«Нормативная база по ИБ, это не просто груда бумаг, а единая система, где Конституция определяет принципы, а приказы ФСТЭК — цвет провода для конкретного сетевого кабеля. Понимание этих связей превращает рутинное выполнение требований в осознанное проектирование защиты.» Конституция и Федеральные законы: иерархия целей Любая система защиты информации в конечном счете работает на исполнение конституционных гарантий. … Читать далее
«Когда появляется технология, которая обещает все решить, первое правило — посмотреть, какие проблемы она создает сама. G претендует на роль архитектурной революции, но пока больше похожа на глобальную систему для сборки данных под предлогом их защиты. И если ты работаешь в российском IT, то тебе нужно понять не только как это работает, но и как … Читать далее
«Фриланс в информационной безопасности кажется райским выходом: берёшь задачи, не ходишь в офис, сам управляешь графиком. Но под тонким слоем свободы скрывается трещина: твоя профессиональная ответственность теперь заканчивается не дверью отдела ИБ, а договором, который ты, скорее всего, не читал полностью. А за ним — неопределённость, административная пустота и риск, который из профессионального превращается в … Читать далее
В конце квартала системный администратор открывает папку «Документы ИБ» и создает новый файл. Название старое: «Политика_информационной_безопасности_v3.2». Он копирует текст из предыдущей версии, меняет дату, обновляет номер приказа. Потом отправляет на согласование. Все подписывают без правок. Через три дня документ ложится в сеть, где его никто не откроет. Политики безопасности никто не читает. Регламенты работы с … Читать далее
Доступность, это обещание системы, а не её свойство. Разница в том, что свойство можно измерить сейчас, а обещание проверяется в момент сбоя. Большинство мер по обеспечению доступности, это не про железо и софт, а про управление чужими ожиданиями, согласование реальных возможностей с декларируемыми и постоянную готовность доказать, что система не обманула. https://seberd.ru/1782 Почему доступность, это … Читать далее
В разговорах об архитектуре ИБ часто возникает подмена. Под архитектурой начинают понимать набор внедрённых средств, перечень сегментов сети или схему из презентации для аудиторов. На уровне CISO архитектура решает другую задачу. Речь идёт о модели, которая задаёт границы допустимых решений, определяет логику развития защиты и позволяет объяснять технические выборы бизнесу, финансам и регуляторам на одном … Читать далее
«Юридические документы в пентесте, это не просто формальность. Они определяют границы вашей безопасности и защиты. NDA, SOW, MSA, это не абстрактные договорённости, а правовая основа, которая может стать вашим щитом или обвинительным заключением. Пренебрегая ими, вы не только рискуете репутацией, но и совершаете уголовно наказуемые действия. Понимание их — база для легитимной работы, а не … Читать далее
«Добросовестность, это юридический конструкт, который превращает абстрактное «мы старались» в конкретное судебное доказательство. Его можно собрать из документов и логов, но он рассыпается при первой попытке выдать формальные отчёты за реальную защиту.» Три кита доказательной базы Для суда или регулятора добросовестность, это система, состоящая из трёх взаимосвязанных и документированных элементов. Отсутствие одного из них разрушает … Читать далее
«Аудит ИБ, это не просто протокол проверки, а система перевода технических сбоев и организационных просчетов на язык бизнес-рисков, где каждое найденное несоответствие имеет свой денежный и репутационный эквивалент». Введение Когда речь заходит об аудите информационной безопасности, многие представляют себе формальную процедуру с чек-листами и отчетами для ФСТЭК. Реальность сложнее. Это процесс, который задает системе координат … Читать далее
«Сначала в компании был Excel, который заполнялся от случая к случаю. После инцидента с уволенным сотрудником, чья учетная запись осталась активной, поняли, что защищать можно только то, что видно. Инвентаризация, это не документ, это процесс превращения хаоса в структуру, на которой можно строить реальную безопасность.» Что такое актив в информационной безопасности Актив, это любой ресурс … Читать далее