«Политика паролей, это не про красивые заголовки и длинные документы, которые никто не читает. Это про один единственный принцип: сколько стоит сломать ваш самый слабый пароль? Если вы считаете, что это вопрос для вашего отдела безопасности, вы ошибаетесь. Это вопрос для каждого, кто включает компьютер утром.» Создание политики паролей (password policy) — задача, которая кажется … Читать далее
Виртуализация не упрощает безопасность, а лишь делает её другого вида. Риски не исчезают, а трансформируются, требуя от администратора понимания новых плоскостей атаки и специфических средств контроля. При этом формальные требования часто отстают от реальных угроз, заставляя искать обходные пути для реальной защиты. https://seberd.ru/2069 Основные меры идентификации и контроля доступа Идентификация и управление доступом (ЗСВ.1 и … Читать далее
«Если бизнес-модель строится на борьбе с симптомом, то искреннее устранение причины болезни угрожает самому существованию компании. Индустрия кибербезопасности находится в этой парадоксальной ситуации.» Бизнес-модель как фундамент Любая коммерческая компания существует для извлечения прибыли. Вендоры информационной безопасности не исключение — они продают продукты и услуги для защиты от угроз. Их финансовое благополучие напрямую связано с существованием … Читать далее
Безопасная конфигурация, это не про разовое закручивание гаек, а про систему, которая живет вместе с инфраструктурой. Это скучная, методичная работа по превращению хаотичных настроек в управляемый актив, который можно измерить, проверить и, что важнее, — объяснить регулятору. Основная сложность не в технике, а в том, чтобы процесс не развалился под давлением операционных задач. https://seberd.ru/2084 Что … Читать далее
«Социология середины 80-х кажется далёкой от практики защиты информации, но только до тех пор, пока безопасность воспринимается как набор документов для ФСТЭК. Реальность показывает, что любой регламент, не учитывающий, как его будут читать, обходить и интерпретировать люди, превращается в формальность. Теория структурации Энтони Гидденса даёт ключ к пониманию этого разрыва — она объясняет, почему внедрённые … Читать далее
Искать виноватого — стратегия проигравших. Настоящий вопрос не в том, кто виноват, а в том, как система корпоративной безопасности так устроена, что её целостность зависит от одного человека. Ответ на этот вопрос определяет, станет ли инцидент дорогостоящим уроком или лишь поводом для поиска ‘крайнего’. https://seberd.ru/4800 Попытка возложить вину на сотрудника за утечку данных стала настолько … Читать далее
“Каждый раз, когда вы настраиваете сервер, вы думаете, что всё делаете правильно. А потом, под нагрузкой, начинают всплывать проблемы, которые можно было бы предотвратить на этапе первичной конфигурации. Стандартные гайды часто упускают детали, критичные для работы в условиях российских регуляторных требований и типичных инфраструктурных решений. Этот чеклист — не перечень очевидных шагов, а свод практик, … Читать далее
«Построить СМИБ за полгода, это не проставить галочки в списке контролей. Это проявить железную дисциплину, чтобы отказаться от 90% «нужного» и добить до результата оставшиеся 10%. Это про то, как из одного работающего винта собрать двигатель, который потянет за собой всю махину» СМИБ, это не самописный Excel с оповещениями на почту и не «купили коробку … Читать далее
«Паранойя в ИБ, это не медицинский диагноз, а профессиональная деформация, при которой все риски кажутся одинаково высокими, а доверять нельзя никому. Это тупик, который ведёт к параличу бизнеса и культуре страха. Разумная осторожность, это управление рисками, где каждый запрет или контроль оправдан вероятностью угрозы и стоимостью ущерба. Граница проходит там, где заканчиваются данные и начинаются … Читать далее
«Забудь про аудиторские отчёты. Реальная безопасность видна изнутри — в мелочах, к которым все привыкли. За полчаса можно увидеть больше, чем за неделю формальной проверки, если смотреть не по чек-листу, а глазами того, кому всё это нужно взломать.» Внешние проверки дают бумагу для регулятора, но часто пропускают суть. Грубые уязвимости, на которые не обращают внимания … Читать далее