29 дек. 2014 г.

Счастливого Нового года и Рождества!

Команда RISC поздравляет членов товарищества с наступающим Новым годом и Рождеством! 

Нам многое удалось сделать в 2014 году и еще больше мы планируем реализовать в 2015! Чтобы подвести итоги 2014 года, поздравить всех Вас с наступающим Новым годом и Рождеством и вручить приятные подарки, мы подготовили для Вас видео-обращение.



17 дек. 2014 г.

Мастер-класс Алексея Лукацкого «Психология на службе ИБ»

23 декабря 2014 года в 11.00 состоится мастер-класс Алексея Лукацкого «Психология на службе ИБ».

В последнее время много говорится о «несвойственных» классическому безопаснику темах - измерение эффективности, обоснование рублем, маркетинг, работа с информацией, личная эффективность. Пришел черед поднять еще одну тему, которая является залогом понимания многих процессов, имеющих отношение к информационной безопасности. Почему пользователи не соблюдают правила ИБ? Почему с регуляторами сложно найти общий язык? Почему пользователи выбирают нестойкие пароли? Почему мы недооцениваем одни риски/угрозы и преувеличиваем другие? Почему руководство не дает денег на новый проект по ИБ? Сколько паролей может запомнить пользователь? Почему киберпреступники не считают свою деятельность плохой? Почему в крупных компаниях нужны политики ИБ, а в малых в них нет нужды? Почему терпимость к риску в России выше, чем в США? Почему то, что срабатывает в одной компании, не срабатывает в другой? На все эти вопросы дает ответ психология, основы которой надо знать каждому безопаснику, особенно руководителю ИБ предприятия. Именно о психологии и ее применимости в деятельности специалистов по ИБ и пойдет речь в мастер-классе Алексея Лукацкого.




Алексей Лукацкий не нуждается в представлении. Этот человек давно сам стал брендом. Мэтр отечественной информационной безопасности, известный блогер, ведущий один из самых популярных в России блогов по ИБ. Опубликовал свыше 600 печатных работ в различных изданиях. Награжден почетным нагрудным знаком RISC за вклад в развитие отрасли ИБ.

Товарищество RISC приглашает к участию в мастер-классе специалистов по ИБ и ИТ, студентов и аспирантов, обучающихся по направлению ИБ, и всех желающих, интересующихся вопросами ИБ.

Участие в мастер-классе бесплатное, необходимо лишь пройти предварительную регистрацию.

5 дек. 2014 г.

Мастер-класс Андрея Бешкова «Криминалистика в современном мире. Дело о фантомном проникновении»

Мы продолжаем серию мастер-классов с Андреем Бешковым о современной криминалистике.

10 декабря в 11.00 состоится второй мастер-класс Андрея Бешкова «Криминалистика в современном мире. Дело о фантомном проникновении». 

Случается, что в сети предприятия происходят необъяснимые на первый взгляд события. Происходит инцидент ИБ с участием сотрудника. Является он преднамеренным или случайным? Предвещает ли какие то события? И стоит ли принимать какие-то меры? О том, как криминалистика помогает расследовать инциденты ИБ, что нужно предпринять и каков порядок действий, на реальном примере по расследованию инцидентов, расскажет Андрей Бешков, эксперт по ИБ компании Microsoft,. 




Андрей Бешков – менеджер программ безопасности в странах Центральной Восточной Европы и СНГ компании Microsoft. Консультант по системам безопасности, технологиям виртуализации и облачным вычислениям в ВымпелКоме, Сбербанке, Infobox и многих других компаниях. До прихода в Microsoft занимался построением инфраструктуры ЦОД и внедрением OSS/BSS систем в таких крупнейших компаниях России, как Мегафон, Связьинвест, Росатом, Почта России. 

Товарищество RISC приглашает к участию в мастер-классе специалистов по ИБ и ИТ, студентов и аспирантов, обучающихся по направлению ИБ, и всех желающих, интересующихся вопросами ИБ.

Участие в мастер-классе бесплатное, необходимо лишь пройти предварительную регистрацию.

3 дек. 2014 г.

Товарищество RISC подвело итоги первого в России кейс-чемпионата по ИБ

29 ноября на базе Университета ИТМО (Санкт-Петербургского Национального исследовательского университета информационных технологий, механики и оптики) состоялся финал первого в России кейс-чемпионата по информационной безопасности среди будущих специалистов по ИБ. Члены правления товарищества RISC приняли непосредственное участие в подготовке и организации этого мероприятия, а также вошли в состав судейской команды чемпионата. Спонсорами мероприятия выступили Академия Информационных Систем и компания Acronis.

В жюри чемпионата вошли практикующие специалисты по ИБ, занимающие руководящие позиции в различных российских и международных компаниях: Мария Сидорова (RISC), Евгений Родыгин (RISC), Алексей Митюшов («Аэроэкспресс») и Михаил Карпов («Лента»). 

Заявки на участие в чемпионате подали 38 команд из различных городов и вузов, всего в чемпионате прияли участие 152 студента. По результатам заочных этапов были отобраны 9 команд, которые прошли в финал конкурса и боролись за звание молодых чемпионов по ИБ. Главный и самый сложный кейс для финала конкурса был подготовлен экспертами товарищества RISC Евгением Родыгиным и Алексеем Митюшовым. В ходе чемпионата они также провели для участников и гостей мероприятия специальный стендап-семинар, на котором рассказали об особенностях функционирования ИБ-отделов в современных компаниях и поделились секретами работы специалиста по ИБ. 



Чемпионами первого в России «батла по ИБ» стала команда jusepa.dm из УдГУ.



Второе место заняла команда mama papa comin 4uю из СПБГЭУ. 
Третье – команда «Pro-ИБ АС» из НИЯУ МИФИ. 

Призеры чемпионата были награждены памятными кубками и ценными призами от спонсоров мероприятия.



«Товарищество RISC работает с молодыми специалистами, поэтому мы видим, насколько ребятам не хватает практики и опыта в принятии решений. Кейс-чемпионат по ИБ в этом плане абсолютно уникален. В отличие от технических CTF, которые проводят вендоры на различных конференциях, это мероприятие ориентировано исключительно на практику и предназначено для выявления у студентов и аспирантов навыков построения систем управления ИБ и формирования у них понимания, как строятся такие системы и что для этого нужно», – рассказала Мария Сидорова, комиссар товарищества RISC.  

«Порадовало, что чемпионат был посвящен разбору реальных ситуаций и организационной составляющей профессии ИБ-специалиста, а не представлял собой очередной «конкурс на лучшего хакера». На мой взгляд, это очень важная и нужная инициатива, которая в дальнейшем поможет изменить сложившиеся стереотипы и превратить профессионала в области ИБ не в хакера или специалиста, настраивающего межсетевые экраны, а в управленца, способного организовать управляемый процесс в компании и говорящего с бизнесом на одном языке.
Все выступавшие – большие молодцы. Но победителями стали три команды, которые наиболее системно провели анализ и представили план действий. Надеюсь, они используют возможности, открывшиеся им в качестве награды.
В качестве напутствия молодым специалистам по ИБ хочется дать несколько рекомендаций:
  • не сводите задачи в области ИБ к техническим решениям! 60% ИБ – это организация процессов;
  • не пытайтесь все взвалить на себя! Помните, что рядом с вами будут работать люди, которые сделают некоторые вещи гораздо эффективнее. Это юристы, кадровики, PR и другие ваши коллеги;
  • не бойтесь, что у вас не получится, пытайтесь! Тренируйтесь на конференциях, выступайте друг перед другом. Вы должны не только уметь решать задачи, но и понимать, как донести ваши решения до руководства. Причем сделать это быстро, ясно и доступными словами», – напутствовал Михаил Карпов, член товарищества RISC и менеджер по информационной безопасности и внутреннему аудиту компании «Лента». 
«Мероприятие выдалось насыщенным и интересным. Прежде всего, необычен формат проведения и ориентация исключительно на организационную составляющую ИБ. Думаю, что участники чемпионата, наши будущие коллеги, в ходе чемпионата и решения заданий получили бесценный опыт работы в команде и приобрели уверенность в решении практических задач, чего так не хватает молодым специалистам-выпускникам. Отдельно хочется поблагодарить организаторов и коллег из RISC за отличную работу. На мой взгляд, чемпионат прошел на высшем уровне, а главное – это было очень полезно для практикующих специалистов», – поделился Алексей Митюшов, член товарищества RISC и заместитель директора Департамента информационных технологий по информационной безопасности компании «Аэроэкспресс».

18 нояб. 2014 г.

RISC поддержит первый в России кейс-чемпионат по ИБ

С 21 по 29 ноября 2014 года в Университете ИТМО (Санкт-Петербургском национальном исследовательском университете информационных технологий, механики и оптики) состоится первый в России кейс-чемпионат по информационной безопасности среди будущих специалистов по ИБ. Эксперты сообщества RISC примут участие в формировании case-studies для команд – участников чемпионата, оценке работ в качестве жюри, а также окажут всестороннюю поддержку в поиске спонсоров и информационных партнеров чемпионата по ИБ. 

Первый заочный этап чемпионата пройдет в период с 21 по 23 ноября, в ходе него командам нужно будет решить практические кейсы по ИБ и, если потребуется, пройти собеседование с членами жюри. Второй этап состоится 29 ноября в Университете ИМТО, где предстоит решить кейс уже на время и защитить его перед судейской командой.



«Молодым специалистам не хватает практики, система образования этого не предусматривает, в результате выпускнику вуза сложно решать практические задачи и принимать управленческие решения по ИБ. Чемпионат по ИБ – это отличная идея, которая нам очень понравилась. Она нова и, что самое главное, нацелена на обмен опытом и наработанными практиками на рынке ИБ. А это именно то, за что мы в RISC очень болеем и ради чего работаем», – отметила Мария Сидорова, руководитель товарищества RISC. 
   
Сообщество RISC приглашает к участию в первом в России чемпионате по ИБ спонсоров и информационных партнеров. Дополнительная информация о проекте на сайте www.pro-ib.org

13 нояб. 2014 г.

Мастер-класс Андрея Бешкова «Криминалистика в современном мире. Дело о блуждающем гаджете»

21 ноября в 11.00 состоится мастер-класс Андрея Бешкова «Криминалистика в современном мире. Дело о блуждающем гаджете». 

Мастер-класс будет посвящен компьютерной криминалистике и расследованию инцидентов в ИТ. Поговорим о том, какие действия стоит отслеживать, как это делать правильно и стоит ли использовать дорогостоящие инструменты или можно обойтись подручными средствами и хорошим знанием исследуемой платформы.  Об этом и многом другом на реальном примере по расследованию инцидентов от экспертов Microsoft, расскажет Андрей Бешков. 




Андрей Бешков – менеджер программ безопасности в странах Центральной Восточной Европы и СНГ компании Microsoft. Консультант по системам безопасности, технологиям виртуализации и облачным вычислениям в ВымпелКоме, Сбербанке, Infobox и многих других компаниях. До прихода в Microsoft занимался построением инфраструктуры ЦОД и внедрением OSS/BSS систем в таких крупнейших компаниях России, как Мегафон, Связьинвест, Росатом, Почта России. 

Товарищество RISC приглашает к участию в мастер-классе специалистов по ИБ и ИТ, студентов и аспирантов, обучающихся по направлению ИБ, и всех желающих, интересующихся вопросами ИБ.

Участие в мастер-классе бесплатное, необходимо лишь пройти предварительную регистрацию.

30 окт. 2014 г.

Мастер-класс Алексея Лукацкого «Внутренний маркетинг службы ИБ»

7 ноября 2014 года в 11.00 состоится мастер-класс Алексея Лукацкого «Внутренний маркетинг службы ИБ».

Специалист уже выстроил процесс обеспечения информационной безопасности, угрозы ИБ успешно нейтрализуются, и никаких негативных проявлений на предприятии в связи с этим не наблюдается. Тогда руководство компании начинает задаваться вопросом: «А зачем нам безопасность, если и так все прекрасно?» Как показать ценность службы информационной безопасности для разных целевых аудиторий внутри предприятия? Как организовать внутренний маркетинг службы ИБ? Какие передовые практики существуют? Об этом - в мастер-классе Алексея Лукацкого.




Алексей Лукацкий не нуждается в представлении. Этот человек давно сам стал брендом. Мэтр отечественной информационной безопасности, известный блогер, ведущий один из самых популярных в России блогов по ИБ. Опубликовал свыше 600 печатных работ в различных изданиях. Награжден почетным нагрудным знаком RISC за вклад в развитие отрасли ИБ.

Товарищество RISC приглашает к участию в мастер-классе специалистов по ИБ и ИТ, студентов и аспирантов, обучающихся по направлению ИБ, и всех желающих, интересующихся вопросами ИБ.

Участие в мастер-классе бесплатное, необходимо лишь пройти предварительную регистрацию.

21 окт. 2014 г.

Cyberwoman Олеся Шелестова: в Twitter про меня писали: «Блондинка продает пароли»

Сегодня мы запускаем новый специальный проект. Мы хотим рассказать о женщинах, работающих на рынке ИБ. Они успешны и прекрасны в обычной и профессиональной жизни. Их объединяет профессионализм, способность противостоять обстоятельствам, упорство в достижении намеченных целей, но у каждой из них своя история. Наша первая героиня – Олеся Шелестова.

ДОСЬЕ
Олеся Шелестова – эксперт по ИБ, специализируется на аналитике и разработке SIEM\SIM\GRC\VA-систем. В ИБ работает с 2004 года. Участник PHDays, РусКрипто и других российских и международных security-конференций. Автор множества статей. Увлекается Ethical Wi-Fi Hacking. Работает «под прикрытием» и для взлома Wi-Fi-сетей использует плюшевого медведя, «заряженного» Wi-Fi-адаптером и антенной. В свободное от компьютера время любит погонять на мотоцикле, профессионально занимается стрельбой из лука. Спит не более 4 часов в день. Фанат своего дела. 



Расскажи, как ты пришла в ИТ и ИБ? С чего все начиналось? 
Я помню, как мне впервые показали компьютер, собранный в дипломате. Из дипломата выпилили части, вставили туда детали и микросхемы и подключили клавиатуру. На этом устройстве можно было примитивно программировать и, конечно же, играть в игры. Я с детства увлекалась всякими инженерными штучками, отлично управлялась с паяльником, могла починить мелкую электронику. Это хобби передалось мне от отца, который был электронщиком-радиолюбителем. Где-то в 7–8 классе мне захотелось зарабатывать, и я бралась за ремонт разной мелочи, компьютерных приставок и джойстиков, «перепрошивала» и продавала картриджи для приставок. 

После окончания института работала айтишницей. Занималась установкой и настройкой операционных систем, прокладкой и установкой первых сетей, которые тогда работали не на Ethernet, и уж тем более не на Wi-Fi. Wi-Fi в те времена мы даже представить себе не могли. Потом начала работать с более сложным сетевым оборудованием: настраивать фаерволы, устанавливать первые антивирусы. Чтобы построить сеть и наладить маршрутизацию, мне нужно было понимать, какая информация куда передается, какие угрозы существуют, как будет производиться атака и какими инструментами можно ее предотвратить. С этого момента и началось мое знакомство с информационной безопасностью. Затем были почтовые сервера, банковские системы. Вот так вот и пошло, я примкнула к безопасникам. Тогда это было чуть интереснее, чем банальная работа по настройке сетей.

Когда ты только начинала заниматься ИТ и ИБ, сталкивались ли ты с предвзятым отношением к тому, что ты девушка? Не приходилось ли тебе слышать от друзей, родственников, знакомых, что ИТ и ИБ – это не женское занятие? 

Сталкивалась очень часто. Конечно, стереотип о том, что ИТ и ИБ – не женское занятие, и что девушки могут реагировать на какие-то вещи более эмоционально, он есть. От этого никуда не денешься. И это понятно с точки зрения мужчины, который думает: «Как же девушка полезет под стол или понесет сервер? Я лучше возьму мужчину». В сфере ИТ и ИБ, где преимущественно мужской коллектив, женщине порой тяжело сделать так, чтоб тебя услышали, восприняли всерьез. Но когда ты показываешь себя как профессионал, когда решаешь задачи, которые с первого взгляда кажутся невозможными, тогда к тебе относятся совсем по-другому, и ты завоевываешь авторитет.

Никогда не приходилось использовать свои способности в личных целях?
Нет. Я никогда себе этого не позволяла и всегда вижу границу дозволенного. Для меня это табу. Был случай на РусКрипто в прошлом году, когда в Twitter писали: «Блондинка продает пароли». Да, я действительно «продампила» весь траффик на РусКрипто. Для перехвата паролей использовала плюшевого медведя, в которого я встроила Wi-Fi-адаптер и направленную антенну. Из того трафика, который я дампила, частично можно было вытащить какие-то пароли к каким-то сервисам, но только к тем, которые использовались в clear-тексте и передавались в открытом виде. Тогда организаторы попросили меня продать эти пароли за крипторубли – местную «валюту», которая использовалась на самой конференции. Дампы я тогда продала и купила на эти деньги «шляпу Лукацкого». Люди, конечно, тогда были несколько напуганы происходящим. Не все понимают, что такое дампы, что из этого можно вынуть, но сами эти слова всех вводят в ступор и заставляют нервничать. 



Какие у тебя мотивы? Почему ты этим занимаешься?
Практикуя Ethical Wi-Fi Hacking, я преследую исключительно обучающие цели, показываю пользователям, что Wi-Fi – это небезопасно. Даже если я что-то нарушаю, то делаю это только для того, чтобы посмотреть, как эту угрозу можно реализовать. Но я никогда не буду наживаться на этом. Срабатывает какой-то внутренний стопор. Если мне когда-нибудь потребуется попробовать взломать какую-то систему, то, скорее всего, я это сделаю на стенде. 

Очень часто я нахожу в интернете уязвимости на сайтах, открытые порты и иногда выкладываю их и указываю на «дырку» в безопасности. Недавно на сайте одного известного сервис-провайдера, на котором хранятся, загружаются и вставляются потом ссылками картинки, я нашла две серьезные уязвимости. Был какой-то инстинкт, что они там есть. Как бы я не относилась к этому провайдеру, я сообщила об этом в техподдержку. Несмотря на то что никакого bug bounty открыто не было, я не получила от этого провайдера ни копейки. 

Но я бы не советовала неопытным, только начинающим специалистам лезть туда, где не объявлен конкурс или открыт bug bounty. Лучше пробовать свои силы там, где есть разрешенная возможность, потому что компании могут реагировать на ваше «увлечение» по-разному. Некоторые вендоры и компании даже против того, чтобы им сообщали о каких-то найденных на их ресурсах багах. На мой взгляд, это очень плохо, потому что так уязвимости становятся скрытыми. Потом они уходят на подпольные сообщества, их начинают эксплуатировать, и все становится печально для рынка. Фактически вендор может просто не знать об этой уязвимости, в то время как от нее могут пострадать и другие ресурсы. В случае с хостингом картинок уязвимость была на сервере самого сервис-провайдера, но она угрожала и тем ресурсам, на которых их картинки публиковались. И эта цепочка могла тянуться очень далеко. Даже когда сообщаешь об уязвимости, то частенько приходит ответ о том, что этот ресурс вне bug bounty. Тогда я получаю: «Спасибо, что сказали», но денег при этом не платят, а иногда даже и спасибо не говорят. А могут даже наоборот – еще и претензии предъявить. Тогда я такие уязвимости отсылаю от сторонних ресурсов. Не от себя, чтоб не иметь потом неприятностей. 

У коллег были такие случаи, когда они получали в ответ не благодарность, а кучу обвинений и вопросов в свой адрес: зачем вы вообще проверяли наш сайт, что искали и т.д. Но ведь чтоб найти уязвимость не нужно сканировать ресурс, достаточно просто запустить кэширующий прокси и пассивно смотреть, что внутри между браузером и этим сайтом передается. От незнания владельцы этих ресурсы начинают выдумывать, что из-за такого сканирования сайт плохо грузится и теряет клиентов. Но у меня каких-то серьезных противостояний не было и до конфликтов пока не доходило.

Чем ты еще увлекаешься? Какие книги читаешь? Как проводишь свободное время?
Увлекаюсь мотоциклом, стрельбой из лука. До этого я прыгала с парашютом, потом с вингсьютом (прим. ред. англ.wingsuit – костюм-крыло из ткани). В основном читаю профессиональную литературу, документацию. Последнюю художественную книгу прочла года два тому назад. Просто не хватает на это времени. Хотя совсем недавно мне рассказывали про одного ученого, который заперся в пещере и вышел на 36-часовой день. Он ложился спать, спал столько, сколько мог, а потом все остальное время работал. В нашей профессии нужно постоянно работать головой и находиться в определенном напряжении, потому что понимаешь, что твои ошибки «крошат» и останавливают бизнес-процессы. Наша работа очень похожа на работу авиадиспетчеров, которые рулят самолетами. И здесь таким диспетчером выступает лояльность компании, в которой ты работаешь. Обеспечьте человека задачами, выделите время на их решение. И, если человек ответственный, он их решит в срок, независимо от того, во сколько приходит и уходит с работы. Конечно, есть разные программисты, кто-то отсиживает время и не задерживается на работе лишней минуты. Если человек любит свою работу, если он работает на себя и ему это интересно, тогда получаются такие «маньяки», которые могут работать по 18 часов в день. Такой график, конечно, опасен. У меня были такие случаи, когда график сдвигался, и я приходила на работу днем, отсиживала все совещания, к вечеру раскачивалась, когда все уже уходили, а потом возвращалась домой и только там начинала работать. 

Такой график не мешает личной жизни, общению с друзьями и т.д.?
Конечно мешает. Но такие маньяки-профессионалы должны быть. 

Ты себя к таким относишь?
Да, я – маньячка. Я люблю свою работу, иногда работу ценю даже больше, чем общение с друзьями. Бывают задачи, которые надо решить к определенному сроку. И тогда ты делаешь итерации по много-много часов подряд, работаешь на пределе возможностей до того самого момента, когда ты совсем выдыхаешься и уже не можешь продолжать. Это время – самое продуктивное, и нужно использовать его по максимуму. 

Твоя программа действий после вуза для молодого специалиста?
В первую очередь, надо понять, чем бы ты хотел заниматься больше всего и тогда выбрать компанию и пойти туда стажером. Сейчас очень много компаний, которым требуются специалисты по ИБ в качестве стажеров. Я часто встречаю такие вакансии на том же hh. Компании ищут стажеров на защиту Unix или стажера, который будет заниматься пентестами, и других. Надо просто понимать, что тебе интересно. Есть такие же вакансии и у конечных заказчиков, куда можно пойти и попробовать порешать ежедневные кейсы и повариться в группе экспертов. И это, наверно, было бы самая идеальная ситуация, в отличие от работы у отдельных вендоров и разработчиков.

Я бы не стремилась обвешиваться сертификатами, несмотря на то, что многие компании требуют эти самые сертификаты при приеме на работу. И тем не менее приглашают на собеседования и без них. Если у человека есть понимание и способность самостоятельно в чем-то разобраться, именно понимание, а не заучивание теории и ответов на экзамены, то специалиста обязательно оценят. Нужно стремиться видеть и понимать комплексные процессы, что и как взаимодействует. Начать можно с азов, которые дадут в вузе. Если чувствуешь пробелы, восполни эти пробелы в интернете, где масса видео, вебинаров. Много интересных статьей есть, например, на Хабре. Это процесс познания, как лесенка: ты начинаешь чем-то заниматься, понимаешь, что какой-то информации не хватает, изучаешь, запоминаешь, пробуешь сделать и ползешь по лесенке дальше. С чем-то столкнулся, даже на уровне бокового зрения, сразу задумываешься: а как бы я эту проблему решил. Нужно хвататься за эти кирпичики и выстраивать эту лесенку из своих навыков и знаний. То, что вы таким образом изучили, до чего самостоятельно докопались, никуда от вас не денется. 

Спасибо!

9 окт. 2014 г.

Первый пошел!

На прошлой неделе совместно с экспертами CyberSecurity PwC RISC провел свой первый очный семинар в Санкт-Петербурге. По этому случаю была выбрана непростая, но очень увлекательная тема – «Роль человека в обеспечении информационной безопасности». Всего встречу товарищества посетило более 40 специалистов по ИБ и ИТ из различных компаний Санкт-Петербурга. Спасибо всем, кто смог к нам присоединиться.

Кратко о том, что происходило на нашем семинаре.

По традиции, вступительное слово на семинаре произнесла Мария Сидорова, верховный комиссар товарищества RISC и его основатель. Мария рассказала о товариществе, его целях и планах на ближайшее будущее.

Деловую часть нашей встречи открыл Роман Чаплыгин из PwC с докладом «Темные пятна в ИБ, где ваше слабое звено».



Вот что сказал Роман о прошедшем семинаре RISC:
«На мой взгляд, формат мероприятия был камерным и почти домашним (особенно для нас). Получилось уникальное мероприятие-семинар, как для общения с потенциальными заказчиками, так и для понимания ключевых вопросов и краеугольных камней, которые в будущем мы будем принимать во внимание и анализировать, помогать руководителям ИБ справляться с их задачами. На сегодняшний день мы планируем проводить подобные мероприятия-семинары уже в московском офисе. Надеемся, что и в будущем сотрудничество с товариществом по информационной безопасности RISC будет взаимовыгодным и интересным».

Вот так-то! Затем мы приступили к практике.

О том, как повышать осведомленность пользователей в вопросах ИБ, рассказал Алексей Митюшов из «Аэроэкспресс».



Впечатления Алексея Митюшова о семинаре RISC:
«Хотелось бы поблагодарить организаторов и спикеров семинара RISC за создание доброжелательной и теплой атмосферы на мероприятии. Темы докладов и тема семинара очень актуальны в повседневной деятельности специалиста ИБ. Особенно следует отметить практическую направленность обсуждаемых вопросов. В ходе мероприятия удалось достичь главного – создать неформальный и вместе с тем профессиональный "клуб" по обмену опытом, позволяющий взглянуть на проблематику ИБ с другой стороны. Мероприятий подобного формата явно не хватает в нашей с вами нелегкой работе».

Дальше в ход пошла «тяжелая артиллерия». Представители ИТ и ИБ сошлись в неравном бою. Первой «выступила» ИБ. О проблемах взаимодействия ИБ- и ИТ-департаментов рассказал Юрий Шойдин, АРСИБ.



«30 сентября с СПб прошел первый семинар RISC. К сожалению, я не смог присутствовать на мероприятии все время, но заряд положительных эмоций был получен. Порадовала, прежде всего, приятная аудитория, которая не боялась вступать в дискуссию по неоднозначным вопросам, оставаясь при этом корректной и положительно настроенной. Во-вторых, хочется сказать спасибо организаторам за качественно подготовленное мероприятие. Надеюсь, что в дальнейшем сотрудничество RISС c АРСИБом и СоДИТ будет только нарастать, к нашему взаимному удовольствию», – рассказал Юрий Шойдин.

Со стороны ИТ ответ держал Алексей Широких, Сколковский институт науки и технологий («Сколтех»). Он выступил с докладом «ИБ и ИТ – казнить нельзя помиловать: взгляд со стороны ИТ».



Алексей Широких о семинаре RISC:
«По моему мнению, семинар «Роль человека в обеспечении информационной безопасности» превзошел все ожидания. Темы докладов были подобраны по существу и актуальны. Презентации были восприняты аудиторией с интересом. Для себя, в частности, я нашел много интересного и полезного. Надеюсь, данные мероприятия будут регулярны и темы будут интересны и полезны».

Мы, со своей стороны, обещаем Алексею, что наши «мероприятия будут регулярны», а «темы – интересны и полезны».

Следом с докладом о проблеме подбора специалистов по ИБ на российском рынке труда выступил еще один практикующий специалист по ИБ, Дмитрий Мананников, SPSR-express. Его презентация «взорвала» аудиторию. Иначе и не скажешь.



Мнение Дмитрия Мананникова о прошедшем семинаре RISC:
«Для меня это новый формат мероприятий, в котором я вижу возможность обсуждения процессов безопасности с управленческой точки зрения и получения ценных комментариев от коллег с точки зрения их практики. Никакого пресейла от вендоров, никаких долгих презентаций о технической реализации, что положительно выделяет это мероприятие на фоне других активностей по ИБ».

Деловую часть нашего семинара заключал доклад человека, «смотрящего» за каждым и всеми, Андрея Прозорова, Infowatch.



Вот что сказал Андрей о прошедшем семинаре RISC:
«Мне понравилось. Приятное мероприятие. С удовольствием приеду еще раз. Особо порадовало отсутствие рекламных/спонсорских докладов и увеличенная длительность презентаций (за 40 минут можно и тему раскрыть, и на вопросы ответить). Продолжайте в том же духе».

По окончании семинара началось самое интересное. Мария Сидорова рассказала о программе поощрения экспертов, принимающих самое активное участие в развитии отрасли ИБ вообще и в деятельности RISC в частности. Первыми счастливчиками, награжденными серебряными значками RISC, стали Алексей Лукацкий и Андрей Прозоров.

В заключение мы бы хотели поблагодарить нашего партнера, компанию PwC, и лично Екатерину Старостину, Романа Чаплыгина и Криса Гоулда, благодаря которым стало возможным проведение этого семинара.

17 сент. 2014 г.

Мастер-класс Андрея Прозорова «Как эффективно работать с информацией»

22 сентября 2014 года в 10.00 состоится мастер-класс Андрея Прозорова «Как эффективно работать с информацией». 

Мы продолжаем обсуждать тему личной эффективности специалистов по ИБ и не только. В этот раз мы поговорим о том, как эффективно работать с таким важным ресурсом, как информация. 

Информация правит миром. Даже если мы этого не замечаем. Ежедневно мы получаем, обрабатываем и производим информацию в разных ее видах и проявлениях. Но как с ней работать эффективно? На что обращать внимание при поиске и обработке информации? Как лучше предоставить информацию конечному получателю? Какие существуют идеи и техники по сбору и хранению информации? 

На мастер-классе Андрей расскажет про идеи и методы, которые уже давно использует сам при работе с информацией. И кажется, у него это получается  делать довольно эффективно!

Регистрация тут.


Андрей Прозоров – эксперт по информационной безопасности, блогер и просто интересный человек.

Товарищество RISC приглашает к участию в мастер-классе руководителей подразделений ИБ и ИТ, а так же представителей других «офисных» профессий.

Участие в мастер-классах RISC бесплатное, необходимо лишь пройти предварительную регистрацию.

3 сент. 2014 г.

Товарищество RISC проведет свой первый семинар в Санкт-Петербурге

30 сентября 2014 года товарищество RISC совместно с экспертами CyberSecurity PriceWaterhouseCoоpers (PwC) проведет в Санкт-Петербурге первый очный семинар «Роль человека в обеспечении информационной безопасности».   

Место проведения: г. Санкт-Петербург, деловой комплекс BolloevCenter, пер. Гривцова, 4.

Программа семинара:

9:30-10:00  - Встреча и регистрация участников семинара, приветственный кофе
10:00-10:10  - Открытие семинара, приветственное слово организаторов
10:10-10:50  - «Темные пятна в ИБ, где ваше слабое звено» Роман Чаплыгин, PWC
10:50-11:30  - «Повышение осведомленности пользователей по вопросам  ИБ» Алексей Митюшов, «Аэроэкспресс»
11:30-12:00  - кофе-брейк  
12:00-12:40  - «Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ» Юрий Шойдин, АРСИБ
12:40-13:20  - «ИБ и ИТ - казнить нельзя помиловать:  взгляд со стороны ИТ» Алексей Широких, Сколковский институт науки и технологий («Сколтех»)
13:20-13:50  - кофе-брейк  
13:50-14:30  - «Проблематика подбора специалистов по ИБ на российском рынке труда» Дмитрий Мананников, SPSR-express
14:30-15:10  - «Человек смотрящий» Андрей Прозоров, Infowatch
15:10-15.30 - Подведение итогов семинара

Участие в семинаре RISC бесплатное, необходимо лишь пройти предварительную регистрацию тут.

Приходите, будет интересно!


19 авг. 2014 г.

Мастер-класс Ивана Новикова «Тестирование на проникновение: задача, решение и ограничения»

27 августа 2014 года в 11.00 состоится мастер-класс Ивана Новикова «Тестирование на проникновение: задача, решение и ограничения».

На мастер-классе речь пойдет о такой популярной услуге по ИБ как тестирование на проникновение (или пентест от анлг. penetration testing). Будет поднята тема применимости данной услуги к задачам организации процесса ИБ компании. Для чего может и для чего не может применяться такого рода услуга. Какие цели может и должен ставить заказчик перед экспертами. Будут приведены ограничения действий аудиторов, проводящих работы, взятые из практики оказания услуги на российском рынке.

Регистрация тут.



Иван Новиков — основатель и руководитель компании ONsec. Известный во всем мире специалист по безопасности веб-приложений, автор десятков исследований по различным вопросам ИБ, представленных впоследствии на таких крупных международных конференциях как BlackHat и HITB. Его награждали: Яндекс за победу в конкурсе «Месяц поиска уязвимостей», Google за уязвимости в Chrome, Trustwave за ModSecurity SQLi Challenge, 1C Bitrix за соревнование в обходе проактивной защиты. Сейчас Иван сосредоточен на разработке Wallarm, проактивного решения для безопасности веб-приложений, которое успешно используется в крупных российских и зарубежных интернет-компаниях.

Товарищество RISC приглашает к участию в мастер-классе специалистов по ИБ и ИТ, студентов и аспирантов, обучающихся по направлению ИБ, и всех желающих, интересующихся вопросами информационной безопасности.

Участие в мастер-классах RISC бесплатное, необходимо лишь пройти предварительную регистрацию.

11 авг. 2014 г.

Мастер-класс Алексея Бабенко «Цикл безопасной разработки»

19 августа 2014 года в 10.00 состоится мастер-класс Алексея Бабенко «Цикл безопасной разработки».

Сообщения о новых уязвимостях в программном обеспечении появляются в новостях с заядлой периодичностью. Обнаруженные недостатки похожи на симптомы какой-то болезни. Мы пытаемся бороться с последствиями, не понимая, в чем ее причина. В рамках мастер-класса мы рассмотрим основные принципы обеспечения безопасной разработки на примере рекомендаций PCI SSC, Microsoft, Cisco, ЦБ РФ и попробуем разобраться, где кроется корень проблемы. 

Регистрация тут.



Алексей Бабенко – руководитель направления отдела безопасности банковских систем компании «Информзащита». Обладатель статуса Payment Application Qualified Security Assessor. За 6 лет работы в компании, с 2008 года, прошел путь от ассистента до руководителя направления, область компетенций: аудит и консалтинг по приведению в соответствие требованиям стандартов PCI DSS, PA-DSS, СТО БР, требованиям 152-ФЗ, ISO 27001. Активный участник и спикер на различных конференциях, посвященных ИБ. 

Товарищество RISC приглашает к участию в мастер-классе специалистов по ИБ и ИТ, студентов и аспирантов, обучающихся по направлению ИБ, и всех желающих, интересующихся вопросами информационной безопасности.

Участие в мастер-классах RISC бесплатное, необходимо лишь пройти предварительную регистрацию.

7 авг. 2014 г.

Мастер-класс Алексея Лукацкого «Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном законодательстве по ИБ в ближайшее время»

13 августа 2014 года в 11.00  состоится мастер-класс Алексея Лукацкого «Какие чернила подвезли бешеному принтеру  или что нас ждет в отечественном законодательстве по ИБ в ближайшее время».

Жаркое лето 2014-го года подходит к концу, после отпусков мы вступаем в очередную активную фазу работы на благо отечественной ИБ. Одной из составляющих этой работы является выполнение законодательных требований, число которых в нашей стране растет, как грибы после радиационного дождя. Порой инициативы наших законодателей принимают столь причудливые формы, что диву даешься. Зачастую по только что принятому закону сразу же создается согласительная комиссия, которая начинает готовить поправки. Вот обо всем этом мы и будем говорить. Какие новые нормативные акты были приняты совсем недавно? Какие могут быть приняты в ближайшем будущем? Как они будут влиять на повседневную деятельность компаний?

Регистрация тут.



Алексей Лукацкий не нуждается в представлении. Этот человек давно сам стал брендом. Мэтр отечественной информационной безопасности, известный блогер, ведущий один из самых популярных в России блогов по информационной безопасности. Опубликовал свыше 600 печатных работ в различных изданиях. Является членом множества рабочих и экспертных групп и комитетов по разработке и экспертизе отечественного законодательства по ИБ.  

Товарищество RISC приглашает к участию в мастер-классе специалистов по ИБ и ИТ, студентов и аспирантов, обучающихся по направлению ИБ, и всех желающих, интересующихся вопросами информационной безопасности.

Участие в мастер-классах RISC бесплатное, необходимо лишь пройти предварительную регистрацию.

30 июл. 2014 г.

Безопасность с человеческим лицом (часть 2)

Продолжаем наш хит-парад!

Безопасность с человеческим лицом (часть 1)

Мы представляем вашему вниманию наш новый проект - «Безопасность с человеческим лицом», - проект о том, как живут люди, которые создают индустрию информационной безопасности. Вам интересно узнать какие они, когда не пишут постов в блоги и не проводят семинары?! В рамках проекта мы узнаем, какую музыку они любят, какие книги читают и какие лайфхаки используют в повседневной жизни. Устраивайтесь поудобнее. Мы начинаем.

Вы никогда не задумывались о том, как «звучит» рынок ИБ? А мы задумались и решили выяснить какая музыка олицетворяет российский ИБ. Для этого, мы попросили экспертов рынка ИБ составить подборки своих любимых музыкальных композиций.  И вот что у нас получилось. Коктейль из классики и рока!

8 июл. 2014 г.

Цикл мастер-классов, посвященный повышению личной эффективности

В Санкт-Петербурге настоящее лето. Поэтому тех, кто не уехал в отпуск, а остается вместе с нами в городе, товарищество RISC приглашает принять участие в цикле мастер-классов, посвященных вопросам повышения личной эффективности. Наши тренеры расскажут вам о том, что такое личная эффективность, как ее достичь и измерить, и от чего она зависит. Мастер-классы в рамках цикла проведут Андрей Прозоров и Виктор Давидич.

Программа мастер-классов:
  • Мастер-класс Андрея Прозорова «Подходы и инструменты личной эффективности» состоится 15 июля в 10.00 (по московскому времени). Регистрация тут.

Андрей Прозоров – эксперт по информационной безопасности, блогер и просто интересный человек.


Андрей расскажет о различных подходах и инструментах личной эффективности, поделится опытом личностного развития и теми методиками, которые применяет он сам. Вместе с тренером мы выясним, зачем нужно оценивать свою личную эффективность и как это помогает жить и работать. И многое другое.

  • Мастер-класс Виктора Давидича «Коучинговые методики в менеджменте и личной эффективности» состоится 18 июля в 20.30 (по московскому времени). Регистрация тут.

Виктор Давидич является не только экспертом в области информационной безопасности, блогером, но и дипломированным практикующим коучем, специалистом в области личной эффективности.


В рамках мастер-класса Виктор расскажет о коучинге и некоторых его методиках, затронет вопросы личной эффективности и целеполагания. Покажет, как применять эти методики в вопросах менеджмента и достижения целей.

Участие в мастер-классах RISC бесплатное, необходимо лишь пройти предварительную регистрацию.

27 июн. 2014 г.

Мастер-класс Алексея Лукацкого «Как обосновать затраты на информационную безопасность»

8 июля 2014 года в 11.00 состоится мастер-класс Алексея Лукацкого «Как обосновать затраты на информационную безопасность». 

Информационная безопасность и обоснованность вложений в нее. Столько копий сломано из-за этой темы. А сколько еще будет?.. Внесем лепту и мы. Алексей Лукацкий поделится своим опытом обоснования инвестиций в информационную безопасность. Он покажет на конкретных примерах, когда стоит задумываться об экономике ИБ, а когда стоит отложить эту тему «на потом». Оценка эффективности вложений в проекты по защите персональных данных, IDM, управлению инцидентами, контролю доступа в Интернет и внутреннего доступа... Обо всем этом в коротком, как выстрел, но емком, как сжатая Вселенная, докладе Алексея Лукацкого. 

Регистрация тут.



Алексей Лукацкий не нуждается в представлении. Этот человек давно сам стал брендом. Мэтр отечественной информационной безопасности, известный блогер, ведущий один из самых популярных в России блогов по информационной безопасности. Опубликовал свыше 600 печатных работ в различных изданиях. Является членом множества рабочих и экспертных групп и комитетов по разработке и экспертизе отечественного законодательства по ИБ.  

Товарищество RISC приглашает к участию в мастер-классе специалистов по ИБ и ИТ, студентов и аспирантов, обучающихся по направлению ИБ, и всех желающих, интересующихся вопросами информационной безопасности.

Участие в мастер-классах RISC бесплатное, необходимо лишь пройти предварительную регистрацию.

17 июн. 2014 г.

Мастер-класс Андрея Масаловича и Валентина Еремеева по конкурентной разведке и обеспечению экономической безопасности бизнеса

26 июня Академия Информационных Систем проведет семинар по конкурентной разведке. Товарищество RISC организует веб-трансляцию этого мастер-класса. 

Семинар проведут Андрей Масалович, ведущий эксперт по конкурентной разведке АИС, и Валентин Еремеев, директор по развитию бизнеса «Интегрум», эксперт по экономической безопасности и конкурентной разведке. 

В рамках своего выступления Андрей Масалович продемонстрирует на примерах реальную степень защищенности корпоративных ресурсов и конфиденциальных документов. Андрей расскажет о том, что такое «невидимый» интернет, а также покажет, как с ним работать, находить необходимую информацию и защищать свою.

Выступление Валентина Еремеева будет посвящено вопросам выявления аффилированности на основе федеральных источников и средств массовой информации. Валентин остановится на нюансах анализа учредительной информации и деловой репутации. Слушатели узнают, как составлять семантические схемы.

Слушатели из Москвы могут принять участие в семинаре очно, для этого необходимо пройти регистрацию тут

Слушатели из других городов смогут посмотреть мастер-класс онлайн, для этого необходимо пройти регистрацию тут.

26 мая 2014 г.

Цикл мастер-классов от Владимира Безмалого

Первой инициативой товарищества RISC станет цикл мастер-классов, который проведет Владимир Безмалый, один из ведущих экспертов в области ИБ и ИТ в Украине. Автор более 150 статей, изданных в Украине, Белоруссии и России. Обладатель статуса Microsoft Most Valuable Professional в области Consumer Security, Microsoft Security Trusted Advisor. Спонсором цикла мастер-классов выступит компания «Альтирикс системс» – поставщик услуг в области информационной безопасности и управления информационными технологиями.

Программа мастер-классов:
  1. «Расследование компьютерных инцидентов в ОС Windows. Руководство к действию» – состоится 3 июня 2014 года. Начало в 11:00. Вместе с автором мастер-класса слушатели проведут собственное компьютерное расследование и по шагам разберут, какие действия и в каком порядке нужно предпринять для проведения внутренних компьютерных расследований, а также научатся применять инструментальные средства Windows Sysinternals, внутренние команды и другие процедуры для расследования инцидента. Регистрация.
  2. «Мобильная криминалистика. Анализ резервных копий Apple IPhone и Windows Phone» – состоится 10 июня 2014 года. Начало в 11:00. Автор мастер-класса поделится «тайным знанием» о том, как создать резервную копию IPhone или смартфона, работающего под управлением Windows Phone, и как затем провести криминалистический анализ извлеченных данных. Регистрация.
Товарищество RISC приглашает к участию в мастер-классах специалистов по ИБ и ИТ, студентов и аспирантов, обучающихся по направлению ИБ, и всех желающих, интересующихся вопросами информационной безопасности.

Участие в мастер-классах RISC бесплатное, необходимо лишь пройти предварительную регистрацию.

RISC начинает свою работу!

Russian Information Security Club или RISC – это товарищество специалистов по информационной безопасности, которые объединились, чтобы сформировать в Северо-Западном федеральном округе сообщество экспертов по ИБ, заниматься развитием компетенций среди молодых специалистов и отрасли в целом.

Мы создали RISC, чтобы объединить вокруг него специалистов по ИБ из Северо-Западного федерального округа и построить центр компетенций. 

Мы готовы работать со студентами профильных учебных заведений, так как считаем, что молодое поколение – это наше настоящее и будущее. Развитие их компетенций и формирование   правильных ориентиров для них – одна из наших ключевых задач.  

RISC будет работать в нескольких форматах: 
  • проведение очных семинаров на различные актуальные темы по информационной безопасности – мы приглашаем известных спикеров, формируем программу, самостоятельно ищем спонсоров и место проведения; 
  • организация и проведение очных и онлайн мастер-классов с известными экспертами;
  • выпуск различных методических документов, подготовка экспертных материалов и аналитических отчетов, основанных исключительно на практике работы в области информационной безопасности.

Важно, что RISC не представляет интересы каких-либо производителей средств защиты или системных интеграторов. Комиссариат товарищества RISC состоит исключительно из практиков, поэтому мы не ставим перед собой цель продать вам какие-то товары или услуги. 

Товарищество RISC открыто к сотрудничеству со всеми ассоциациями и объединениями, вузами и другими организациями, которые готовы к совместным проектам.

RISC не берет плату ни за вступление в товарищество, ни за участие в наших проектах.

Чтобы стать членом товарищества RISC достаточно вступить в нашу группу на Facebook

Следите за нашими новостями на страницах в Facebook, «ВКонтакте» и Twitter.