bga68comp | Recent Entries

1. Сначала ставим необходимые модули через PowerShell с административными правами

1.1 Cтавим оснастку:

Install-WindowsFeature -Name RSAT-AD-PowerShell

1.2 Установите модуль Azure Directory для Windows PowerShell
Чтобы установить общедоступную версию модуля, выполните следующую команду:

Install-Module AzureAD

или

Install-Module -Name AzureAD

1.3 Для политики выполнения сценариев PowerShell должно быть установлено значение remote signed или less restrictive. Используйте Get-ExecutionPolicy для определения текущей политики выполнения.

Командная строка: Чтобы установить политику выполнения, запустите:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

1.4 Установка Microsoft Graph PowerShell

The following prerequisites are required to use the Microsoft Graph PowerShell SDK with Windows PowerShell.

• Upgrade to PowerShell 5.1 or later
• Install .NET Framework 4.7.2 or later - Install .NET Framework for developers
• Update PowerShellGet to the latest version using Install-Module PowerShellGet

Командная строка:

Install-Module Microsoft.Graph -Scope AllUsers

1.5 Проверка установки Microsoft Graph PowerShell

После завершения установки вы можете проверить установленную версию с помощью следующей команды:

Get-InstalledModule Microsoft.Graph

1.6 Чтобы проверить установленные подмодули и их версии, запустите:

Get-InstalledModule

Способ 1: Проверка установленных модулей через

Get-InstalledModule

Способ 2: Проверка доступных модулей через

Get-Module -ListAvailable

Этот командлет покажет все доступные модули, которые установлены и могут быть загружены в сеанс PowerShell.

2. Встановлюємо ОЗ:

Install-ADServiceAccount -Identity gmsa1

3. Тестуємо ОЗ:

Test-ADServiceAccount gmsa1

4. Якщо потрібно змінити тих, хто може сервісний ОЗ використовувати:

Set-ADServiceAccount -Identity gMSA-учётка -PrincipalsAllowedToRetrieveManagedPassword СЕРВЕР$

Див.також:
Как отключить использование GMSA на локальной машине та видалення GMSA

🪟 На стартову сторінку

Чтобы отключить GMSA (Group Managed Service Account) от конкретного сервера в Windows, можно использовать следующую команду в PowerShell.

Uninstall-ADServiceAccount

Этот процесс удаляет использование GMSA на локальной машине.

Пример команды:

Uninstall-ADServiceAccount -Identity <GMSA_Account_Name>

Где <GMSA_Account_Name> — это имя вашей учётной записи GMSA.
Порядок действий:

Откройте PowerShell с правами администратора на сервере, от которого необходимо отключить GMSA.
Выполните команду выше, заменив <GMSA_Account_Name> на реальное имя вашей GMSA.
После выполнения команды сервер больше не будет использовать указанную GMSA.

Если потребуется также удалить саму учётную запись из Active Directory, это можно сделать с помощью команды:

Remove-ADServiceAccount -Identity <GMSA_Account_Name>

Эта команда удалит GMSA из AD полностью.

Див.також:
Установить GMSA на локальный компьютер

🪟 На стартову сторінку

CyberArk – інтелектуальний захист користувачів та їх пристроїв

Watch on YouTube

У ПРОГРАМІ ВОРКШОПУ:
Як CyberArk допомагає запобігти компрометації облікових записів та доступів в умовах складних кібератак.
Як платформи CyberArk забезпечують інтелектуальний захист кінцевих пристроїв та користувачів, аналізуючи їхню поведінку в реальному часі.
Практичні приклади впровадження та успішного використання рішень CyberArk для захисту користувачів та бізнесу від кіберзагроз.

🪟 На стартову сторінку

Вимоги, що підсилюють захист DMZ у разі використання хмарних рішень, зокрема при роботі з персональними даними та інфраструктурою як послугою (IaaS).

Вимога	Опис	Посилання на стандарт або нормативний акт
1. Сегментація мережі	Мережеві сегменти повинні бути чітко відокремлені, з обмеженим доступом між внутрішньою мережею, DMZ-зоною та Інтернетом.	ISO 27001:2022, A.13.1.3; PCI DSS v4.0, п. 1.2.1; НБУ Постанова №75
2. Контроль доступу до ресурсів	Впровадження суворих правил контролю доступу до серверів у DMZ на основі ролей, мінімізації прав доступу.	ISO 27002:2022, 9.4.3; PCI DSS v4.0, п. 7.2; Закон України "Про захист персональних даних"
3. Аутентифікація та авторизація	Використання двофакторної аутентифікації для адміністраторів та всіх, хто має доступ до критичних ресурсів у DMZ.	ISO 27002:2022, 9.4.2; PCI DSS v4.0, п. 8.3; НБУ Постанова №43
4. Логування і моніторинг	Всі події у DMZ повинні бути автоматично записані в журнали, зберігатися і періодично перевірятися.	ISO 27001:2022, A.12.4.1; PCI DSS v4.0, п. 10.1; НБУ Постанова №217
5. Оцінка ризиків	Проводити регулярну оцінку ризиків для визначення загроз у DMZ, включаючи вразливості нових технологій.	ISO 27005:2022, п. 5.4; ISO 31000:2018, п. 6.3; COBIT 2019, EDM03
6. Захист від шкідливого ПЗ	Установити системи захисту від шкідливого ПЗ на всіх серверах і мережевих пристроях у DMZ.	ISO 27001:2022, A.12.2.1; PCI DSS v4.0, п. 5.1; НБУ Постанова №95
7. Регулярні оновлення і патчі	Оновлення програмного забезпечення та систем безпеки в DMZ повинні проводитися регулярно для захисту від нових загроз.	ISO 27002:2022, 12.5.1; PCI DSS v4.0, п. 6.2; Кращі практики Cisco, Microsoft
8. Процедури аварійного відновлення	Впровадження та тестування планів аварійного відновлення для серверів і пристроїв у DMZ.	ISO 27001:2022, A.17.1.2; PCI DSS v4.0, п. 11.1; НБУ Постанова №243
9. Оцінка ефективності заходів безпеки	Регулярно проводити аудит безпеки та тестування заходів захисту DMZ для забезпечення їх ефективності.	ISO 27001:2022, A.18.2.3; PCI DSS v4.0, п. 12.11; ТОGAF 10, ADM
10. Виявлення і реагування на інциденти	Необхідно впровадити системи для автоматичного виявлення і швидкого реагування на інциденти безпеки в DMZ.	ISO 27002:2022, 16.1.1; PCI DSS v4.0, п. 12.5; НБУ Постанова №65
11. Безпека в хмарних середовищах	При розгортанні DMZ у хмарі необхідно враховувати відповідальність між хмарним провайдером та клієнтом за захист інфраструктури. Важливо чітко розмежувати зони відповідальності.	ISO/IEC 27017:2015, п. 5.1
12. Контроль доступу до хмарних ресурсів	Всі адміністратори і користувачі з доступом до хмарних ресурсів, пов'язаних з DMZ, повинні мати відповідні ролі і права, з акцентом на мінімізацію прав доступу.	ISO/IEC 27017:2015, п. 9.4
13. Захист персональних даних у хмарі	Якщо DMZ обробляє персональні дані, необхідно застосовувати додаткові заходи для захисту таких даних, зокрема шифрування та контроль доступу.	ISO/IEC 27018:2019, п. 4.1; Закон України "Про захист персональних даних"
14. Шифрування даних у хмарі	Всі дані, які передаються через DMZ в хмарних середовищах, повинні бути зашифровані на рівні мережевих передач та зберігання.	ISO/IEC 27018:2019, п. 5.2.1
15. Виявлення та реагування на інциденти у хмарі	Необхідно забезпечити наявність інструментів для виявлення інцидентів безпеки в хмарному середовищі, зокрема в зоні DMZ, та швидке реагування на них.	ISO/IEC 27017:2015, п. 16.1
16. Моніторинг та аудит хмарних середовищ	Регулярний моніторинг подій у DMZ та хмарі має проводитися для оцінки ефективності заходів безпеки, зокрема в межах процесу аудиту.	ISO/IEC 27017:2015, п. 12.4
17. Інформування про інциденти з персональними даними	У разі виявлення інцидентів, пов'язаних з персональними даними у DMZ, необхідно мати механізми для швидкого інформування про це відповідальних осіб.	ISO/IEC 27018:2019, п. 9.1

Примітки:

ISO/IEC 27017:2015 надає додаткові рекомендації щодо безпеки в хмарних середовищах, зокрема для забезпечення безпеки DMZ в хмарі.
ISO/IEC 27018:2019 фокусується на захисті персональних даних, що є критичним при обробці таких даних у хмарних інфраструктурах.

Примітки:

Посилання на конкретні пункти стандартів та нормативних актів надають рекомендації для впровадження вимог.
Кращі практики Cisco, Fortinet, Microsoft враховують методи захисту мережевого периметру, управління доступом та хмарних інфраструктур.

Кращі практики Cisco:

Cisco Safe Architecture:
- Розподіл мережевих зон: Рекомендується чітко відокремлювати критичні ресурси (внутрішня мережа) від зовнішніх (Інтернет) за допомогою DMZ. Роль DMZ — забезпечити захищений шлюз для публічно доступних ресурсів.
  - Джерело: Cisco SAFE Design Guide.
Cisco Next-Generation Firewalls (NGFW):
- Додаткові механізми захисту: Використання систем глибокого аналізу трафіку, виявлення вторгнень (IDS/IPS) та фільтрації шкідливого ПЗ у трафіку через DMZ.
  - Джерело: Cisco Firepower NGFW Best Practices.
Сегментація за допомогою ACL (Access Control Lists):
- Контроль доступу між зонами: Використання ACL для точного контролю доступу між різними мережевими зонами, такими як внутрішня мережа, DMZ та Інтернет.
  - Джерело: Cisco ASA Firewall Configuration Guide.

Кращі практики Fortinet:

Fortinet Security Fabric:
- Інтегрований моніторинг та видимість: Використання платформи для централізованого управління та моніторингу мережевих пристроїв у різних зонах, включаючи DMZ, для швидкого виявлення та реагування на загрози.
  - Джерело: Fortinet Security Fabric Best Practices.
FortiGate Firewall:
- Застосування політик безпеки: Використання гнучких політик безпеки для контролю трафіку в DMZ з акцентом на мінімізацію доступу до внутрішньої мережі та використання зон захисту для різних рівнів сегментації.
  - Джерело: FortiGate NGFW Best Practices.
Захист від DDoS-атак:
- Фільтрація та захист DMZ від DDoS-атак: Використання технологій Fortinet для виявлення та блокування атак на рівні DMZ, щоб запобігти перевантаженню серверів і доступних з Інтернету ресурсів.
  - Джерело: Fortinet DDoS Protection Best Practices.

Кращі практики Microsoft:

Azure Security Center:
- Моніторинг та реагування в хмарних середовищах: У разі розгортання ресурсів у хмарі Microsoft рекомендує інтеграцію DMZ з Azure Security Center для проактивного виявлення загроз та управління вразливостями.
  - Джерело: Microsoft Azure Security Center Best Practices.
Active Directory (AD) та Azure AD:
- Управління доступом через AD: Використання ролей та груп доступу для чіткого контролю, хто має права на доступ до ресурсів у DMZ. Рекомендується використовувати двофакторну аутентифікацію (MFA) для додаткового захисту.
  - Джерело: Microsoft AD Security Best Practices.
Windows Defender Advanced Threat Protection (ATP):
- Виявлення загроз і захист від шкідливого ПЗ: Впровадження Windows Defender ATP на серверах у DMZ для виявлення та блокування потенційних загроз на основі поведінкових аналізів і захисту в реальному часі.
  - Джерело: Microsoft Windows Defender ATP Best Practices.

🪟 На стартову сторінку

Щоб впроваджувати безпечні, надійні та ефективні хмарні сервіси, а також управляти ними відповідно до міжнародних вимог та кращих практик, нижче наведений перелік основних стандартів ISO/IEC:

1. ISO/IEC 17788:2014 — Інформаційні технології – Хмарні обчислення – Огляд та словник

Цей стандарт надає визначення ключових понять хмарних обчислень, таких як моделі надання послуг (SaaS, PaaS, IaaS) та моделі розгортання (публічна, приватна, гібридна хмара). Він забезпечує єдину термінологію для розробників і користувачів хмарних рішень.

2. ISO/IEC 17789:2014 — Архітектура хмарних обчислень

Стандарт описує архітектурну модель хмарних обчислень і рольові моделі. Він окреслює основні компоненти, взаємодії та функції, необхідні для належного управління хмарними послугами.

3. ISO/IEC 27017:2015 — Інформаційні технології – Методи забезпечення безпеки – Керівництво з безпеки для хмарних обчислень

Цей стандарт надає рекомендації щодо захисту інформації у хмарних середовищах, зокрема щодо конфіденційності, доступу до даних та управління ризиками.

4. ISO/IEC 27018:2019 — Захист персональних даних у хмарних обчисленнях

Він доповнює ISO/IEC 27001 та 27002, фокусуючись на захисті персональних даних в умовах хмарних обчислень. Стандарт описує заходи для забезпечення конфіденційності та відповідності вимогам до персональних даних.

5. ISO/IEC 19086 — Угоди про рівень надання послуг (SLA) для хмарних обчислень

Частина 1: Загальні концепції та структура — визначає загальні принципи створення та управління SLA.
Частина 2: Метрики рівня обслуговування — надає інструкції щодо метрик, які використовуються для оцінки якості хмарних сервісів.
Частина 3: Основні вимоги до SLA — описує основні вимоги, яким повинні відповідати SLA.
Частина 4: Метрики безпеки — описує метрики, що пов'язані із забезпеченням безпеки в угодах SLA.

6. ISO/IEC 27001 — Система управління інформаційною безпекою (ISMS)

Цей стандарт не є специфічним для хмарних технологій, але є важливим для управління інформаційною безпекою в хмарних середовищах. Він визначає вимоги до захисту інформаційних активів, що можуть бути застосовані до хмарних обчислень.

7. ISO/IEC 38500 — Корпоративне управління ІТ

Хоча цей стандарт загалом стосується корпоративного управління ІТ, його принципи можуть бути застосовані і до управління хмарними обчисленнями, зокрема щодо відповідальності, стратегії та забезпечення контролю.

🪟 На стартову сторінку

З початку жовтня 2024 року користувачі безплатної версії Teamviewer будуть мати змогу користуватися новим інтерфейсом.

🪟 На стартову сторінку

Разом ці дві моделі надають повний огляд кіберзагроз і допомагають організаціям не тільки розуміти дії атакуючих, але й розробляти ефективні контрзаходи.

MITRE ATT&CK та MITRE D3FEND — це два різні, але взаємопов'язані фреймворки, створені для аналізу кіберзагроз і захисту від них. Вони мають різні цілі, і їхні ключові відмінності можна описати так:

1. MITRE ATT&CK

Мета: Описує дії зловмисників. ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — це таксономія тактик і технік, які використовують атакуючі на різних етапах кібератак.
Зміст: ATT&CK містить тактики (наприклад, початок атаки, підтримання доступу, ексфільтрація даних) та техніки (конкретні методи, такі як фішинг або використання шкідливого ПЗ), що допомагають досягати цих тактик.
Структура: ATT&CK представлений у вигляді матриці, де стовпці — це тактики, а рядки — техніки атак.
Застосування: ATT&CK використовується для моделювання атак і аналізу вже здійснених атак, щоб зрозуміти, які тактики і техніки були використані. Це допомагає організаціям передбачити наступні кроки атакуючих і посилити захисні заходи.

2. MITRE D3FEND

Мета: Описує захисні контрзаходи. D3FEND — це фреймворк, який зосереджений на методах захисту від атак, що протистоять технікам, описаним у ATT&CK.
Зміст: D3FEND класифікує методи захисту (наприклад, моніторинг мережі, аналіз поведінки, контроль доступу) і прив'язує їх до конкретних технік атак із ATT&CK.
Структура: D3FEND також має структуру таксономії захисних дій, згрупованих за категоріями (виявлення, запобігання, блокування) і пов'язаних з конкретними техніками атак.
Застосування: D3FEND використовується для розробки і аналізу захисних заходів в організації, допомагаючи визначити, які техніки можуть допомогти запобігти або пом'якшити дії зловмисників, описані в ATT&CK.

Основні відмінності

Фокус: ATT&CK описує дії атакуючих, тоді як D3FEND зосереджується на захисних заходах.
Структура: ATT&CK — це матриця технік атак, а D3FEND — карта захисних дій.
Застосування: ATT&CK корисний для моделювання і аналізу загроз, а D3FEND — для розробки тактик захисту і їх зіставлення з техніками атак.

Примітка

D3FEND — це ініціатива, розроблена Агентством національної безпеки США (NSA) у співпраці з MITRE для покращення захисту кіберпростору. Назва є комбінацією слова "defend" (захищати) та цифри "3", яка символізує фокус на тристоронню взаємодію між технологіями, методами захисту та архітектурними рішеннями в кібербезпеці.

D3FEND слугує таксономією та базою знань для методів захисту від кібератак. Вона підтримує MITRE ATT&CK, надаючи оборонні методи, які відповідають конкретним технікам атак.

D3FEND зазвичай вимовляється як "дефенд" (англійське слово defend, що означає "захищати"). Цифра "3" використовується для стилізації назви, але на вимову вона не впливає.

На стартову сторінку

Картинка из 🪟 Типичный Сисадмин

Откиньтесь на спинку стула, покурите, попейте кофе, сходите домой и на работу, вернитесь из отпуска...
Пожалуй, ничего не изменилось.
Особенно, радует, когда обновы ставятся перед совещанием и ты такой весь в поту: счас-счас-счас-ну, давай же быстрее!!! 😁

🪟 На стартову сторінку

Realistic Car Animation Tutorial + Free blender file

Watch on YouTube

Free file
https://drive.google.com/file/d/1D-pf...
Rigacar Empty Name
Name-body
Name-wheel.Ft.L
Name-wheel.Bk.L
Name-wheel.Ft.R
Name-wheel.Bk.R
Name-wheelbrake.Ft.L
Name-wheelbrake.Bk.L
Name-wheelbrake.Ft.R
Name-wheelbrake.Bk.R

Time Code
0:00 - Begining
0:47 - Importing the car
1:03 - About choosing the 3d model
1:56 - Back to the Brabus/Materials
3:18 - About carpaint
4:18 - Artefact
5:28 - Artefact is fixed
8:40 - About tires
10:17 - Rigacar Addon
13:07 - Environment
17:30 - Adding a Path
19:15 - Adding a Camera
20:40 - Completing a HighWay Scene
21:34 - First Shot/Adding Reaction to the Road
30:00 - The Result
30:31 - Finishing Touches
30:56 - Little Compositing
31:13 - Last Stage - Rendering

Mersedes-benz_s-class_w223_brabus_850 by nisarashariff24 on Sketchfab

💻 На стартову сторінку

Microsoft 365, Office 365, Enterprise Mobility + Security, and Windows 11 Subscriptions

Джерело:

https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/modern-work-plan-comparison---enterprise-2-2024-08-01.pdf

💻 На стартову сторінку

Приклад

Концепція інформаційної безпеки фінансової установи

1. Загальні положення

Ця концепція визначає підходи до забезпечення інформаційної безпеки в фінансовій установі з метою захисту інформаційних активів від можливих загроз і ризиків. Вона враховує специфіку фінансового сектору та міжнародні стандарти, зокрема ISO/IEC 27001:2022 та вимоги регуляторних органів (Національний банк України, GDPR тощо).
( Read more... )

Посилання на кращі практики

Концепція інформаційної безпеки фінансової установи

1. Загальні положення

Ця концепція визначає підходи до забезпечення інформаційної безпеки у фінансовій установі з метою захисту інформаційних активів від можливих загроз і ризиків. Вона враховує специфіку фінансового сектору та міжнародні стандарти, зокрема ISO/IEC 27001:2022, PCI DSS, а також нормативні вимоги регуляторних органів, таких як Національний банк України (НБУ) та інші закони України.
( Read more... )

💻 На стартову сторінку

Приклад

Концепція інформаційної безпеки (ІБ) для фінансової установи — це стратегічний документ, що визначає принципи, підходи, і засоби забезпечення захисту інформаційних активів організації. Цей документ має відповідати міжнародним стандартам, таким як ISO 27001:2022, TOGAF 10, а також враховувати чинне законодавство України, зокрема Закон України "Про захист інформації в інформаційно-телекомунікаційних системах", "Про електронні довірчі послуги" та інші нормативно-правові акти.

1. Вступ

1.1. Мета документа
1.2. Сфера застосування
1.3. Визначення термінів та скорочень

2. Загальні положення

2.1. Нормативно-правове регулювання
2.2. Основні принципи інформаційної безпеки
2.3. Основні загрози інформаційній безпеці
2.4. Визначення відповідальності за забезпечення ІБ

3. Мета та завдання інформаційної безпеки

3.1. Захист конфіденційності, цілісності та доступності інформаційних активів
3.2. Вимоги до управління ризиками інформаційної безпеки
3.3. Дотримання нормативних вимог і стандартів

4. Архітектура інформаційної безпеки

4.1. Інтеграція з TOGAF 10 - Використання TOGAF 10 для формування архітектури інформаційної безпеки. - Визначення доменів безпеки в рамках архітектурного підходу.
4.2. Використання ISO 27001:2022 для структурування політик ІБ - Основні етапи впровадження системи управління інформаційною безпекою (СУІБ) за стандартом ISO 27001:2022. - Впровадження контролів, визначених у додатку A стандарту.
4.3. Оцінка ефективності СУІБ (розділ 9.1 ISO 27001:2022) - Процедури моніторингу, вимірювання, аналізу та оцінки ефективності СУІБ.
4.4. Управління фізичними та технічними ресурсами (розділ 8.1 ISO 27001:2022) - Вимоги до захисту приміщень, технічних засобів та засобів комунікації.

5. Захист інформаційних активів

5.1. Визначення та класифікація інформаційних активів
5.2. Розробка та впровадження політик і процедур захисту - Політики захисту даних, управління доступом, шифрування, аудит.
5.3. Управління інцидентами інформаційної безпеки - Вимоги до процесів виявлення, реєстрації та реагування на інциденти.
5.4. Вимоги до забезпечення безперервності бізнесу

6. Організаційна структура управління інформаційною безпекою

6.1. Визначення ролей та відповідальності - Відповідальність керівництва, CISO, команди з ІБ.
6.2. Вимоги до навчання та підвищення обізнаності
6.3. Взаємодія з державними органами та регуляторами

7. Контроль та аудит інформаційної безпеки

7.1. Внутрішні аудити
7.2. Зовнішні перевірки та сертифікація
7.3. Документування та звітність

8. Заключні положення

8.1. Порядок перегляду та оновлення Концепції
8.2. Вимоги до звітності та контролю виконання

Посилання на нормативні документи:

ISO 27001:2022 — Стандарт інформаційної безпеки, що визначає вимоги до СУІБ.
TOGAF 10 — Стандарт архітектурного фреймворку, що визначає підходи до побудови архітектури підприємства, включаючи інформаційну безпеку.
Закон України "Про захист інформації в інформаційно-телекомунікаційних системах" — регулює захист інформації в Україні.
Закон України "Про електронні довірчі послуги" — регулює порядок надання електронних довірчих послуг та захисту даних у цифровому середовищі.

Для подальшої розробки концепції необхідно детальніше розглянути вимоги кожного з зазначених стандартів та законів, а також їхню інтеграцію у конкретні процеси та політики фінансової установи.

💻 На стартову сторінку

Таксономія документів Системи управління інформаційної безпеки відповідно до стандарту ISO 27001:2022

У стандарті ISO 27001:2022 йдеться про кілька ключових процесів управління інформаційною безпекою (ІБ), які слід впроваджувати для досягнення відповідності. Основні процеси включають:

Оцінка ризиків: Процес ідентифікації, оцінки та управління ризиками для забезпечення належного рівня інформаційної безпеки.
Управління інцидентами: Процес виявлення, реагування та відновлення після інцидентів, що впливають на інформаційну безпеку.
Управління змінами: Процес для планування, здійснення та документування змін в ІТ-системах та середовищі інформаційної безпеки.
Управління активами: Процес реєстрації та управління інформаційними активами, їх захисту та обліку.
Контроль доступу: Процес забезпечення належного доступу до інформаційних ресурсів, включаючи визначення прав доступу та контролю.
Управління постачальниками: Процес забезпечення безпеки при роботі з постачальниками та зовнішніми контрагентами.
Управління документацією та записами: Процес створення, зберігання, оновлення та знищення документів і записів.
Навчання та підвищення обізнаності: Процес навчання співробітників і підвищення їх обізнаності в області інформаційної безпеки.
Оцінка відповідності: Процес перевірки відповідності інформаційної безпеки вимогам політик, стандартів та регуляторних вимог.
Аудити: Процес проведення внутрішніх і зовнішніх аудитів для перевірки відповідності стандартам і ефективності системи управління інформаційною безпекою.
Управління фізичними та технічними ресурсами: Процес забезпечення фізичного захисту інформаційних ресурсів і технічних засобів.
Оцінка ефективності системи управління інформаційною безпекою: Включає процеси для проведення внутрішніх аудитів і управлінських оглядів.

Ці процеси є частинами системи управління інформаційною безпекою (ISMS), яка забезпечує захист інформаційних активів та підтримує відповідність стандарту.

Приклади документів до процесів, визначених в стандарті ISO 27001:2022

Категорія	Документи	Опис
1. Політики	Політика інформаційної безпеки	Описує загальні принципи та наміри щодо захисту інформації.
	Політика контролю доступу	Визначає правила та процедури контролю доступу до інформаційних ресурсів.
	Політика управління ризиками	Визначає підходи до ідентифікації, оцінки та управління ризиками.
	Політика безпеки мереж	Описує вимоги до захисту мережевої інфраструктури та комунікацій.
	Політика безпеки фізичних і технічних ресурсів	Визначає вимоги до фізичного захисту ІТ-інфраструктури.
	Політика безпеки для використання мобільних пристроїв	Регулює безпеку мобільних пристроїв та їх використання.
	Політика управління постачальниками	Описує вимоги до безпеки при роботі з постачальниками та зовнішніми контрагентами.
	Політика збереження конфіденційності	Визначає принципи та правила для забезпечення конфіденційності особистих та корпоративних даних.
	Політика управління відповідністю	Описує підходи до забезпечення відповідності вимогам стандартів, законодавства та інших регуляторних актів.
2. Процедури	Процедура управління інцидентами інформаційної безпеки	Описує процеси для виявлення, реагування та відновлення після інцидентів.
	Процедура резервного копіювання та відновлення	Визначає методи резервного копіювання даних та їх відновлення у разі втрати.
	Процедура управління змінами	Регулює процеси для планування, здійснення та документування змін в ІТ-системах.
	Процедура управління життєвим циклом ІТ-систем	Описує процеси та практики для управління ІТ-системами від впровадження до виведення з експлуатації.
	Процедура оцінки відповідності	Визначає методи перевірки відповідності політикам та стандартам інформаційної безпеки.
	Процедура управління доступом до фізичних ресурсів	Описує контроль доступу до фізичних приміщень та обладнання.
	Процедура перевірки безпеки програмного забезпечення	Визначає методи перевірки безпеки програмного забезпечення, включаючи вразливості та оновлення.
	Процедура управління документами та записами	Описує правила для створення, зберігання, оновлення та знищення документів і записів.
	Процедура проведення аудитів	Визначає методи і підходи до проведення внутрішніх і зовнішніх аудитів системи управління інформаційною безпекою.
	Процедура реєстрації активів	Описує процеси і вимоги для реєстрації та управління інформаційними активами.
3. Інструкції	Інструкція з роботи з системою контролю доступу	Описує конкретні кроки для налаштування та управління доступом.
	Інструкція з роботи з системами резервного копіювання	Описує процеси для виконання резервного копіювання та відновлення даних.
	Інструкція для персоналу з реагування на інциденти	Визначає конкретні дії для співробітників при виявленні інцидентів інформаційної безпеки.
	Інструкція з перевірки безпеки програмного забезпечення	Описує деталі перевірки та оновлення програмного забезпечення для забезпечення безпеки.
4. Метрики	Метрики ефективності контролю доступу	Показники для оцінки ефективності системи контролю доступу.
	Метрики успішності резервного копіювання	Показники для оцінки ефективності процесу резервного копіювання та відновлення даних.
	Метрики управління інцидентами	Показники для оцінки швидкості та ефективності реагування на інциденти.
	Метрики управління ризиками	Показники для оцінки процесу управління ризиками та виявлених ризиків.
5. Планування	План управління інформаційною безпекою	Визначає плани реалізації політик та процедур інформаційної безпеки.
	План управління кризовими ситуаціями	Описує стратегії для подолання кризових ситуацій, що впливають на інформаційну безпеку.
	План реагування на інциденти	Описує деталі для організації та виконання заходів у випадку інцидентів інформаційної безпеки.
6. Реєстрації	Реєстрація інцидентів інформаційної безпеки	Документи, що відображають усі зареєстровані інциденти та їх деталі.
	Реєстрація ризиків	Документує всі виявлені ризики та їх оцінки.
	Реєстрація активів	Документує всі інформаційні активи, їх місцезнаходження і відповідальних осіб.
7. Звіти	Звіт про внутрішні аудити	Документи, що містять результати внутрішніх аудиторських перевірок інформаційної безпеки.
	Звіт про управлінські огляди	Описує результати перегляду та оцінки ефективності системи управління інформаційною безпекою.
	Звіт про оцінку ризиків	Описує результати оцінки ризиків та рекомендації для їх управління.
8. Інші документи	Документи навчання та обізнаності	Описують програми навчання для підвищення обізнаності персоналу щодо інформаційної безпеки.
	Договори та угоди з постачальниками	Документи, що регулюють умови співпраці з постачальниками у контексті інформаційної безпеки.
	Плани тестування безпеки	Включають плани для регулярного тестування систем на вразливості.
	Оцінки впливу на конфіденційність (PIAs)	Документи, що описують процеси оцінки впливу проектів на конфіденційність даних.

💻 На стартову сторінку

Терміни і визначення, які використовуються у ISO 27001:2022

У стандарті ISO/IEC 27001:2022 використовується низка термінів і визначень, які є ключовими для розуміння і впровадження системи управління інформаційною безпекою (СУІБ).

Стандарт ISO/IEC 27001:2022 містить детальний перелік термінів і визначень, які є критично важливими для розуміння вимог і ефективного впровадження системи управління інформаційною безпекою (СУІБ). Нижче наведено основні терміни та визначення, що використовуються у цьому стандарті:

Основні терміни та визначення в ISO/IEC 27001:2022:

Актив (Asset): Ресурс або інформація, що має цінність для організації.
Загроза (Threat): Потенційне джерело небезпеки для активу, яке може спричинити порушення інформаційної безпеки.
Уразливість (Vulnerability): Слабке місце або недолік, яке може бути використане для реалізації загрози.
Інцидент інформаційної безпеки (Information security incident): Подія або серія подій, які можуть призвести до порушення конфіденційності, цілісності або доступності активів.
Ризик інформаційної безпеки (Information security risk): Поєднання ймовірності реалізації загрози та її наслідків для організації.
Контроль (Control): Міра або механізм, що застосовується для зменшення ризиків або досягнення цілей інформаційної безпеки.
Система управління інформаційною безпекою (СУІБ) (Information Security Management System, ISMS): Частина загальної системи управління, яка включає політики, процеси, процедури, рекомендації та ресурси, що використовуються для досягнення та підтримання інформаційної безпеки.
Політика інформаційної безпеки (Information security policy): Документ, що визначає зобов’язання організації щодо інформаційної безпеки, її цілі та підходи до управління інформаційними активами.
Актор загрози (Threat actor): Особа або організація, яка може здійснити загрозу, наприклад, зловмисник або природний фактор.
Ризик (Risk): Вплив невизначеності на цілі, що може мати як позитивні, так і негативні наслідки.
Захист даних (Data protection): Засоби та заходи, які організація застосовує для захисту інформаційних активів від несанкціонованого доступу, використання, розголошення, зміни або знищення.
Конфіденційність (Confidentiality): Властивість забезпечення доступу до інформації лише тим особам, які мають на це право.
Цілісність (Integrity): Властивість забезпечення точності, повноти та достовірності інформації.
Доступність (Availability): Властивість інформаційних активів бути доступними для використання авторизованими особами у потрібний момент.
Інформаційний актив (Information asset): Будь-яка інформація або ресурс, що має цінність для організації, включаючи електронні та паперові дані, програмне забезпечення, бази даних, системи та мережі.
Оцінка ризиків (Risk assessment): Процес виявлення, аналізу і оцінки ризиків для інформаційних активів.
Управління ризиками (Risk management): Процес визначення та застосування заходів для мінімізації, контролю або перенесення ризиків інформаційної безпеки.
Залишковий ризик (Residual risk): Ризик, який залишається після застосування заходів контролю.
Стороння організація (External party): Організація або особа, що не входить до структури компанії, але може взаємодіяти з її інформаційними активами.
Аудит інформаційної безпеки (Information security audit): Незалежна перевірка та оцінка відповідності процесів і заходів інформаційної безпеки вимогам стандарту.
Інформаційна безпека (Information security): Захист інформаційних активів від загроз, спрямованих на порушення їхньої конфіденційності, цілісності або доступності.
Інформаційна система (Information system): Сукупність взаємозалежних компонентів, що використовуються для збору, обробки, зберігання та поширення інформації.
Безперервність бізнесу (Business continuity): Здатність організації забезпечувати продовження критично важливих бізнес-функцій під час інцидентів.
Шифрування (Encryption): Процес перетворення інформації у форму, недоступну для несанкціонованих користувачів.
Управління доступом (Access control): Процедури і технології, які забезпечують доступ до інформаційних активів лише авторизованим користувачам.

Ці терміни є фундаментальними для розуміння підходів до управління інформаційною безпекою та забезпечення відповідності вимогам стандарту ISO/IEC 27001:2022.

💻 На стартову сторінку

ISO/IEC 27001:2022 отличается от ISO/IEC 27001:2015 несколькими важными изменениями и улучшениями.
Ключевые различия

Обновление Приложения A (контроли):
- Основное изменение касается Приложения A, где перечень контролей был пересмотрен и актуализирован.
- В новой версии количество контролей сократилось с 114 до 93. Они теперь распределены по 4 категориям вместо 14: организационные меры, меры для защиты людей, меры по защите технологической инфраструктуры, меры по управлению физической средой.
- Были добавлены новые контроли, такие как "управление угрозами" и "управление конфиденциальностью данных".
Фокус на адаптивность и устойчивость:
- В новой версии больший акцент сделан на управлении рисками и устойчивостью информационной безопасности, что включает управление инцидентами и возможность адаптации к новым угрозам и изменениям.
Более гибкий подход к документации:
- ISO/IEC 27001:2022 делает упор на необходимость вести документацию, но при этом оставляет организациям больше свободы в выборе того, как именно она будет вестись.
Обновления терминологии и структуры:
- Введены обновления в терминологию, чтобы обеспечить большую ясность и соответствие современным требованиям к информационной безопасности.
- Некоторые разделы стандарта были пересмотрены и переформатированы, чтобы улучшить их понимание и применение на практике.
Процесс сертификации:
- Переход с ISO/IEC 27001:2015 на ISO/IEC 27001:2022 требует пересмотра системы управления информационной безопасностью (СУИБ) организации, чтобы она соответствовала новым требованиям.

Эти изменения отражают текущие вызовы в области информационной безопасности и адаптируют стандарт к современным условиям и требованиям.

В стандарте ISO/IEC 27001:2022 контроли в Приложении A разделены на 4 категории, каждая из которых охватывает разные аспекты управления информационной безопасностью.

Приложении A. Подробное описание категорий

1. Организационные меры (Organizational controls)

Эта категория включает контроли, связанные с управлением и организацией процессов информационной безопасности внутри компании. Они направлены на обеспечение правильного подхода к управлению информационной безопасностью и включают такие аспекты, как:

Управление политиками безопасности: разработка, внедрение и поддержка политик информационной безопасности.
Роли и обязанности: определение ролей и ответственности сотрудников в области информационной безопасности.
Управление рисками: идентификация, оценка и управление рисками, связанными с информационной безопасностью.
Управление ресурсами: эффективное распределение и использование ресурсов для обеспечения информационной безопасности.

2. Меры для защиты людей (People controls)

Эта категория включает контроли, направленные на защиту людей, работающих с информационными активами, и обеспечение их осведомленности и готовности к соблюдению правил безопасности. Основные контроли включают:

Обучение и осведомленность: программы обучения сотрудников основам информационной безопасности.
Проверка на благонадежность: проверка новых сотрудников на благонадежность перед началом работы с критичными информационными активами.
Управление инцидентами с персоналом: реагирование на инциденты, связанные с человеческими факторами, такими как внутренние угрозы.

3. Меры по защите технологической инфраструктуры (Technological controls)

Эта категория охватывает контроли, связанные с техническими аспектами защиты информационных активов, включая защиту систем, сетей и данных. Включает такие меры, как:

Управление доступом: контроль доступа к системам и данным для предотвращения несанкционированного использования.
Шифрование данных: использование шифрования для защиты конфиденциальной информации.
Управление уязвимостями: выявление, оценка и устранение уязвимостей в системах и приложениях.
Управление безопасностью сетей: защита сетевой инфраструктуры от угроз, таких как атаки DDoS или вредоносное ПО.

4. Меры по управлению физической средой (Physical controls)

Эта категория включает контроли, направленные на защиту физических активов и среды, в которой обрабатываются информационные активы. Включает следующие аспекты:

Физическая безопасность объектов: контроль доступа к помещениям, где хранятся или обрабатываются критические информационные активы.
Охрана и контроль за помещениями: использование систем видеонаблюдения, сигнализации и других мер для защиты объектов.
Защита от стихийных бедствий: меры для защиты объектов от природных угроз, таких как пожары, наводнения и землетрясения.
Управление физическими носителями: контроль за хранением, перемещением и уничтожением физических носителей информации (например, бумажных документов или жестких дисков).

Эти категории помогают структурировать подходы к информационной безопасности, учитывая не только технические аспекты, но и организационные, человеческие и физические факторы.

Обновления терминологии в стандарте ISO/IEC 27001:2022 направлены на улучшение ясности, соответствие современным тенденциям в области информационной безопасности и более точное отражение концепций и процессов.

Информация о ключевых изменениях в терминологии

1. Изменение терминов и определений

Некоторые термины были пересмотрены для улучшения их понимания и согласования с другими международными стандартами. Примеры:

"Цель управления" (Control objective) была заменена на "Управленческую цель" (Management objective), чтобы подчеркнуть связь с управленческими процессами и целями организации, а не только с мерами безопасности.
Термин "Риск" (Risk) стал более широко применяться с учетом различных контекстов, охватывающих не только информационные, но и бизнес-риски.

2. Введение новых понятий

Новые понятия и термины введены для отражения современных подходов к управлению информационной безопасностью:

"Устойчивость" (Resilience): термин подчеркивает способность организации поддерживать свою деятельность на должном уровне, несмотря на потенциальные инциденты или атаки.
"Управление угрозами" (Threat management): введен для описания процессов идентификации и противодействия новым и развивающимся угрозам, включая кибератаки и внутренние угрозы.
"Конфиденциальность данных" (Data privacy): термин стал важным в контексте защиты персональных данных и выполнения требований законодательств, таких как GDPR.

3. Уточнение и расширение значений существующих терминов

Некоторые существующие термины были уточнены и дополнены, чтобы лучше отражать их значение в текущих условиях:

"Инцидент безопасности" (Security incident): расширено значение термина, включив в него более широкий спектр возможных инцидентов, таких как утечка данных, компрометация конфиденциальности, сбой работы систем.
"Управление активами" (Asset management): уточнен, чтобы подчеркнуть важность не только технических активов, но и данных, знаний и других нематериальных активов.

4. Согласование с другими стандартами

Терминология ISO/IEC 27001:2022 согласована с другими стандартами серии ISO и международными нормативными актами:

Согласование с ISO 31000 (Управление рисками): термины, связанные с рисками, были пересмотрены, чтобы соответствовать подходам и определениям, приведенным в стандарте ISO 31000.
Интеграция с GDPR и другими законами о защите данных: термины, касающиеся конфиденциальности и защиты данных, приведены в соответствие с требованиями международных и региональных законодательств, таких как GDPR.

5. Обновление иерархии и структуры терминов

В новой версии стандарта также пересмотрена структура и иерархия терминов для лучшего понимания взаимосвязей между ними. Например, категории и подкатегории контролей были реорганизованы, чтобы сделать их более логичными и удобными для внедрения в различных организациях.

Эти обновления терминологии помогают лучше адаптировать стандарт к современным вызовам в области информационной безопасности, делая его более понятным и удобным для применения на практике.

💻 На стартову сторінку

Яку інформацію треба зібрати під час інвентаризації інформаційних активів (ІА) згідно з рекомендаціями стандарту ISO 27001:2022

Під час підготовки листа опитування завжди постає питання: що треба відобразити у листі опитування для визначення переліку інформаційних активів?

Для визначення переліку інформаційних активів за допомогою опитування, варто включити такі питання, щоб отримати повну інформацію про активи, які є в розпорядженні підрозділів або окремих співробітників:

Основні дані про актив
- Назва активу: Яке найменування чи ідентифікатор використовується для цього активу?
- Тип активу: До якого типу належить актив (апаратне забезпечення, програмне забезпечення, дані, документи, люди, мережеві ресурси тощо)?
- Короткий опис активу: Яка основна функція або призначення цього активу?
- Місцезнаходження активу: Де фізично або віртуально розташований цей актив?
Власність та відповідальність
- Власник активу: Хто відповідальний за управління цим активом?
- Користувачі активу: Хто має доступ або використовує цей актив?
Цінність та критичність
- Важливість активу: Наскільки критичним є цей актив для виконання бізнес-процесів або підтримки операцій організації?
- Інформаційна класифікація: До якої категорії конфіденційності або важливості належить інформація, що міститься в цьому активі (конфіденційна, внутрішня, публічна)?
Безпека та захист
- Існуючі заходи захисту: Які заходи безпеки використовуються для захисту цього активу?
- Потенційні загрози: Які основні ризики чи загрози можуть вплинути на безпеку цього активу?
Життєвий цикл активу
- Дата придбання чи створення: Коли було придбано або створено цей актив?
- Строк служби: Який очікуваний період використання цього активу?
Законодавчі та регуляторні вимоги
- Вимоги до зберігання та обробки: Чи підлягає цей актив спеціальним законодавчим або регуляторним вимогам?
Вартість та витрати
- Оцінка вартості активу: Яка приблизна вартість цього активу?
- Витрати на утримання: Які основні витрати пов'язані з підтримкою чи експлуатацією цього активу?
Залежності
- Залежності від інших активів: Чи залежить цей актив від інших активів для функціонування?

Ці питання допоможуть зібрати детальну інформацію про інформаційні активи, що є необхідною для їхнього подальшого управління та захисту відповідно до стандарту ISO 27001:2022.

Таблиця з питаннями для листа опитування з метою визначення переліку інформаційних активів

№	Категорія	№	Питання
1	Основні дані про актив	1.1	Назва активу: Яке найменування чи ідентифікатор використовується для цього активу?
		1.2	Тип активу: До якого типу належить актив (апаратне забезпечення, програмне забезпечення тощо)?
		1.3	Короткий опис активу: Яка основна функція або призначення цього активу?
		1.4	Місцезнаходження активу: Де фізично або віртуально розташований цей актив?
2	Власність та відповідальність	2.1	Власник активу: Хто відповідальний за управління цим активом?
		2.2	Користувачі активу: Хто має доступ або використовує цей актив?
3	Цінність та критичність	3.1	Важливість активу: Наскільки критичним є цей актив для бізнес-процесів або операцій?
		3.2	Інформаційна класифікація: До якої категорії конфіденційності або важливості належить інформація?
4	Безпека та захист	4.1	Існуючі заходи захисту: Які заходи безпеки використовуються для захисту цього активу?
		4.2	Потенційні загрози: Які основні ризики чи загрози можуть вплинути на безпеку цього активу?
5	Життєвий цикл активу	5.1	Дата придбання чи створення: Коли було придбано або створено цей актив?
		5.2	Строк служби: Який очікуваний період використання цього активу?
6	Законодавчі та регуляторні вимоги	6.1	Вимоги до зберігання та обробки: Чи підлягає цей актив спеціальним законодавчим або регуляторним вимогам?
7	Вартість та витрати	7.1	Оцінка вартості активу: Яка приблизна вартість цього активу?
		7.2	Витрати на утримання: Які основні витрати пов'язані з підтримкою чи експлуатацією цього активу?
8	Залежності	8.1	Залежності від інших активів: Чи залежить цей актив від інших активів для функціонування?

💻 На стартову сторінку

Які кроки треба виконати, щоб згідно з ISO 27001:2022 виконати інвентарізацію інформаційних активів

Для виконання інвентаризації інформаційних активів згідно зі стандартом ISO 27001:2022 необхідно виконати наступні кроки:

Визначення переліку інформаційних активів:
- Ідентифікуйте всі інформаційні активи організації, які потрібно захистити. До них можуть належати апаратне забезпечення, програмне забезпечення, дані, мережі, інтелектуальна власність, документи та люди.
- Посилання на документ: ISO 27001:2022, A.8.1.1 Inventory of assets.
Категоризація та класифікація активів:
- Визначте категорії активів (наприклад, конфіденційні дані, публічні дані) та їхній рівень важливості для організації.
- Посилання на документ: ISO 27001:2022, A.8.2.1 Classification of information.
Призначення власників активів:
- Призначте відповідальних осіб за кожний актив, які будуть відповідати за управління та захист активів.
- Посилання на документ: ISO 27001:2022, A.8.1.2 Ownership of assets.
Реєстрація активів:
- Створіть централізований реєстр активів, в якому будуть зберігатися всі дані про інформаційні активи, їхні власники, місце розташування, статус та інші характеристики.
- Посилання на документ: ISO 27001:2022, A.8.1.3 Acceptable use of assets.
Оцінка ризиків, пов'язаних з активами:
- Проведіть оцінку ризиків для кожного активу, щоб визначити можливі загрози, вразливості та потенційні наслідки для організації.
- Посилання на документ: ISO 27001:2022, A.8.2 Information security risk assessment.
Моніторинг та ревізія активів:
- Регулярно перевіряйте та оновлюйте інформацію про активи для забезпечення їх актуальності та відповідності політикам безпеки.
- Посилання на документ: ISO 27001:2022, A.8.1.4 Return of assets.
Розробка політик захисту активів:
- Розробіть та впровадьте політики та процедури для захисту активів відповідно до їхньої класифікації та ризиків, які їм загрожують.
- Посилання на документ: ISO 27001:2022, A.5.1 Policies for information security.

Ці кроки допоможуть забезпечити систематичний підхід до управління інформаційними активами та підвищити рівень інформаційної безпеки в організації.

Таблиця з кроками для виконання інвентаризації інформаційних активів згідно зі стандартом ISO 27001:2022

Крок	Опис	Посилання на документ
1. Визначення переліку інформаційних активів	Ідентифікація всіх інформаційних активів організації, які потрібно захистити.	ISO 27001:2022, A.8.1.1 Inventory of assets
2. Категоризація та класифікація активів	Визначення категорій активів та їхній рівень важливості для організації.	ISO 27001:2022, A.8.2.1 Classification of information
3. Призначення власників активів	Призначення відповідальних осіб за управління та захист кожного активу.	ISO 27001:2022, A.8.1.2 Ownership of assets
4. Реєстрація активів	Створення централізованого реєстру активів, де зберігаються всі дані про активи.	ISO 27001:2022, A.8.1.3 Acceptable use of assets
5. Оцінка ризиків, пов'язаних з активами	Оцінка ризиків для кожного активу з метою виявлення можливих загроз та вразливостей.	ISO 27001:2022, A.8.2 Information security risk assessment
6. Моніторинг та ревізія активів	Регулярна перевірка та оновлення інформації про активи для забезпечення їх актуальності.	ISO 27001:2022, A.8.1.4 Return of assets
7. Розробка політик захисту активів	Розробка та впровадження політик та процедур для захисту активів.	ISO 27001:2022, A.5.1 Policies for information security

Ця таблиця допоможе систематизувати процес інвентаризації інформаційних активів відповідно до стандарту ISO 27001:2022.

💻 На стартову сторінку

CASB (Cloud Access Security Broker) — это программное решение, которое обеспечивает безопасность данных и управляет доступом к облачным сервисам. CASB помогает организациям контролировать и защищать данные, которые находятся в облаке, обеспечивая видимость использования облачных сервисов, управление политиками безопасности и защиту от угроз. Это особенно важно в условиях увеличения использования облачных приложений и сервисов.

Примеры CASB

Эти инструменты помогают организациям контролировать использование облачных сервисов, обеспечивать защиту данных и предотвращать угрозы. Некоторые популярные решения CASB включают:

Microsoft Defender for Cloud – Инструмент безопасности для облачных ресурсов с функциями CASB.
McAfee MVISION Cloud – Платформа для защиты данных и управления безопасностью облачных сервисов.
Palo Alto Networks Prisma Cloud – Обеспечивает защиту облачных приложений и данных.
Netskope – Предлагает решения для защиты данных и управления доступом к облачным ресурсам.
Symantec CloudSOC – Платформа для обеспечения безопасности облачных приложений и данных.

Квадрант Гартнера по CASB

Квадрант Гартнера (Gartner Magic Quadrant) — это популярный инструмент для оценки и сравнения различных технологий и поставщиков решений на рынке. Для CASB (Cloud Access Security Broker) Гартнер также создает свой квадрант, в котором делит компании на четыре категории:

Лидеры (Leaders): Компании с сильной способностью к выполнению и полнотой видения. Они предоставляют полный спектр функций и решений, широко признаны на рынке и имеют сильную клиентскую базу.
Челленджеры (Challengers): Компании с сильной способностью к выполнению, но с ограниченным видением. Обычно это крупные и стабильные компании, которые могут предложить надежные решения, но с ограниченным инновационным подходом.
Визионеры (Visionaries): Компании с хорошей полнотой видения, но с ограниченной способностью к выполнению. Эти компании предлагают инновационные и перспективные решения, но могут иметь ограничения в ресурсе для полной реализации своих планов.
Ниши (Niche Players): Компании с ограниченными возможностями как в видении, так и в выполнении. Обычно они фокусируются на узком сегменте рынка и могут предложить специализированные решения.

Последний Квадрант Гартнера, связанный с CASB (“Gartner Magic Quadrant CASB 2024”), теперь интегрирован в более широкий рынок Security Service Edge (SSE), который включает функции CASB, Secure Web Gateway (SWG) и Zero Trust Network Access (ZTNA). В отчете 2024 года лидерами SSE признаны такие компании, как Netskope, Zscaler и Palo Alto Networks. Эти компании предлагают комплексные решения для защиты доступа к облачным сервисам и данным.

2023

2019

💻 На стартову сторінку

ДСТУ 3008—2015 — это украинский стандарт, который устанавливает правила оформления научно-технических документов.
Этот документ содержит требования к структуре, содержанию и оформлению различных видов научных работ, таких как диссертации, дипломные работы, отчеты, статьи и другие публикации.
Основные разделы ДСТУ 3008—2015 охватывают:

Структуру документа: определение обязательных разделов, таких как титульный лист, введение, основная часть, заключение, список литературы и приложения.
Оформление текста: правила форматирования, шрифты, абзацы, отступы, нумерация страниц и разделов.
Ссылки и цитирование: требования к оформлению ссылок на использованные источники, библиографических описаний и правил цитирования.
Таблицы и иллюстрации: стандарты для оформления таблиц, графиков, схем, рисунков и других визуальных материалов.
Язык и стиль: требования к языку и стилю изложения научных работ, включая использование научной терминологии и сокращений.

Этот стандарт помогает обеспечить единообразие в оформлении научных работ и облегчить их восприятие.

Оформление текста по стандарту ДСТУ 3008—2015
включает в себя несколько аспектов, таких как форматирование текста, использование шрифтов, абзацев, заголовков и нумерации. Вот основные требования:

1. Шрифт и размер

Основной текст документа должен быть напечатан шрифтом Times New Roman.
Размер шрифта основной части текста — 14 пунктов.
Межстрочный интервал — полуторный (1.5).
Цвет текста — черный.

2. Поля

Левое поле: 30 мм.
Правое поле: 10 мм.
Верхнее и нижнее поля: по 20 мм.

3. Абзацы

Абзацный отступ должен быть равен 1,25 см.
Каждый новый абзац начинается с абзацного отступа.
Текст выравнивается по ширине страницы.

4. Нумерация страниц

Нумерация страниц начинается с титульного листа, но номер на титульной странице не проставляется.
Номера страниц проставляются в правом верхнем углу, начиная со второй страницы.
Используются арабские цифры (например, 2, 3, 4 и т.д.).

5. Заголовки

Заголовки разделов (глав, частей) пишутся прописными (заглавными) буквами, без точки в конце.
Заголовки подразделов пишутся с заглавной буквы, без точки в конце.
Если заголовок занимает несколько строк, он должен быть оформлен через одинарный межстрочный интервал.
Заголовки отделяются от предыдущего и последующего текста двумя интервалами.

6. Подзаголовки

Подзаголовки (если есть) оформляются с отступом и пишутся с заглавной буквы.
Между подзаголовком и текстом оставляется один интервал.

7. Списки

В документе могут использоваться как нумерованные, так и маркированные списки.
Для нумерованных списков применяются арабские цифры с точкой, например: 1. 2.
Для маркированных списков используются символы (например, тире «—» или точка).
Списки выравниваются по левому краю с отступом в 1 см от основного текста.

8. Курсив и полужирный шрифт

Курсив используется для выделения терминов, а также для выделения иностранных слов.
Полужирный шрифт может использоваться для выделения ключевых понятий или важных элементов текста.

9. Использование прописных и строчных букв

Прописные буквы (ЗАГЛАВНЫЕ) используются в заголовках разделов, аббревиатурах и акронимах.
Строчные буквы используются в основном тексте и подзаголовках.

10. Оформление цитат

Цитаты длиной до трех строк включаются в текст в кавычках.
Цитаты более трех строк выделяются в отдельный абзац с уменьшенным отступом, без кавычек.

11. Формулы

Формулы выравниваются по центру страницы.
Нумерация формул производится в круглых скобках справа от формулы.

12. Оформление таблиц и рисунков

Таблицы и рисунки должны иметь порядковую нумерацию и заголовок.
Заголовок таблицы размещается над таблицей, а заголовок рисунка — под рисунком.
Таблицы и рисунки выравниваются по центру страницы.

Эти правила помогают поддерживать стандартизированный и профессиональный вид научно-технических документов, обеспечивая их удобочитаемость и систематичность.

Таблицы и иллюстрации в научно-технических документах, оформляемых по стандарту ДСТУ 3008—2015,
играют важную роль в наглядном представлении информации. Вот подробные требования к их оформлению:

1. Оформление таблиц

Общие требования

Размещение: Таблицы должны располагаться непосредственно после текста, где они упоминаются впервые. Если таблица большая, её можно разместить на следующей странице, но желательно, чтобы она оставалась на одной странице целиком.
Нумерация: Все таблицы должны быть пронумерованы арабскими цифрами (например, Таблица 1, Таблица 2 и т.д.). Нумерация может быть сквозной по всему документу или внутри каждого раздела (например, Таблица 1.1 для первой таблицы в разделе 1).
Заголовок таблицы: Заголовок располагается над таблицей, по центру страницы. Слово "Таблица" и её номер указываются слева, а название таблицы — по центру (например, "Таблица 1 — Распределение населения по возрасту").
Текст в таблице: Шрифт в таблице может быть уменьшен до 12 пунктов, но он должен быть того же типа, что и основной текст (Times New Roman). Все тексты в ячейках выравниваются по центру или по левому краю, в зависимости от содержания.
Границы таблицы: Все таблицы должны быть окружены границами. Также допускается отсутствие вертикальных границ между столбцами, если это не ухудшает восприятие информации.
Примечания к таблице: Если таблица требует пояснений, под ней можно разместить примечания. Примечания оформляются шрифтом меньшего размера, например, 12 пунктов.

Структура таблицы

Заголовки столбцов и строк: Заголовки должны быть краткими и чёткими. Они должны точно отображать содержание данных, содержащихся в соответствующих столбцах или строках.
Единицы измерения: Если данные в таблице требуют указания единиц измерения, они указываются в заголовках столбцов или строк (например, "Вес, кг").
Сложные таблицы: Если таблица имеет сложную структуру (например, объединенные ячейки), это должно быть оформлено понятно и аккуратно.

2. Оформление иллюстраций (рисунков, графиков, диаграмм)

Общие требования

Размещение: Иллюстрации должны располагаться после текста, где они упоминаются впервые, или на следующей странице, если так лучше для восприятия. Как и таблицы, они должны находиться на одной странице целиком.
Нумерация: Все иллюстрации пронумеровываются арабскими цифрами (например, Рисунок 1, Рисунок 2 и т.д.). Нумерация может быть сквозной или по разделам (например, Рисунок 2.3 — третий рисунок во втором разделе).
Заголовок и пояснения: Под иллюстрацией располагается её заголовок с пояснениями (если они необходимы). Заголовок должен содержать слово "Рисунок", номер и краткое название (например, "Рисунок 2 — Схема устройства"). Заголовок выравнивается по центру страницы.
Шрифт: Тексты внутри рисунков (например, подписи на графиках или диаграммах) должны быть выполнены шрифтом, аналогичным основному тексту документа (Times New Roman), размером не менее 12 пунктов.
Качество изображения: Все иллюстрации должны быть чёткими, с хорошим качеством и без размытости. Если иллюстрация взята из другого источника, необходимо убедиться, что её разрешение достаточно для качественного воспроизведения.

Типы иллюстраций

Рисунки и схемы: Эти виды иллюстраций используются для отображения объектов, процессов или устройств. Они должны быть выполнены аккуратно и масштабировано.
Графики и диаграммы: Графики и диаграммы используются для наглядного представления данных. Все оси графиков должны быть подписаны, единицы измерения указаны, а масштаб осей — пропорционален.
Фотографии: Если в документе используются фотографии, они должны быть качественными, а их размер и размещение — такими, чтобы изображение было чётким и хорошо воспринимаемым.

3. Оформление ссылок на таблицы и иллюстрации

В тексте необходимо ссылаться на таблицы и иллюстрации, используя их номера (например, "см. Таблицу 2", "как показано на Рисунке 3").
Ссылки должны быть точными и соответствовать номерам, присвоенным таблицам и иллюстрациям в документе.

Эти правила помогают создать единообразие в оформлении таблиц и иллюстраций, что улучшает восприятие и структурированность научно-технических документов.

Пункт 5 из основных разделов ДСТУ 3008—2015 касается оформления языка и стиля научно-технических документов.
Этот раздел содержит рекомендации по использованию языка, терминологии и стилистики в таких работах, чтобы обеспечить их понятность, точность и однозначность. Вот основные положения:

1. Точность и однозначность изложения

Ясность формулировок: Текст должен быть написан максимально ясно и четко. Избегайте сложных конструкций, двусмысленных выражений и ненужных повторов.
Точность выражений: Важно использовать термины и фразы, которые однозначно передают смысл. Каждый термин должен быть четко определен, особенно если он используется впервые в тексте.
Отсутствие субъективных выражений: В научно-технических документах следует избегать выражений личного мнения или эмоций, таких как "я считаю", "мне кажется", "на мой взгляд". Все утверждения должны основываться на фактах и результатах исследований.

2. Использование научной терминологии

Употребление терминов: Следует использовать только общепринятые научные термины, которые известны и понятны в данной области науки. Не рекомендуется вводить собственные термины без необходимости.
Определение терминов: Если термин специфичен или имеет несколько значений, его следует определить при первом упоминании в тексте. Для этого можно использовать сноски или отдельный раздел "Определения".
Единообразие: Один и тот же термин должен использоваться последовательно на протяжении всего документа. Избегайте синонимов и замен терминов, чтобы не вводить читателя в заблуждение.

3. Использование сокращений

Введение сокращений: Все сокращения (аббревиатуры, акронимы) должны быть расшифрованы при первом упоминании в тексте. Например, "Национальная академия наук Украины (НАН Украины)".
Список сокращений: Если в документе используется большое количество сокращений, рекомендуется включить их полный список в начале документа или в приложении.
Единообразие сокращений: Как и в случае с терминами, сокращения должны использоваться последовательно. Избегайте создания и использования новых сокращений без необходимости.

4. Грамматическая правильность

Правильное построение предложений: Важно, чтобы предложения были грамматически правильными, логически связанными и легко читаемыми.
Пунктуация: Особое внимание следует уделять правильной пунктуации, так как она влияет на восприятие текста. Ошибки в пунктуации могут изменить смысл фраз или затруднить их понимание.
Согласование времен и форм: Важно согласовывать времена глаголов и формы слов в предложениях. Это необходимо для поддержания логической целостности изложения.

5. Стиль изложения

Научный стиль: Основной стиль изложения в научно-технических документах — это научный стиль, который характеризуется логичностью, точностью, объективностью и формальностью. Текст должен быть нейтральным и беспристрастным.
Избегание разговорных выражений: Разговорные фразы, жаргонизмы и сленг не допускаются. Все утверждения должны быть изложены в строгом и официальном тоне.
Активный и пассивный залог: Обычно в научных работах используется пассивный залог (например, "исследование было проведено", "результаты были получены"), но также допустимо использование активного залога в зависимости от контекста (например, "авторы установили").

6. Язык документа

Официальный язык: Документ должен быть написан на официальном языке, принятом в стране, где он будет использоваться. В случае Украины — это украинский язык. Если документ предназначен для международной аудитории, возможно использование английского языка.
Перевод и адаптация: При необходимости документ может быть переведен на другие языки, но важно, чтобы перевод точно передавал смысл оригинального текста.

7. Цитирование и ссылки

Правила цитирования: В научно-технических документах важно правильно цитировать источники. Прямые цитаты берутся в кавычки и сопровождаются ссылками на источник.
Оформление библиографии: Все используемые источники должны быть указаны в списке литературы в конце документа. Ссылки на источники в тексте оформляются в соответствии с принятым стандартом.

Следование этим правилам помогает обеспечить высокое качество научно-технических документов, их понятность и доступность для читателей.

💻 На головну сторінку

Архітектура будь-якої ІТ-системи зазвичай складається з чотирьох загальних рівнів, які відповідають вимогам TOGAF (The Open Group Architecture Framework) та ISO 27001 (система управління інформаційною безпекою). Ці рівні також узгоджуються з життєвим циклом ІТ-систем. Вони включають:

Бізнес-архітектура:
- Описує бізнес-процеси, функції, організаційну структуру та ключові бізнес-стратегії.
- У рамках TOGAF цей рівень визначає, як ІТ-система підтримує бізнес-цілі.
- Відповідно до ISO 27001, бізнес-архітектура враховує вимоги щодо безпеки, що необхідні для досягнення бізнес-цілей.
Інформаційна архітектура:
- Охоплює структуру даних та управління інформацією, включаючи моделі даних, потоки інформації та логіку бізнес-процесів.
- TOGAF забезпечує інтеграцію інформаційної архітектури з бізнес-архітектурою.
- ISO 27001 зосереджує увагу на захисті інформаційних активів на цьому рівні.
Архітектура додатків:
- Визначає програмні компоненти, інтерфейси, інтеграцію систем та взаємодію між різними додатками.
- TOGAF акцентує увагу на сумісності та масштабованості додатків.
- ISO 27001 включає вимоги до безпеки додатків, наприклад, контроль доступу та захист від загроз.
Технологічна архітектура:
- Включає технічну інфраструктуру, включаючи сервери, мережеве обладнання, системи зберігання даних, та забезпечення їхньої надійності та безпеки.
- TOGAF пропонує розробку технологічної архітектури для підтримки попередніх рівнів.
- ISO 27001 забезпечує впровадження технічних засобів безпеки, таких як шифрування, контроль доступу та моніторинг безпеки.

Ці чотири рівні архітектури взаємопов'язані та підтримують комплексний підхід до розробки, впровадження та підтримки ІТ-систем, забезпечуючи їх відповідність як бізнес-цілям, так і вимогам безпеки.

Таблиця, яка відображає чотири рівні архітектури ІТ-системи з більш детальними вимогами відповідно до TOGAF та ISO 27001:

Рівень архітектури	Опис	Вимоги TOGAF	Вимоги ISO 27001
Бізнес-архітектура	Описує бізнес-процеси, функції, організаційну структуру та ключові бізнес-стратегії.	- Визначення бізнес-процесів та функцій. - Вирівнювання ІТ-стратегії з бізнес-цілями. - Моделювання бізнес-процесів. - Визначення ключових показників ефективності (KPI).	- Визначення вимог до інформаційної безпеки з боку бізнесу. - Аналіз ризиків для бізнес-процесів. - Інтеграція вимог безпеки в бізнес-процеси. - Встановлення ролей та відповідальності.
Інформаційна архітектура	Охоплює структуру даних та управління інформацією, включаючи моделі даних, потоки інформації та логіку бізнес-процесів.	- Моделювання інформаційних потоків. - Визначення інформаційних об'єктів та їх відносин. - Підтримка цілісності та доступності даних. - Забезпечення інтеграції інформації між бізнес-процесами.	- Захист конфіденційності, цілісності та доступності інформації. - Управління класифікацією інформації. - Впровадження політик захисту інформації. - Оцінка та управління ризиками для інформаційних активів.
Архітектура додатків	Визначає програмні компоненти, інтерфейси, інтеграцію систем та взаємодію між різними додатками.	- Проектування архітектури додатків з урахуванням бізнес-архітектури. - Забезпечення масштабованості та сумісності. - Визначення інтерфейсів та протоколів. - Моделювання життєвого циклу додатків.	- Контроль доступу до додатків. - Забезпечення захисту від загроз і вразливостей. - Впровадження криптографічних заходів. - Ведення аудиту та моніторинг безпеки додатків.
Технологічна архітектура	Включає технічну інфраструктуру, включаючи сервери, мережеве обладнання, системи зберігання даних, та забезпечення їхньої надійності та безпеки.	- Визначення технічних стандартів та платформ. - Підтримка сумісності між компонентами. - Проектування інфраструктури для забезпечення високої доступності та відмовостійкості. - Підтримка масштабованості інфраструктури.	- Впровадження засобів шифрування. - Забезпечення фізичної та технічної безпеки. - Моніторинг та реагування на інциденти. - Використання технологій захисту мережі (брандмауери, VPN, IDS/IPS).

Ця таблиця допомагає структурувати архітектурні рівні ІТ-системи, забезпечуючи узгодженість між бізнес-процесами, інформаційною інфраструктурою, додатками та технологічними аспектами, з урахуванням вимог до інформаційної безпеки.

💻 На головну сторінку