ФСТЭК и compliance: от закона до базовых мер

Compliance без безопасности: почему проверки превращаются в формальность

от

«Многие в индустрии чувствуют, что их работа превратилась в формальность. Но это ощущение — не признак поражения, а следствие кризиса модели, где безопасность воспринимается как обуза, которую нужно отчитаться. Настоящий контроль, это когда требования перестают быть чем-то внешним, а становятся языком для описания эффективной работы системы.» Разрыв между ожиданием и реальностью Когда-то работа по обеспечению … Читать далее

Что делать, если заказчик просит доступ к серверу по 152-ФЗ

от

“Прямой доступ к серверу, это не просто технический вопрос, это передача части суверенитета над инфраструктурой. В российском ИТ, где регуляторика ФСТЭК и 152-ФЗ — не абстракция, а ежедневная реальность, такая просьба запускает цепную реакцию юридических, технических и управленческих рисков. Многие ошибочно считают, что можно просто создать учётную запись и забыть. На самом деле, это точка, … Читать далее

Безопасность как подписка: как облако меняет подход к 152-ФЗ

от

«Когда регулятор смотрит на облако, он видит сервер, а не услугу. Это фундаментальная ошибка, которая заставляет тратить миллионы там, где можно было просто подписаться. Безопасность как подписка – это не о том, чтобы снять с себя ответственность, а о том, чтобы перестать изобретать велосипед, который уже давно катится у провайдера». Облачная парадигма изменила всё, кроме … Читать далее

Совмещение NIST, ISO и COBIT: как построить единую систему кибербезопасности

от

«Совмещение NIST, ISO и COBIT, это не про механическое склеивание трёх документов в один. Это про создание собственной операционной системы управления кибербезопасностью, где каждый фреймворк выполняет свою роль: COBIT задаёт бизнес-контекст и цели, ISO даёт системную модель для процессов, а NIST предоставляет тактические инструкции для их реализации. Попытка следовать всем трём одновременно без понимания их … Читать далее

Что такое объекты критической информационной инфраструктуры

от

«КИИ – это не категория почётности и не абстрактная важность. Это операционный статус, который жёстко диктует правила игры для всего технического стека компании. Определив его неправильно, ты либо потратишь миллионы на избыточную защиту, либо оставишь критический актив без надлежащего прикрытия и получишь претензии от ФСТЭК при первом же инциденте. В основе лежит не желание соответствовать, … Читать далее

Глобальные модели защиты данных: от GDPR до 152-ФЗ

от

«В России основное регулирование защиты данных строится вокруг 152-ФЗ, но чтобы по-настоящему понять его структуру и место в общем поле, полезно посмотреть на другие ключевые модели. Это не просто набор правил про хранение файлов, это разные философии о том, кто и как контролирует информацию о человеке. Мы пройдёмся не по списку всех стран, а по … Читать далее

Как PAC-теория обучения помогает выполнять 152-ФЗ на практике

от

«Всё, что мы сегодня называем машинным обучением для безопасности, от моделей обнаружения атак до систем категоризации угроз, стоит на теоретических опорах, сформулированных ещё до эпохи больших данных. Эти основы — не абстрактная математика, а прямой ответ на регуляторные требования, в том числе 152-ФЗ: почему модель считается «обученной», что значит «результат с заданной точностью» и где … Читать далее

NCSIP: архитектурный подход к безопасности по стандартам ФСТЭК

от

«Если вы работаете с защитой информации в России, вы наверняка слышали аббревиатуру NCSIP. Но что скрывается за этими буквами на практике? Это не просто очередной стандарт, а ключевой элемент архитектуры безопасности, который определяет, как должны взаимодействовать компоненты системы защиты. Понимание NCSIP, это понимание того, как регулятор видит правильно построенную защиту на уровне технических деталей, а … Читать далее

GDPR и 152-ФЗ: три ключевые оси для сравнения законов о данных

от

“Сравнивать GDPR и 152-ФЗ, это как говорить, что машина и самолёт выполняют одну функцию. Они оба о движении, но правила, риски и цели — разные миры. Законы о защите данных вырастают из почвы правовых и технологических традиций страны, и ключ к пониманию — не в заучивании статей, а в анализе исходных координат: от кого защищают, … Читать далее

Защита КИИ: больше чем выполнение требований регулятора

от

«Термин ‘защита критической инфраструктуры’ (Critical Infrastructure Protection, CIP) в российском ИТ-контексте слышан многими, но редко воспринимается за пределами требований регулятора. На деле это не просто формальность, это выстроенная система взглядов, где безопасность ИС начинает формироваться не с кода приложения, а с понимания физической и цифровой среды, в которой этот код выполняется.» Критическая информационная инфраструктура: объект … Читать далее