdf</a></li><li>GDPR and Personal Data Transfers - <a href="https://www.slideshare.net/AndreyProzorov/gdpr-and-personal-data-transfers-11pdf">https://www.slideshare.net/AndreyProzorov/gdpr-and-personal-data-transfers-11pdf</a></li><li>GDPR and Security - <a href="https://www.slideshare.net/AndreyProzorov/gdpr-and-securitypdf">https://www.slideshare.net/AndreyProzorov/gdpr-and-securitypdf</a></li><li>GDPR RACI - <a href="https://www.slideshare.net/AndreyProzorov/gdpr-racipdf">https://www.slideshare.net/AndreyProzorov/gdpr-racipdf</a></li><li>GDPR EU Institutions and bodies - <a href="https://www.slideshare.net/AndreyProzorov/gdpr-eu-institutions-and-bodiespdf">https://www.slideshare.net/AndreyProzorov/gdpr-eu-institutions-and-bodiespdf</a></li></ul><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitHi9Wl7eK3isj4MRidCFsr-Rn1Ul-S7ANVZohFeNx3cVgxmhoxpxizy_zWh2eTLpkR-uQOUX6ae0EazOy4N0ZwYl8S3CqS7JGsNW0PAg63uJSG5zqobrg9_sWLQpcoUzJ6Qgb8DNjkTBjcGI9jotIDExCxk6GDusUpJJrS87lqYtWwAa3Q36_k5wKzg/s2078/Screen%20Shot%202022-05-29%20at%2012.16.40%20PM.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1168" data-original-width="2078" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitHi9Wl7eK3isj4MRidCFsr-Rn1Ul-S7ANVZohFeNx3cVgxmhoxpxizy_zWh2eTLpkR-uQOUX6ae0EazOy4N0ZwYl8S3CqS7JGsNW0PAg63uJSG5zqobrg9_sWLQpcoUzJ6Qgb8DNjkTBjcGI9jotIDExCxk6GDusUpJJrS87lqYtWwAa3Q36_k5wKzg/w400-h225/Screen%20Shot%202022-05-29%20at%2012.16.40%20PM.png" width="400" /></a></div><br /><div><br /></div><p></p>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-51936787714658284402022-05-27T11:44:00.002+03:002022-05-27T11:44:08.654+03:00Майндкарта о майндкартах 2.0<div style="text-align: justify;">Я люблю и использую майндкарты уже 15 лет, а недавно обновил свою "Майндкарту о майндкартах", теперь она на английском языке.</div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhAOydL1DSzzKFStl1ezwebQH46wdaaq35mJTVfsg6HPgbrbfy5yjPbpGDxsPgfGxGt5XnTr3kNR-nrn1_V98osxRpxClQptVFz-WNwG-eWzE3MrAP0spDeaxXf_-4Nk_Y_c9rxSyDSybT4TYNjYmSwuV3j5uBcytlBjamKtnpexaTag9xpExo3rb0tTQ/s2869/xm%20Mindmaps%202.0%20by%20Andrey%20Prozorov.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="2313" data-original-width="2869" height="323" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhAOydL1DSzzKFStl1ezwebQH46wdaaq35mJTVfsg6HPgbrbfy5yjPbpGDxsPgfGxGt5XnTr3kNR-nrn1_V98osxRpxClQptVFz-WNwG-eWzE3MrAP0spDeaxXf_-4Nk_Y_c9rxSyDSybT4TYNjYmSwuV3j5uBcytlBjamKtnpexaTag9xpExo3rb0tTQ/w400-h323/xm%20Mindmaps%202.0%20by%20Andrey%20Prozorov.png" width="400" /></a></div><div class="separator" style="clear: both; text-align: justify;">Скачать ее в PDF и Xmind можно тут - <a href="https://www.patreon.com/posts/65251502">https://www.patreon.com/posts/65251502</a> или тут - <a href="https://boosty.to/isms8020/posts/c69bdcee-f0eb-48be-ab4a-29b1f84d1996">https://boosty.to/isms8020/posts/c69bdcee-f0eb-48be-ab4a-29b1f84d1996</a></div><div class="separator" style="clear: both; text-align: justify;"><br /></div><div class="separator" style="clear: both; text-align: justify;">А посмотреть прошлый вариант на русском языке тут - <a href="https://80na20.blogspot.com/2012/07/blog-post_10.html">https://80na20.blogspot.com/2012/07/blog-post_10.html</a></div>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-16603380569345440882022-02-05T18:46:00.001+03:002022-02-05T18:46:36.956+03:00Обновился стандарт ISO 27001, новый список контролей<p style="text-align: justify;">На днях вышло официальное обновление стандарта ISO 27001, <a href="https://www.iso.org/obp/ui/?fbclid=IwAR0XAyxKwoRneeVuv3rtsmbVWVrE4HHbC6qXl0RONgSntrgm1Ga0ciywB0k#iso:std:iso-iec:27001:dis:ed-2:v1:amd:1:v1:en">ISO/IEC 27001:2013/DAmd 1(en) Information technology — Security techniques — Information security management systems — Requirements — AMENDMENT 1</a>. Теперь у нас новый список контролей (мер ИБ) в приложении А, теперь он выровнен с обновленным стандартом ISO 27002:2022, который мы также ожидаем со дня на день.</p><p style="text-align: justify;"><span style="font-family: inherit;">Общее<span style="font-family: inherit;"> количество контролей сокращено до 93 (в основном путем объединения), добавлено 11 новых:</span></span></p><ul style="background-color: white; color: #241e12; margin: 0px; white-space: pre-line;"><li><span style="font-family: inherit;">5.7 Threat intelligence</span></li><li><span style="font-family: inherit;">5.23 Information security for use of cloud services</span></li><li><span style="font-family: inherit;">5.30 ICT readiness for business continuity</span></li><li><span style="font-family: inherit;">7.4 Physical security monitoring</span></li><li><span style="font-family: inherit;">8.9 Configuration management</span></li><li><span style="font-family: inherit;">8.10 Information deletion</span></li><li><span style="font-family: inherit;">8.11 Data masking</span></li><li><span style="font-family: inherit;">8.12 Data leakage prevention</span></li><li><span style="font-family: inherit;">8.16 Monitoring activities</span></li><li><span style="font-family: inherit;">8.22 Web filtering</span></li><li><span style="font-family: inherit;">8.28 Secure coding</span></li></ul><div><span style="color: #241e12;"><span style="white-space: pre-line;"><br /></span></span></div><div><span style="color: #241e12;"><span style="white-space: pre-line;">Теперь контроли группируются по 4 разделам:</span></span></div><div><ul style="background-color: white; color: #241e12; margin: 0px; white-space: pre-line;"><li><span style="font-family: inherit;">Ch5, Organizational controls (37)</span></li><li><span style="font-family: inherit;">Ch6, People controls (8)</span></li><li><span style="font-family: inherit;">Ch7, Physical controls (14)</span></li><li><span style="font-family: inherit;">Ch8, Technological controls (34)</span></li></ul><div><span style="color: #241e12;"><span style="white-space: pre-line;"><br /></span></span></div></div><div><span style="color: #241e12;"><span style="white-space: pre-line;">А не как раньше:</span></span></div><div><span style="color: #241e12;"><div style="white-space: pre-line;"><ul style="text-align: left;"><li>A.5 Information security policies</li><li>A.6 Organization of information security </li><li>A.7 Human resource security</li><li>A.8 Asset management</li><li>A.9 Access control</li><li>A.10 Cryptography</li><li>A.11 Physical and environmental security</li><li>A.12 Operations security</li><li>A.13 Communications security</li><li>A.14 System acquisition, development and maintenance</li><li>A.15 Supplier relationships</li><li>A.16 Information security incident management</li><li>A.17 Information security aspects of business continuity management</li><li>A.18 Compliance</li></ul><div>Итоговый список выглядит так (<a href="https://www.patreon.com/posts/58444935">pdf и doc на Патреоне</a>):</div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEi_vN8ssSWq3sDMMUEdOPxacggjnxaiqa3A5FC6_J-NAVFm09enWq86tBG3pjFPk7k8UufW4i0DTfAa-gsKqhoTW5E4J3fTisHDTi-cInc83XxMRw2uAx_QuiZy9yg_wOBWfIf30beRxy5mrLjOgTJ6RcRt3hZ_bfLgXY5M4V3C1PFZl-t4tZ_PvYHtdg=s1534" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1086" data-original-width="1534" height="454" src="https://blogger.googleusercontent.com/img/a/AVvXsEi_vN8ssSWq3sDMMUEdOPxacggjnxaiqa3A5FC6_J-NAVFm09enWq86tBG3pjFPk7k8UufW4i0DTfAa-gsKqhoTW5E4J3fTisHDTi-cInc83XxMRw2uAx_QuiZy9yg_wOBWfIf30beRxy5mrLjOgTJ6RcRt3hZ_bfLgXY5M4V3C1PFZl-t4tZ_PvYHtdg=w640-h454" width="640" /></a></div><div style="text-align: justify;">Но самое интересное нас ожидает в обновлении ISO 27002, там для каждого контроля будут описаны его аттрибуты, что сильно упростит работу с ними и облегчит маппинг на другие стандарты и "лучшие практики", скоро увидим следующие аттрибуты:</div></div><div><ul style="text-align: left;"><li><span style="white-space: pre-line;">Control types: Preventive, Detective, and Corrective</span></li><li><span style="white-space: pre-line;">Information security properties: Confidentiality, Integrity, and Availability</span></li><li><span style="white-space: pre-line;">Cybersecurity concepts: Identify, Protect, Detect, Respond, and Recover</span></li><li><span style="white-space: pre-line;">Operational capabilities: Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management, Continuity, Supplier relationships security, Legal and compliance, Information security event management, and Information security assurance</span></li><li><span style="white-space: pre-line;">Security domains: Governance and ecosystem, Protection, Defense, and Resilience</span></li></ul><span style="white-space: pre-line;"><div style="text-align: justify;"><br /></div><div style="text-align: justify;">А если вы уже внедрили СУИБ по старой версии 27001, то в ближайшее время вам надо сделать следующее:</div><div style="text-align: justify;">1. Обновить План обработки рисков (Risk Treatment Plan, RTP)</div><div style="text-align: justify;">2. Обновить Соглашение о применимости контролей (Statement of Applicability, SoA)</div><div style="text-align: justify;">3. Пересмотреть частные Политики и Процедуры СУИБ (по необходимости)</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">Ну, а для любителей СУИБ напоминаю, что на Патреоне я собираю свои рекомендации и шаблоны в <a href="https://www.patreon.com/posts/47806655">ISMS implementation toolkit</a>. Поддержите этот проект, подпишитесь и получите доступ ко всем материалам.</div></span></div></span></div><div><div class="page" title="Page 17"><div class="layoutArea"><div class="column"><div class="page" title="Page 17"><div class="layoutArea">
</div>
</div>
</div>
</div>
</div><span style="color: #241e12;"><span style="white-space: pre-line;"></span></span></div>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com1tag:blogger.com,1999:blog-8234508899267325091.post-58711944374131857472021-11-26T11:58:00.001+03:002021-11-26T11:58:14.921+03:00Статистика по сертификатам ISO 27001 за 2020 год<p style="text-align: justify;">ISO опубликовала свежие данные по сертификации систем менеджмента (<a href="https://www.iso.org/the-iso-survey.html">ISO Survey</a>), из которых меня особенно интересует статистика по СУИБ (ISO 27001). </p><p style="text-align: justify;"></p><blockquote><p style="text-align: justify;"><i>The ISO Survey results contain three sets of data:</i></p><p style="text-align: justify;"></p><ul><li><i>the number of valid certificates for each country for the 12 ISO management system standards,</i></li><li><i>the number of sites covered by the certificates for each country for 12 ISO management system standards,</i></li><li><i>the number of sectors per country covered by the certificates for 10 ISO management system standards (ISO 22000 and ISO 13485 do not contain data on sectors).</i></li></ul><p></p></blockquote><p>Общее количество сертификатов на конец 2020 года:</p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjZJlfqBLN80lOU9W9W2XSYcS_TXJyePO0n2FSVvTpPEQstEdM7SDP_kZr1sWDrI7ufO7xqAfl9pDOu5-5Vla3KKbE9FQ-xQjbBXGMZwsE9qMz5bkWPA7sKt1RAmtEOtjz4tn_neRlmiRRU/s1675/ISO+certifications+2020.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1129" data-original-width="1675" height="270" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjZJlfqBLN80lOU9W9W2XSYcS_TXJyePO0n2FSVvTpPEQstEdM7SDP_kZr1sWDrI7ufO7xqAfl9pDOu5-5Vla3KKbE9FQ-xQjbBXGMZwsE9qMz5bkWPA7sKt1RAmtEOtjz4tn_neRlmiRRU/w400-h270/ISO+certifications+2020.png" width="400" /></a></div><div><ul style="text-align: left;"><li>По ISO 27001 рост на 22%.</li></ul></div><ul style="text-align: left;"><li>Топ 10 стран, по количеству выданных сертификатов:</li></ul><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuyCQqbhv-HpNY8se4rWUE4Xx_qa8Xt9wh02chMqm2AZnP9wdL8ZcfUHSVN7IMi0FLPUZwAZOD6ExJRvqArrSP5bUc2gZiJ_cdgnie03SmLTdbxcXqopBVDsGljH8jf08wBu-YsGFkBbEu/s543/TOP10.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="386" data-original-width="543" height="284" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuyCQqbhv-HpNY8se4rWUE4Xx_qa8Xt9wh02chMqm2AZnP9wdL8ZcfUHSVN7IMi0FLPUZwAZOD6ExJRvqArrSP5bUc2gZiJ_cdgnie03SmLTdbxcXqopBVDsGljH8jf08wBu-YsGFkBbEu/w400-h284/TOP10.jpg" width="400" /></a></div><div style="text-align: justify;"><ul><li><span style="text-align: left;">В РФ 90/252 (рост за год на 11%), в Финляндии 102/185 (рост 55%).</span></li></ul></div><div style="text-align: justify;">В таблицах есть информация и по отраслям, но по РФ большая часть не известна ("sector unknown"), но, судя по общим данным, это отрасль ИТ.</div><div style="text-align: justify;"><br /></div><div style="text-align: justify;"><br /></div><div style="text-align: justify;">P.S. Информация за прошлые годы:</div><div style="text-align: justify;"><div><ul><li>2019 - <a href="http://80na20.blogspot.com/2020/10/iso-27001-2019.html">80na20.blogspot.com/2020/10/iso-27001-2019.html</a></li><li>2017 - <a href="http://80na20.blogspot.com/2018/12/iso-27001.html">80na20.blogspot.com/2018/12/iso-27001.html</a></li><li>2013 - <a href="http://80na20.blogspot.com/2014/10/iso-27001-iso-9001.html">80na20.blogspot.com/2014/10/iso-27001-iso-9001.html</a></li></ul></div></div><div><br /><p><br /></p><p style="text-align: justify;"></p></div>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-79033254721536680492021-02-21T14:02:00.000+03:002021-02-21T14:02:34.608+03:00Обновил свои тулкиты по СУИБ и GDPR<p>На выходных обновил и дополнил свои тулкиты (набора документов) по внедрению СУИБ и соответствию требованиям GDPR, которые собираю на Патреоне.</p><p>Посмотреть их состав и скачать документы можно тут:</p><p style="background-color: white; color: #333333; margin: 1em 0px; outline: none; padding: 0px; text-align: justify;"></p><ol><li><span style="font-family: inherit;">GDPR Implementation Toolkit, v.3.0 - <a href="https://www.patreon.com/posts/41151893" style="color: #2b256f; display: inline; outline: none; text-decoration-line: none; transition: color 0.3s ease 0s;">https://www.patreon.com/posts/41151893</a></span></li><li><span style="font-family: inherit;">GDPR Intro Toolkit, v.2.0 - <a href="https://www.patreon.com/posts/47803689" style="color: #2b256f; display: inline; outline: none; text-decoration-line: none; transition: color 0.3s ease 0s;">https://www.patreon.com/posts/47803689</a></span></li><li><span style="font-family: inherit;">ISMS Implementation Toolkit, v.2.1 - <a href="https://www.patreon.com/posts/47806655" style="color: #2b256f; display: inline; outline: none; text-decoration-line: none; transition: color 0.3s ease 0s;">https://www.patreon.com/posts/47806655</a></span></li><li><span style="font-family: inherit;">Auditor's Toolkit, v.1.0 - <a href="https://www.patreon.com/posts/44215838" style="color: #2b256f; display: inline; outline: none; text-decoration-line: none; transition: color 0.3s ease 0s;">https://www.patreon.com/posts/44215838</a></span></li></ol><div>Поддержите этот проект и подписывайтесь на мой Патреон!</div><p></p>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-23351170102017352182021-02-07T19:15:00.001+03:002021-02-07T19:15:29.440+03:00Мои лучшие материалы на Патреон<p style="text-align: justify;">Я уже больше года выкладываю свои документы по ИБ на <a href="https://www.patreon.com/AndreyProzorov">Патреон</a> (доступ по платной подписке), и вот список самых лучших из них:</p><p style="text-align: justify;"></p><ol><li style="text-align: left;">Дорожная карта по внедрению СУИБ, <a href="https://www.patreon.com/posts/34193352">https://www.patreon.com/posts/34193352</a></li><li style="text-align: left;">Рекомендации по внедрению СУИБ и подготовке к аудитам, <a href="https://www.patreon.com/posts/30627529">https://www.patreon.com/posts/30627529</a></li><li style="text-align: left;">Большая и подробная майндкарта по аудиту СУИБ, подготовленная по итогам прохождения курса ведущего аудитора по ISO27001, <a href="https://www.patreon.com/posts/44005904">https://www.patreon.com/posts/44005904</a></li><li style="text-align: left;">Перечень документов и процессов СУИБ, <a href="https://www.patreon.com/posts/30651713">https://www.patreon.com/posts/30651713</a></li><li style="text-align: left;">Майндкарта по стандарту ISO 19011, <a href="https://www.patreon.com/posts/32391752">https://www.patreon.com/posts/32391752</a></li><li style="text-align: left;">Одностраничный документ с основными положениями GDPR, <a href="https://www.patreon.com/posts/30623162">https://www.patreon.com/posts/30623162</a></li><li style="text-align: left;">Дорожная карта по внедрению требований GDPR, <a href="https://www.patreon.com/posts/33173554">https://www.patreon.com/posts/33173554</a></li><li style="text-align: left;">Презентация про мониторинг сотрудников и выполнение требований по privacy, "Employee Monitoring and Privacy", <a href="https://www.patreon.com/posts/43654935">https://www.patreon.com/posts/43654935</a></li><li style="text-align: left;">Майндкарта с рекомендации по выполнению требований GDPR для ИТ-стартапов, <a href="https://www.patreon.com/posts/43224350">https://www.patreon.com/posts/43224350</a></li><li style="text-align: left;">Майндкарта с планом работы DPO на первые 90 дней в этой должности, <a href="https://www.patreon.com/posts/34493733">https://www.patreon.com/posts/34493733</a></li><li style="text-align: left;">Пример метрик по privacy, которые полезно использовать DPO в своей работе, <a href="https://www.patreon.com/posts/40926164">https://www.patreon.com/posts/40926164</a></li><li style="text-align: left;">Обзор лучшего инструмента по оценке рисков для небольших организаций, <a href="https://www.patreon.com/posts/41457632">https://www.patreon.com/posts/41457632</a></li><li style="text-align: left;">Майндкарта по COBIT 2019, <a href="https://www.patreon.com/posts/35662305">https://www.patreon.com/posts/35662305</a></li><li style="text-align: left;">Майндкарта по книге "COBIT Focus Area: Information Security", <a href="https://www.patreon.com/posts/39381080">https://www.patreon.com/posts/39381080</a></li><li style="text-align: left;">Рекомендации по увольнению за разглашение КТ + шаблоны, <a href="https://www.patreon.com/posts/30632795">https://www.patreon.com/posts/30632795</a></li><li style="text-align: left;">Майндкарты для подготовки к экзамену CDPSE (Certified Data Privacy Solutions Engineer, ISACA), <a href="https://www.patreon.com/posts/45816281">https://www.patreon.com/posts/45816281</a></li><li style="text-align: left;">Майндкарты для подготовки к экзамену CIPM (Certified Information Privacy Manager, IAPP), <a href="https://www.patreon.com/posts/34901536">часть 1</a> и <a href="https://www.patreon.com/posts/35142365">часть 2</a></li></ol><p></p><p style="text-align: justify;">Подписывайтесь и вы! Ваша поддержка важна и нужна для развития этой инициативы. Все подписчики получают доступ ко всем материалам.</p><p style="text-align: center;"><span style="font-size: medium;"><a href="https://www.patreon.com/AndreyProzorov">https://www.patreon.com/AndreyProzorov</a></span></p><p style="text-align: center;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOluI35w9QPc_PiHaWX52pBM1Q-bQs93UPka2cDJ60GrjBXnQQo1SBagkFRzTBiOFv9R6rc0_UhBPKpeKh_IQPVjuC-2ZhxRodwQnl092wc6EZ9sDJf-tQS7ZWAjFi6HDge6aO5P5Q9YuU/" style="margin-left: 1em; margin-right: 1em;"><img alt="" data-original-height="446" data-original-width="1020" height="280" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOluI35w9QPc_PiHaWX52pBM1Q-bQs93UPka2cDJ60GrjBXnQQo1SBagkFRzTBiOFv9R6rc0_UhBPKpeKh_IQPVjuC-2ZhxRodwQnl092wc6EZ9sDJf-tQS7ZWAjFi6HDge6aO5P5Q9YuU/w640-h280/image.png" width="640" /></a></div><br /><br /><p></p>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-88260428845070310062021-01-12T13:56:00.002+03:002021-01-12T14:37:13.326+03:00Европейские штрафы за неправомерное использование систем видеонаблюдения <p style="text-align: justify;">Начало года отмечено новым рекордным штрафом за нарушение требований GDPR при использовании систем видеонаблюдения (CCTV): 10,4 млн.евро штрафа для notebooksbilliger.de. Для себя составил вот таблицу со всеми известными мне штрафами по этой теме. Нарушения стандартные: нарушение баланса интересов, слишком длительное хранение данных, несоответствие обработки целям и избыточный сбор данных.</p><p></p><div class="separator" style="clear: both; text-align: center;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3IgPfTGkt30OV90NbKSKs-sulVxF9W88Ty3cP9E1up59CtLDq3N4cTazXYOqpkEe8ACrJKI8NpQKtxroWId9OVtK5gcL9hOC1DSz8quaCl4b19WlMyjvabsWIxI1aYlZvdJ8AvjU052QP/" style="margin-left: 1em; margin-right: 1em;"><img alt="" data-original-height="619" data-original-width="528" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3IgPfTGkt30OV90NbKSKs-sulVxF9W88Ty3cP9E1up59CtLDq3N4cTazXYOqpkEe8ACrJKI8NpQKtxroWId9OVtK5gcL9hOC1DSz8quaCl4b19WlMyjvabsWIxI1aYlZvdJ8AvjU052QP/w547-h640/image.png" width="547" /></a></div></div><div class="separator" style="clear: both; text-align: left;"><br /></div><div class="separator" style="clear: both; text-align: left;">Ссылки на все штрафы выложены на моем Патреоне - <a href="https://www.patreon.com/posts/gdpr-fines-video-46114870">https://www.patreon.com/posts/gdpr-fines-video-46114870</a></div><div class="separator" style="clear: both; text-align: left;">Там же есть и мои детальные рекомендации по использованию CCTV (и легализации этого процесса) - <a href="https://www.patreon.com/posts/39537997">https://www.patreon.com/posts/39537997</a></div><div class="separator" style="clear: both; text-align: left;">И большая презентация "Employee Monitoring and Privacy" - <a href="https://www.patreon.com/posts/my-new-employee-43654935">https://www.patreon.com/posts/my-new-employee-43654935</a></div><br /><p></p>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-82293789338610248402020-12-16T17:10:00.000+03:002020-12-16T17:10:03.440+03:00Европейский Киберщит! Новая европейская Стратегия кибербезопасности и Директива об устойчивости критически важных объектов<p style="text-align: justify;">Европейская комиссия опубликовала сегодня новую европейскую стратегию кибербезопасности (<a href="https://ec.europa.eu/digital-single-market/en/news/eus-cybersecurity-strategy-digital-decade">EU’s Cybersecurity Strategy</a>).</p><blockquote><p style="text-align: justify;"><i>Целью этой стратегии является укрепление коллективной устойчивости Европы к кибер-угрозам и обеспечение того, чтобы все граждане и предприятия могли в полной мере воспользоваться преимуществами надежных и заслуживающих доверия услуг и цифровых инструментов.</i></p></blockquote><p style="text-align: justify;">Стратегия предполагает использование трех инструментов (регуляторные, инвестиционные и политические инициативы) по следующим направлениям:</p><p></p><ol style="text-align: left;"><li style="text-align: justify;">Устойчивость, технологический суверенитет и лидерство (resilience, technological sovereignty and leadership);</li><li style="text-align: justify;">Способность к предупреждению, сдерживанию и реагированию (operational capacity to prevent, deter and respond);</li><li style="text-align: justify;">Сотрудничество в целях развития глобального и открытого киберпространства (cooperation to advance a global and open cyberspace).</li></ol><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAP9JFdWPOXhBX4reM1YwySD8mTLEcCUEr46VamWBvqUnJH4chN4lmvnxXGgCo6B_UbYml2w9YnzaZs1by3Kn4tZUZkILJlkfOGZQLtcORyPasHTHRMrrW_Un8Rd4iq6DnanxSivOwbSAf/s888/s1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="684" data-original-width="888" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAP9JFdWPOXhBX4reM1YwySD8mTLEcCUEr46VamWBvqUnJH4chN4lmvnxXGgCo6B_UbYml2w9YnzaZs1by3Kn4tZUZkILJlkfOGZQLtcORyPasHTHRMrrW_Un8Rd4iq6DnanxSivOwbSAf/s320/s1.jpg" width="320" /></a></div><p style="text-align: justify;"><a href="file:///C:/Users/andrey.prozorov/Downloads/JointCommunicationTheEUsCybersecurityStrategyfortheDigitalDecadepdf.pdf">Документ</a> не большой, всего 29 страниц, но в нем можно найти:</p><p style="text-align: justify;"></p><ul><li>Предпосылки для разработки этой стратегии (например, актуальность рисков для критической инфраструктуры, переход 40% работников в ЕС на удаленную работу во время пандемии 2020, ежегодный ущерб мировой экономики от киберпреступлений в размере 5,5 триллионов евро, 450 зафиксированных инцидентов ИБ на европейских объектах критической инфраструктуры в 2019 году, нехватка 291 000 специалистов по ИБ в Европе и другие предпосылки)</li></ul><div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTjtH25hb7OZJAUXoVEyqdqdmsRTIrqZdbStGJSGZinqB4-kD94NcQg8c-a88lRgA6rK-6XmQNjsV8oPDs0_bBlZbrVRgtP7kLfxzIzTBK4u4m7JWEpwg74OI4iftpuVjj_rZF75tsRWdd/" style="margin-left: 1em; margin-right: 1em;"><img alt="" data-original-height="419" data-original-width="1033" height="172" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTjtH25hb7OZJAUXoVEyqdqdmsRTIrqZdbStGJSGZinqB4-kD94NcQg8c-a88lRgA6rK-6XmQNjsV8oPDs0_bBlZbrVRgtP7kLfxzIzTBK4u4m7JWEpwg74OI4iftpuVjj_rZF75tsRWdd/w424-h172/image.png" width="424" /></a></div></div><ul><li>Планы по созданию европейского Киберщита, состоящего из SOC'ов, использующих ИИ и машинное обучение для обнаружения ранних сигналов о предстоящих кибератаках и реагирующих на них. А также положения об объединенном сообществе (Joint Cyber Unit) для обмена информацией об угрозах и оказания помощи в реагировании. </li><li>Планы законодательного регулирования интернета (безопасных) вещей, Internet of Secure Things.</li><li>Заявления о разработке программы действий ООН по решению проблем международной безопасности в киберпространстве.</li><li>Обозначение поддержки средних и малых предприятий.</li><li>Очень много конкретных изменений в законодательстве и регуляторных подходах.</li><li>Планы по перезапуску и усилению CERT-EU</li><li>В отдельное приложение выделены меры по безопасности сетей 5G.</li></ul>На ближайшие 7 лет запланировано очень много важных и полезных изменений...<p></p><ul></ul><p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjJfRCBvCpGjhBoJLteExSUbxRQv2p70_nOitks0wJTDsypNG87brqnRml_fAT71qHc5W6E5uLjTVUa2YWmH7p57sn1RpEJfA33Txwb9bvQwBn0_mu5hs8xci6YErpkBo0OdQ0XkPhiXgxb/" style="margin-left: 1em; margin-right: 1em;"><img alt="" data-original-height="741" data-original-width="909" height="522" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjJfRCBvCpGjhBoJLteExSUbxRQv2p70_nOitks0wJTDsypNG87brqnRml_fAT71qHc5W6E5uLjTVUa2YWmH7p57sn1RpEJfA33Txwb9bvQwBn0_mu5hs8xci6YErpkBo0OdQ0XkPhiXgxb/w640-h522/image.png" width="640" /></a></div><p></p><p style="text-align: left;">А вот, кстати, официальный QnA по стратегии - <a href="https://ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2392">https://ec.europa.eu/commission/presscorner/detail/en/QANDA_20_2392</a></p><p style="text-align: justify;">P.S. Помимо этого стоит обратить внимание и на новую Директиву об устойчивости критически важных объектов (<a href="https://ec.europa.eu/home-affairs/sites/homeaffairs/files/pdf/15122020_proposal_directive_resilience_critical_entities_com-2020-829_en.pdf">Directive on the resilience of critical entities</a>). </p>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-9311111963107712012020-12-08T00:16:00.003+03:002020-12-10T13:06:21.676+03:00РКН и GDPR в 2020 году<p style="text-align: justify;">Сегодня я посетил вебинар - встречу с новым финским Омбудсменом по защита персональных данных (<a href="https://tietosuoja.fi/en/office-of-the-data-protection-ombudsman">the Data Protection Ombudsman</a>) и после этого решил в очередной раз сравнить европейский подход (GDPR и ePrivacy) с подходом российского РКН (152-ФЗ). Для этого я <span style="text-align: left;">пересмотрел <a href="https://vk.com/wall-76229642_231038" target="_blank">запись публичного семинара для операторов ПДн от РКН</a>, который прошел 26 ноября 2020.</span></p><p style="text-align: justify;">Меня очень порадовало, что Контемиров Юрий Евгеньевич (начальник Управления по защите прав субъектов ПДн) в этот раз отдельно рассказал про отношение РКН к GDPR. Приведу текст выступления практически полностью, чувствую, что он еще пригодится:</p><p></p><blockquote><p style="text-align: justify;"><i>1. GDPR к деятельности российских компаний может применяться в исключительных случаях. </i></p><p style="text-align: justify;"><i>2. Российский оператор, который обрабатывает ПДн европейских граждан, находясь на территории РФ, обрабатывая ПДн в целях, которые предусмотрены законом о персональных данных [152-ФЗ], под действия GDPR в данном контексте НЕ подпадает.</i></p><p style="text-align: justify;"><i>3. Если говорить о случаях, когда положения GDPR распространяются на российского оператора, то их можно определить как два основных и один вспомогательный. Основной: когда российский оператор имеет филиальную сеть, и она находится на территории ЕС. Вторая составляющая: это когда российские операторы действуют по поручению европейской компании и, соответственно, несут ответственность перед европейской компанией, и организация деятельности в рамках этого поручения осуществляется в соответствии с GDPR. </i></p><p style="text-align: justify;"><i>4. Третий момент (вспомогательный), который может отнести деятельность российских компаний под действие GDPR - это направленность на европейского потребителя. В первую очередь это касается интернет-сайтов, оказывающих услуги по продаже товаров и предоставлению услуг. В этом случае есть ряд условий: наличие предложения на официальных языках стран ЕС и расчет в национальной валюте (например, евро). Эти критерии должны действовать одновременно.</i></p></blockquote><p></p><p style="text-align: justify;">Не много, но важно. А вот про совершенствование и гармонизацию российского законодательства с европейским (с учетом подписания протокола Конвенции 108) ничего конкретного не сказали... Ждем.</p><p style="text-align: justify;">Ну, а, в целом, РКН дал много полезной информации и комментариев. Это, традиционно, аналитика про основные нарушения и жалобы субъектов, много комментариев про реестр операторов ПДн, формы согласия, договоры поручения, биометрические ПДн и локализацию баз данных. Крайне рекомендую посмотреть!<span></span></p><p style="text-align: justify;">А теперь я хочу остановиться на тех моментах, на которые обратил внимание, сравнивая выступления российского и европейского (финского) надзорных органов.</p><p style="text-align: justify;">1. Оба надзорных органа говорят про права субъектов ПДн, а не только про защиту и обработку ПДн. И это хорошо и правильно!</p><p style="text-align: justify;">2. Европейский надзорный орган много говорит про прозрачность обработки (transparency) и выбор обоснованного основания для обработки. А вот РКН меня печалит своим подходом "берем согласие практически при любой обработке ПДн". РКН хоть и дает вполне зрелые рекомендации по сбору согласий, но своими комментариями дает операторам ложный посыл о главенстве согласия над другими формами основания для обработки ПДн. Напомню, что в ЕС согласие рассматривается скорее как самая рискованная для организации форма и его рекомендуется брать только в случае крайней необходимости, когда другие основания для обработки не применимы. </p><p style="text-align: justify;">3. Европейский надзорный орган фокусирует внимание на необходимости дополнительной защиты номера социального страхования (ID) субъектов ПДн и, зачастую, отсутствие необходимости в его сборе и обработке. А российские коллеги ничего не видят предосудительного в сборе номеров паспортов, ИНН и других уникальных идентификаторов...</p><p style="text-align: justify;">4. Европейский DPA напоминает о важности DPIA (Data Protection Impact Assessment, оценка воздействия на защиту данных) и, вообще, много говорит о рисковом подходе при обработке и защите данных. А РКН, на мой взгляд, уже забыл про "оценку вреда, который может быть причинен субъектам ПДн" (152-ФЗ ст.18.1). Это важное требование никогда не обсуждалось, не комментировалась и, видимо, не проверялось...</p><p style="text-align: justify;">5. РКН много и часто говорит про реестр операторов ПДн и необходимость актуализации данных, а европейский коллега даже ни разу не напомнил о необходимости передавать ему контакты DPO.</p><p style="text-align: justify;">6. Европейский DPA планирует в ближайшее время выпустить <a href="https://tietosuoja.fi/en/-/data-protection-opening-doors-into-europe-for-smes">ПО для самооценки соответствия требованиям GDPR для малых и средних компаний (SME)</a>. РКН про нужды SME, на моей памяти, никогда и не говорил... Но, что приятно и полезно, РКН планирует в следующем году опубликовать некий "<span style="text-align: left;">методический портфель", содержащий шаблоны документов, актов и типовых форм по ПДн, которые смогут использовать российские операторы.</span></p>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-49817037732440192982020-11-30T11:08:00.001+03:002020-11-30T11:08:47.450+03:00 ISMS ISO 27001 Lead Auditor Course <p style="text-align: justify;"><span style="font-family: inherit;">Пару недель назад я прошел 5-дневное обучение по курсу ISMS ISO 27001:2013 Lead Auditor (Ведущий аудитор систем управления информационной безопасностью по стандарту ISO 27001) и сегодня расскажу вам о нем.</span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhC3uvjtWLPj6xBBwZaGxtJJFbHCSwG7c5eip4tNWYtN0N4PtcW2S-7HClUTVwVJvZC3DYuQ6H7jXinxXh4tiPRXjg-GPYAuqUw9PTYnKxfHVn8nX47lXtImm_zvcdFlXId-T3w0AjIH_fu/s1040/Screen+Shot+2020-11-29+at+12.13.31+PM.png" style="margin-left: 1em; margin-right: 1em;"><span style="color: black; font-family: inherit;"><img border="0" data-original-height="1040" data-original-width="1022" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhC3uvjtWLPj6xBBwZaGxtJJFbHCSwG7c5eip4tNWYtN0N4PtcW2S-7HClUTVwVJvZC3DYuQ6H7jXinxXh4tiPRXjg-GPYAuqUw9PTYnKxfHVn8nX47lXtImm_zvcdFlXId-T3w0AjIH_fu/w196-h200/Screen+Shot+2020-11-29+at+12.13.31+PM.png" width="196" /></span></a></div><p></p><p><span style="font-family: inherit;"><b>Что это такое и зачем это надо?</b></span></p><p style="text-align: justify;"><span style="font-family: inherit;">По сути, это обучение является обязательным шагом для получения статуса ведущего аудитора по ISO 27001. Соответствующий статус необходим аудиторам для проведения сертификационных аудитов СУИБ (это может быть довольно неплохой работой / подработкой для специалистов по ИБ), а также часто требуется для внутренних аудиторов, внешних аудиторов (при аудитах второй стороны (подрядчиков и партнеров)) или внешних консультантов. Однако он заточен именно на стандарт ISO 27001, а если вы проводите аудиты по другим критериям, то ценнее, на мой взгляд, обладать сертификатом <a href="https://www.isaca.org/credentialing/cisa">CISA</a>.</span></p><p style="text-align: justify;">Обычно статус ведущего аудитора по ISO 27001 получают ведущие аудиторы по другим стандартам и системам управления (например, по управлению качеством), или консультанты, которые активно работают со стандартом ISO 27001. Но если вы занимаетесь внедрением СУИБ, то вместо "аудиторского" лучше присмотреться к довольно редкому курсу и статусу Lead Implementer. Я в свое время хотел получить именно его, но у меня с ним как-то не сложилось, то группа не набралась, то я был в командировке, то в отпуске... Ну, в общем, года 3 я не мог состыковать даты и потом уже перестал за ним гоняться...</p><p><span style="font-family: inherit;">По результатам обучения на ведущего аудитора обещают понимание стандартов ISO 27001 и 19011, а также готовность к самостоятельному проведению аудитов СУИБ:</span></p><p><span style="font-family: inherit;"></span></p><blockquote><p><span style="font-family: inherit;"><i>On successfully completing the course, students will be able to:</i></span></p><p></p><ul><li><span style="font-family: inherit;"><i>Audit as per the requirements of ISO/IEC 27001:2013 standard</i></span></li><li><span style="font-family: inherit;"><i>Understand key elements of ISO 19011 and ISO/IEC 17021Standards</i></span></li><li><span style="font-family: inherit;"><i>Understand key information security issues</i></span></li><li><span style="font-family: inherit;"><i>Plan an audit against a set of audit criteria</i></span></li><li><i><span style="font-family: inherit;">Successfully execute an Information Security </span><span style="font-family: inherit;">Management system audit</span></i></li><li><span style="font-family: inherit;"><i>Create clear, concise and relevant audit reports</i></span></li><li><span style="font-family: inherit;"><i>Communicate the audit findings to a client</i></span></li></ul></blockquote><p style="text-align: justify;">Лучше всего ориентироваться на курсы от компаний, которые аккредитованы на проведение сертификационных аудитов СУИБ. Также обращайте внимание, чтобы курс был аккредитован <a href="https://www.quality.org/knowledge/about-us">IRCA (International Register of Certificated Auditors)</a>. Тогда итоговые знания и "бумажки" будут цениться и в России и в Мире. На мой взгляд, самые известные и хороший курсы в России проводят <a href="https://www.bsigroup.com/">BSI</a> и <a href="https://group.bureauveritas.com/">Bureau Veritas</a>, но есть и другие варианты. Я проходил обучение в Bureau Veritas.</p><p style="text-align: justify;">Чаще всего обучение в России проводит зарубежный тренер на английском языке, экзамен тоже на английском. Цена курса "кусается", обычно 1500 - 3000 евро.</p><p style="text-align: justify;">Для получения статуса Ведущего аудитора не достаточно просто пройти курс и сдать экзамен, надо еще подтвердить аудиторский опыт. Но об этом чуть позже.</p><p><span style="font-family: inherit;"><b>Как проходит обучение?</b></span></p><p style="text-align: justify;"><span style="font-family: inherit;">Обычно такой курс проходит офлайн, он включает 40 часов обучения и экзамен. Группа от 4 до 20 человек. Но в этом году мы с коллегами обучались онлайн в группе из 8 человек (это максимум для онлайн). </span></p><p style="text-align: justify;"><span style="font-family: inherit;">При онлайн обучении необходимо держать камеру постоянно включенной и активно участвовать в обсуждении и решении кейсов, в противном случае курс могут не засчитать даже при положительном результате экзамена. Это, кстати, действительно проверяют, после курса мне прислали детальный отчет о моих успехах во время курса и итоговую оценку, получил 9 из 10. Для прохождения этой части достаточно 6+ баллов по каждому из критериев оценки (они завязаны на темы курса).</span></p><p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjS_M2DLt-rD6eAyPMXkiYajlhdw_6cT5uZTytL4-5RXEwCJ_qWqVw_pBNqJW_1FF1SrulC2RSYFycORpwr0W2_aGlbN-j4j8Lda-IA72XEsFSc5PpZacxY5kxYszkwN2I8edbxrRolVpIC/s1590/Screen+Shot+2020-11-29+at+2.01.31+PM.png" style="margin-left: 1em; margin-right: 1em;"><span style="color: black;"><img border="0" data-original-height="916" data-original-width="1590" height="230" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjS_M2DLt-rD6eAyPMXkiYajlhdw_6cT5uZTytL4-5RXEwCJ_qWqVw_pBNqJW_1FF1SrulC2RSYFycORpwr0W2_aGlbN-j4j8Lda-IA72XEsFSc5PpZacxY5kxYszkwN2I8edbxrRolVpIC/w400-h230/Screen+Shot+2020-11-29+at+2.01.31+PM.png" width="400" /></span></a></div><div style="text-align: justify;"><p style="text-align: justify;"><span style="font-family: inherit;">Участники курса уже должны иметь опыт работы с системами управления и понимать смысл цикла PDCA, разбираться в процессах управления ИБ и хорошо знать стандарт ISO 27001 (желательно пройти дополнительные курсы). И</span>, что удивительно, нам даже дали домашнее задание, которое мы должны были сделать ДО курса и проверить во время. </p></div><p></p><p style="text-align: justify;">Оно состояло из <span style="text-align: left;">True/False теста (надо ответить правда или нет на утверждение) и письменной работы. </span></p><p style="text-align: justify;"></p><div style="text-align: left;">Вот пример нескольких вопросов True/False:</div><p></p><p></p><ul style="text-align: left;"><li><span style="font-family: inherit;"><i>All information security risks identified throughout an organisation shall be eliminated. True or False?</i></span></li><li><i><span style="font-family: inherit;">Statement of Applicability shall include justification for exclusion of controls. </span>True or False?</i></li></ul><p></p><p style="text-align: justify;"><span style="font-family: inherit; text-align: left;">А в письменной работе, например, в одном из заданий попросили перечислить все виды обязательных </span><span style="font-family: inherit; text-align: left;">“Documented Information” с указанием их типа (документ или запись) и ссылкой на соответствующее требование стандарта ISO 27001. Ну, или вот еще пару вопросов, на которые просили подготовить письменные ответы:</span></p><p style="text-align: justify;"></p><ul><li><span style="font-family: inherit; text-align: left;"><i>How will you audit the effectiveness of the Management Review Process (Cl 9.3)?</i></span></li><li><span style="font-family: inherit; text-align: left;"><i>What are the means by which an organization can improve the performance of its ISMS Continually?</i></span></li></ul><div style="text-align: left;">Ну, в общем, на подготовку к курсу пришлось потратить целый вечер.</div><p></p><p><span style="font-family: inherit;"></span></p><p style="text-align: justify;"><span style="font-family: inherit;">Курс состоял из коротких презентаций и огромного количества заданий и воркшопов (14 заданий, 6 воркшопов). И именно практическими упражнениями и был ценен этот курс. Мы разбирали возможные вопросы и свидетельства по каждому пункту стандарта ISO 27001, разрабатывали планы аудитов и опросники, готовились к вводному и закрывающему совещанию, заполняли NCR и все такое. И еще нам каждый день давали домашние задания. Да, все на английском. В общем, это был, пожалуй, самый тяжелый и изнурительный курс и всех, что я когда-либо посещал.</span></p><p style="text-align: justify;"><span style="font-family: inherit;">Но пользы от него было много, даже с моим многолетним опытом построения СУИБов, я узнал много нового, да и просто лучше систематизировал свои знания. Кстати, по результатам обучения я наконец-то закончил подготовку и выложил на Патреон тулкит аудитора - </span><span style="text-align: left;"><a href="https://80na20.blogspot.com/p/my-auditors-toolkit.html">https://80na20.blogspot.com/p/my-auditors-toolkit.html</a> и особенно полезным инструментом стала итоговая майндкарта "</span><span style="text-align: left;">Guidelines for ISMS auditing</span><span style="text-align: left;">" - </span><span style="text-align: left;"><a href="https://www.patreon.com/posts/44005904">https://www.patreon.com/posts/44005904</a>.</span></p><p style="text-align: justify;"><span style="font-family: inherit;">Но, в целом, курс мне показался чуть подзатянутым, его бы сократить до 3-4 дней вместо 5...</span></p><p><b><span style="font-family: inherit;">Как проходит экзамен?</span></b></p><p style="text-align: justify;"><span style="font-family: inherit;">После курса необходимо сдать экзамен. Он проходит в письменной форме (надо писать краткие и развернутые ответы) на английском языке. На экзамен отводится 2 часа, но иностранцам добавляют еще 30 минут. Можно пользоваться выданной копией стандарта ISO 27001 и словарем. А вот стандартами ISO 27000 и ISO 19011 пользоваться нельзя, хотя по ним тоже были вопросы...</span></p><p style="text-align: justify;"><span style="font-family: inherit;">Экзамен состоит из 4 секций. Всего можно набрать 90 баллов, проходной - 63, но в каждой секции надо набрать не менее 50%. В первой секции можно набрать 10 баллов (5 вопросов с кратким ответом, например, "<i>Identify two ways in which an auditor can verify that agreed corrective actions have been effectively implemented</i>"), во второй - 20 (требуют более развернутые ответы на вопросы) в третьей и четвертой по 30. В третьей части просят разобрать кейсы или детально объяснить сложные модели и процессы, а в четвертой части надо решать кейсы, выявлять несоответствия и оформлять их отчетами (NCR).</span></p><p style="text-align: justify;"><span style="font-family: inherit;">В этом году экзамен проходил удаленно. Необходимо было расшарить экран, включить веб-камеру и звук, все сторонние приложения и вкладки должны были быть закрыты. Пользоваться можно было только присланной версией стандарта, дополнительные материалы и даже веб-переводчики были запрещены. Это проверялось строго, за любые нарушения могут экзамен не засчитать. </span></p><p style="text-align: justify;"><span style="font-family: inherit;">Письменную работу проверяет преподаватель, а потом еще и какой-то сторонний специалист. Нам обещали дать результаты уже через неделю, но потом написали, что на проверку уйдет до 45 дней (они еще пересматривают видеозапись с экзамена). Свой результат я не до сих пор не знаю, и мне прислали сертификат пока только о том, что я прошел обучение. Если экзамен не сдам, то у меня будет 12 месяцев на его пересдачу.</span></p><p style="text-align: justify;"><span style="font-family: inherit;">Письменный экзамен на английском - это очень тяжело. Сложно и писать и контролировать время. </span></p><p style="text-align: justify;"><span style="font-family: inherit; text-align: left;"><b>Что дальше?</b></span></p><p style="text-align: justify;"><span style="font-family: inherit;">При успешной сдаче экзамена можно пойти дальше по <a href="https://www.quality.org/article/irca-information-security-management-systems-certification-scheme">CQI-IRCA ISMS Auditor Certification scheme</a> и подать документы на проверку опыта и регистрацию в <a href="https://members.quality.org/SelfService/find-an-auditor.aspx">реестре</a> сертифицированных аудиторов. Подача документов и первый год членства стоит </span>£225. Также придется заполнять различные анкеты и подтверждать опыт. Если я пойду по этому пути, то отдельно расскажу об этом в блоге...</p>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-58895036422803924692020-11-24T21:23:00.001+03:002020-11-24T21:23:02.122+03:0060 ключевых моделей менеджмента ИБ<p style="text-align: justify;">Попробовал свести в одну майндкарту важные управленческие модели, которые могут быть полезны руководителям департаментов и консультантам по информационной безопасности, а также инспекторам по защите персональных данных (DPO). </p><p style="text-align: justify;">На удивление, получился очень большой перечень. Держите майндкарту и общий список.</p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8dog2GLDOEgyhgIDT9UXaSNHFayj2vWFH0QbXoZM2Wlc6TlZpdqQRcDcgSX7AMsClXF3da9yvwSnDv7L4D3dN2EKlQ9SJhxB8jNQ8DR3oocXa8THA7A1gT2iThEEzZGUH6yrbSscQ3AGW/s2627/xm+Information+Security+and+Data+Protection+Management+Models.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="2627" data-original-width="1197" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8dog2GLDOEgyhgIDT9UXaSNHFayj2vWFH0QbXoZM2Wlc6TlZpdqQRcDcgSX7AMsClXF3da9yvwSnDv7L4D3dN2EKlQ9SJhxB8jNQ8DR3oocXa8THA7A1gT2iThEEzZGUH6yrbSscQ3AGW/w292-h640/xm+Information+Security+and+Data+Protection+Management+Models.png" width="292" /></a></div>Вот общий список:<div><div><b>Strategy</b></div><div>1.<span style="white-space: pre;"> </span>Governance by COBIT</div><div>2.<span style="white-space: pre;"> </span>SWOT</div><div>3.<span style="white-space: pre;"> </span>GAP analysis and Benchmarking</div><div>4.<span style="white-space: pre;"> </span>Hype Cycle</div><div>5.<span style="white-space: pre;"> </span>Components by COBIT (ex.Enablers)</div><div>6.<span style="white-space: pre;"> </span>McKinsey 7-S Framework</div><div><br /></div><div><div><b>Objectives, KPIs and metrics</b></div><div>7.<span style="white-space: pre;"> </span>Balanced Scorecard (BSC)</div><div>8.<span style="white-space: pre;"> </span>Goal Cascade by COBIT</div><div>9.<span style="white-space: pre;"> </span>ISO 27001 for IS objectives</div><div>10.<span style="white-space: pre;"> </span>SMART</div><div>11.<span style="white-space: pre;"> </span>Metrics</div><div>12.<span style="white-space: pre;"> </span>Metric Life Cycle</div></div><div><br /></div><div><div><b>Processes</b></div><div>13.<span style="white-space: pre;"> </span>PPT Triangle</div><div>14.<span style="white-space: pre;"> </span>RACI chart</div><div><b><span style="white-space: pre;"> </span>CI Cycles</b></div><div>15.<span style="white-space: pre;"> </span>PDCA</div><div>16.<span style="white-space: pre;"> </span>OODA</div><div>17.<span style="white-space: pre;"> </span>COBIT Implementation phases</div><div>18.<span style="white-space: pre;"> </span>DMAIC </div><div>19.<span style="white-space: pre;"> </span>Risk management framework by NIST</div><div>20.<span style="white-space: pre;"> </span>DevOps life cycle</div><div><b><span style="white-space: pre;"> </span>Graphical notations</b></div><div>21.<span style="white-space: pre;"> </span>Flowchart</div><div>22.<span style="white-space: pre;"> </span>Business Process Modeling Notation (BPMN)</div><div>23.<span style="white-space: pre;"> </span>Event-driven process chain (EPC)</div><div>24.<span style="white-space: pre;"> </span>ICAM DEFinition / Integrated DEFinition (IDEF)</div><div>25.<span style="white-space: pre;"> </span>Gantt chart (+PERT)</div></div><div><br /></div><div><div>26.<span style="white-space: pre;"> </span>Maturity Levels</div><div>27.<span style="white-space: pre;"> </span>Capability Model</div></div><div><br /></div><div><div><b>Security</b></div><div>28.<span style="white-space: pre;"> </span>CIA triad</div><div>29.<span style="white-space: pre;"> </span>AAA services</div><div>30.<span style="white-space: pre;"> </span>NIST Framework Core</div><div>31.<span style="white-space: pre;"> </span>ISO 27001</div><div>32.<span style="white-space: pre;"> </span>The cyber kill chain</div><div>33.<span style="white-space: pre;"> </span>OSI Model</div></div><div><br /></div><div><div><b>Privacy</b></div><div>34.<span style="white-space: pre;"> </span>GDPR Principles</div><div>35.<span style="white-space: pre;"> </span>Subjects' rights</div><div>36.<span style="white-space: pre;"> </span>Privacy by Design</div><div>37.<span style="white-space: pre;"> </span>Privacy Operational Life Cycle (POLC)</div></div><div><br /></div><div><div><b>Risk Management</b></div><div>38.<span style="white-space: pre;"> </span>RM Types</div><div>39.<span style="white-space: pre;"> </span>Risk management process</div><div>40.<span style="white-space: pre;"> </span>Key risk indicators (KRIs)</div><div>41.<span style="white-space: pre;"> </span>Annualized loss expectancy (ALE)</div></div><div><br /></div><div><div><b>Finance</b></div><div>42.<span style="white-space: pre;"> </span>Business case</div><div>43.<span style="white-space: pre;"> </span>Return on Investment (ROI)</div><div>44.<span style="white-space: pre;"> </span>Cost-Benefit Analysis (CBA)</div><div>45.<span style="white-space: pre;"> </span>Total Cost of Ownership (TCO)</div><div>46.<span style="white-space: pre;"> </span>Profit & loss report (P&L)</div></div><div><br /></div><div><div><b>Audit and Quality</b></div><div>47.<span style="white-space: pre;"> </span>Fishbone Diagram (Ishikawa diagram)</div><div>48.<span style="white-space: pre;"> </span>Five whys (5 whys)</div><div>49.<span style="white-space: pre;"> </span>Audit Life Cycle</div></div><div><br /></div><div><div><b>Products</b></div><div>50.<span style="white-space: pre;"> </span>Gartner Magic Quadrant</div><div>51.<span style="white-space: pre;"> </span>Forrester Wave</div><div>52.<span style="white-space: pre;"> </span>Boston Matrix (BCG matrix)</div></div><div><br /></div><div><div><b>Information</b></div><div>53.<span style="white-space: pre;"> </span>DIKW pyramid</div><div>54.<span style="white-space: pre;"> </span>Quality Criteria for information</div><div>55.<span style="white-space: pre;"> </span>FAO Model</div><div>56.<span style="white-space: pre;"> </span>AIDA</div><div>57.<span style="white-space: pre;"> </span>Information life cycle </div><div>58.<span style="white-space: pre;"> </span>Data lifecycle management</div><div>59.<span style="white-space: pre;"> </span>Pyramid of documents</div><div>60.<span style="white-space: pre;"> </span>Six Frames (Edward de Bono)</div></div></div><div><br /></div><div style="text-align: center;"><span style="text-align: justify;"><span style="color: red;">Подскажите, пожалуйста, может я что-то забыл и нужно добавить! </span></span></div><div style="text-align: left;"><br /></div><div style="text-align: justify;"><span style="color: #2b00fe;">Майндкарту в pdf и xmind можно скачать тут - <span style="text-align: left;"><a href="https://www.patreon.com/posts/44265676">https://www.patreon.com/posts/44265676</a> (даже если вы не являетесь подписчиком моего Патреона).</span></span></div>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com3tag:blogger.com,1999:blog-8234508899267325091.post-13575428557162800892020-11-08T03:58:00.003+03:002020-11-08T03:59:42.418+03:00Employee Monitoring: CISO and DPO conflict<p>Некоторые европейские надзорные органы, например, <a href="https://tietosuoja.fi/en/designating-a-data-protection-officer" target="_blank">Финский DPA</a>, не рекомендуют совмещать роли CISO и DPO из-за возможного конфликта интересов. </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJQvNeMTlWaZnrbIqGDDHPtv19BF2ESY4jbJ6B1YOcRYLB8n47k20hu2HZgYvE2cm23AW9O46Bpq0AlMZIszvo-7z7SvHz0_9Aqgb2V_sW36j5sm3UfrvgvVavjp9dKdwt1Kg0mdg4t0cP/s1616/Screen+Shot+2020-11-08+at+2.53.17+AM.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="528" data-original-width="1616" height="210" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJQvNeMTlWaZnrbIqGDDHPtv19BF2ESY4jbJ6B1YOcRYLB8n47k20hu2HZgYvE2cm23AW9O46Bpq0AlMZIszvo-7z7SvHz0_9Aqgb2V_sW36j5sm3UfrvgvVavjp9dKdwt1Kg0mdg4t0cP/w640-h210/Screen+Shot+2020-11-08+at+2.53.17+AM.png" width="640" /></a></div><p>Посветил этой проблеме 1 слайд в своей новой презентации "<a href="https://www.patreon.com/posts/43654935" target="_blank">Employee Monitoring and Privacy</a>", которую выложил на Патреон:</p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7pKG5ouT3QX6uFaXRVtpTRsibdm0fb-NquxHrZD6ioBvF-rZhoQzjqG4o7M_bsSaDARFZYYHDmZ6SOj1GGp63Cp20U3jLkgQFU5UNqcKHwv-REe6ZVpzisMnLfqXMkvB0iF8CLYVt7kZF/s2028/Screen+Shot+2020-11-08+at+2.38.23+AM.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1136" data-original-width="2028" height="358" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7pKG5ouT3QX6uFaXRVtpTRsibdm0fb-NquxHrZD6ioBvF-rZhoQzjqG4o7M_bsSaDARFZYYHDmZ6SOj1GGp63Cp20U3jLkgQFU5UNqcKHwv-REe6ZVpzisMnLfqXMkvB0iF8CLYVt7kZF/w640-h358/Screen+Shot+2020-11-08+at+2.38.23+AM.png" width="640" /></a></div><br /><p><br /></p>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0tag:blogger.com,1999:blog-8234508899267325091.post-38734335509498359962020-10-28T00:33:00.004+03:002020-10-28T00:34:14.622+03:00GDPR Compliance Vision for IT Startups <p>Выложил на Патреон детальную майндкарту для ИТ стартапов, которые планируют работать в ЕС и соответствовать GDPR - <a href="https://www.patreon.com/posts/43224350">https://www.patreon.com/posts/43224350</a></p><p>Кратко она выглядит так:</p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-6mdwiOuIhY3jn5ULukjiaUDrUxBx-sVqEbT06DvPYAYMholy1aGf1o0NefuZRVgE-_XxXOIq1jQNU-wbKGkHWA-SQ6Ze-menBFrA0n5KB20ZsOIeboynHefPigdw5OW4ux-kkkGXT3fy/s1766/Screen+Shot+2020-10-27+at+10.59.18+PM.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="852" data-original-width="1766" height="193" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-6mdwiOuIhY3jn5ULukjiaUDrUxBx-sVqEbT06DvPYAYMholy1aGf1o0NefuZRVgE-_XxXOIq1jQNU-wbKGkHWA-SQ6Ze-menBFrA0n5KB20ZsOIeboynHefPigdw5OW4ux-kkkGXT3fy/w400-h193/Screen+Shot+2020-10-27+at+10.59.18+PM.png" width="400" /></a></div><br /><p><br /></p>Andrey Prozorovhttp://www.blogger.com/profile/05755041114329941545noreply@blogger.com0