Архив метки: ЦБРФ

Методические рекомендации ЦБ по управлению уязвимостями и пентестам

Методические рекомендации ЦБ по управлению уязвимостями и пентестам. 21 января был утверждён документ "Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка".

Документ на 21 страницу. Он содержит общие положения и рекомендации:

🔹 по проведению пентестов
🔹 по проведению анализа уязвимостей
🔹 по самостоятельному проведению этих работ и с привлечением сторонней организации
🔹 по информированию ЦБ о результатах работ (с формой отчёта)

В части Управления Уязвимостями наиболее важными видятся рекомендации:

🔻 3.7. проводить работы по анализу и устранению уязвимостей по руководству ФСТЭК по организации VM-процесса от 17.05.2023 ‼️
🔻 3.4. оценивать критичность уязвимостей по методике ФСТЭК от 28.10.2022 ❗
🔻 использовать сертифицированные ФСТЭК средства детектирования уязвимостей инфраструктуры 3.3. и исходного кода 3.5.

Попалась на глаза интересная вакансия руководителя Vulnerability Management направления в Центре оперативного управления ИБ Банка России

Добавить комментарий

Попалась на глаза интересная вакансия руководителя Vulnerability Management направления в Центре оперативного управления ИБ Банка России. Словил ностальгию, так как чуть не пошёл работать в ИБ департамент ЦБ, когда ещё учился на старших курсах универа. 😇 Отбор прошёл, всё понравилось, но совмещать тогда с учёбой показалось сложновато. 🤷‍♂️🙂 Помню, что здание главного вычислительного центра ЦБ РФ на Сходненской произвело впечатление продуманностью и мерами безопасности. 👍

По описанию VM-процесс достаточно стандартный:
🔹 регулярное сканирование инфраструктуры
🔹 анализ и приоритизация уязвимостей
🔹 ведение базы выявленных уязвимостей
🔹 контроль устранения
🔹 участие в разработке и согласовании компенсирующих мер

В нагрузку Compliance Management / Hardening и организация работ по пентесту (ну а кому ж ещё 🙂). Тема взаимодействия с ФинЦЕРТом не раскрыта. 😉

Список ожиданий адекватный: опыт работы со сканерами, общий кругозор по ИБ, умение кодякать (Python, Bash).

Upd. ТГ рекрутёра 😉

Ещё про импортозамещение, на этот раз для ЗОКИИ финансовых организаций

Добавить комментарий

Ещё про импортозамещение, на этот раз для ЗОКИИ финансовых организаций. Федеральный закон от 13.06.2023 № 243-ФЗ "О внесении изменений в Федеральный закон "О Центральном банке Российской Федерации (Банке России)". Насколько я понял из текста, вводятся:

- согласование планов мероприятий по переходу на преимущественное использование российского ПО, аппаратных средств и услуг на значимых объектах КИИ и обязательство этот переход совершить
- согласование заявок на закупки иностранного ПО, аппаратных средств и услуг для значимых объектов КИИ

Пока выглядит относительно лайтово.

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: ЦБРФ

Методические рекомендации ЦБ по управлению уязвимостями и пентестам

Попалась на глаза интересная вакансия руководителя Vulnerability Management направления в Центре оперативного управления ИБ Банка России

Ещё про импортозамещение, на этот раз для ЗОКИИ финансовых организаций