«Власть сегодня, это не полномочия принимать законы. Власть, это возможность диктовать правила игры, зашитые в код, алгоритмы и архитектуру платформ. Государства, пишущие законы вроде 152-ФЗ, отстают на целый технологический цикл, потому что реальные правила уже прописаны в API Microsoft Azure, политиках GitHub и зависимостях в npm. Конфликт не между законом и корпорацией, а между формальным … Читать далее
Большинство специалистов слышали про COBIT, но многие считают его чем-то далёким и бюрократичным, вроде «свода требований от международных аудиторов». На самом деле, COBIT, это не столько набор требований, сколько структурированная логика принятия решений, которая помогает связать технические задачи информационной безопасности с управленческими целями бизнеса. В российской регуляторике, где часто приходится «подгонять» процессы под ФСТЭК и … Читать далее
"Почему специалист по безопасности с экспертизой ФСТЭК и 152-ФЗ не уходит в анонимность, а строит личный бренд через канал, и какой неочевидный способ монетизации, не связанный с консультациями, для этого подходит лучше всего в российском сегменте." Если вы работаете в информационной безопасности, особенно в регуляторике ФСТЭК и 152-ФЗ, мысль о создании публичного контента кажется противоречивой. … Читать далее
«Ключевая ошибка многих специалистов по безопасности — полагать, что угроза всегда приходит извне. На самом деле, куда чаще компанию обрушивают внутренние юридические риски: неправильно оформленные документы, нарушения в работе с ПДн, формальное, но не фактическое выполнение требований регуляторов. 152-ФЗ и 187-ФЗ, это не просто списки требований, это основание для уголовного дела, миллионных штрафов и дисквалификации … Читать далее
«Мы привыкли считать, что защита, это стена, которую нужно строить всё выше. Но когда стена становится бесконечной, а атаки — неизбежными, возникает вопрос: не проще ли научиться видеть врага внутри крепости, чем пытаться отгородиться от всего мира? Вопрос не в том, что важнее — предотвращение или обнаружение. Вопрос в том, почему мы вообще оказались в … Читать далее
«Система защиты информации в России не является монолитом, которым её часто представляют. Это экосистема, где каждый орган — хищник, опылитель или пастбище со своей территорией, инстинктами и правилами игры. Вопрос не в том, кто главнее, а в том, чьи интересы пересекаются на вашем сервере и что вы можете противопоставить этому давлению». Два полюса: ФСТЭК и … Читать далее
«812-ой документ ФСТЭК часто воспринимают как формальность — как будто закинул данные в таблицу и получил результат. Но в промсистемах эта формальность встречается с физическим миром, и тогда «низкая вероятность нарушения конфиденциальности» оборачивается реальным взрывом. Оценка рисков здесь, это перевод технических неисправностей, человеческих ошибок и уязвимостей в шлюзах на язык бизнес-потерь и человеческих жизней, а … Читать далее
«Compliance, это не просто список требований, который нужно выполнить. Это ещё и поле, на котором играют по особым правилам. Правила эти устанавливают не только регуляторы, но и те, кто пришёл на поле первыми. Выполнять требования ФСТЭК или 152-ФЗ, это дорого и долго, но не это главное. Главное, что эти затраты можно превратить в непреодолимую стену, … Читать далее
«Выбор отечественной ОС, это не про политику, а про закрытие конкретных требований 152-ФЗ. Ты не выбираешь между операционными системами, а выбираешь документацию, сертификаты и готовые конфигурации под свой сценарий. На бумаге функционал похож, но подводные камни начинаются с первого запроса в техподдержку.» Зачем бизнесу переходить на российские ОС Причина не в стремлении к технологическому суверенитету, … Читать далее
«Сборка домашней лаборатории по ИБ, это не вопрос финансов. Это вопрос превращения абстрактных требований 152-ФЗ и приказов ФСТЭК в конкретные команды в терминале, наблюдаемые процессы и логи в syslog. Это способ увидеть, как на самом деле работает сегментация сети или контроль учётных записей, когда вы сами задаете правила и сами их нарушаете.» Зачем это нужно … Читать далее