Как совместить мировую практику с российской нормативкой

Нормативные документы ФСТЭК и ФСБ устанавливают требования безопасности, но как подойти к их исполнению? Прямых указаний нет, но многое, о чем умалчивает российская нормативка, можно заимствовать из мирового опыта. Давайте поговорим о том, какую пользу можно извлечь из рекомендаций NIST, MITRE и ENISA

01:00 «Разумные люди выставляют разумные требования, если их правильно интерпретировать»

03:15 Для лучшего понимания текста закона, переведите его на более «человеческий» язык

03:39 Просто о сложном: структурированный нормативный документ как дерево

07:10 Результат структурирования

08:16 Используем здравый смысл: нормативные документы очерчивают лишь границу, а конкретные действия по защите информации вы выбираете сами

08:40 Разрешено все, что не запрещено: о правильном понимании нормативных актов

10:38 О нужном, полезном и о том, что придется делать

13:50 Базис: ISO 27001, NIST SP 800-53 и другие рекомендации

16:14 Построение концепта системы защиты: ваши действия при выборе в качестве базиса CIS Controls

22:57 Результат построения концепта защиты и наложения на него нормативных актов

23:35 Не расслабляйтесь! О требованиях GDPR

25:23 ENISA вам в помощь

26:02 Не так страшен черт… О совмещении CIS Controls и требований GDPR

28:36 Результат совмещения CIS Controls с требованиями GDPR

30:21 Вопрос: то, о чем сейчас шла речь, распространяется на все компании без исключения?

37:28 Вопрос: к какому элементу относится ситуация с использованием виртуальных машин: нужно, полезно или придется сделать?

41:50 Вопрос: были ли в вашей практике случаи, когда Министерство обороны неохотно принимали требования ФСТЭК?