«Соблюдение требований разных юрисдикций, это не про выбор одного стандарта, а про создание гибкой системы управления, где российские 152-ФЗ и ФСТЭК становятся базовым каркасом, а требования других стран — модулями, которые можно подключать и отключать. Главная ошибка — пытаться построить отдельный забор для каждого регулятора. Правильный путь — построить один высокий и прочный забор, а … Читать далее
"RBAC, это не просто галочка для аудитора, а фундамент для управляемой безопасности. Без него контроль доступа превращается в ручное управление тысячами индивидуальных разрешений, где ошибка неизбежна. Практическая ценность — в переводе хаотичных прав в предсказуемую, автоматизируемую модель." Создание матрицы доступа и реестра ролей Структура матрицы доступа для ERP-системы Матрица доступа, это карта, связывающая роли с … Читать далее
«Создание сервера, это не просто нажатие кнопки в панели управления. Это создание нового узла в сети, который будет жить своей жизнью, собирать пыль, уязвимости и внимание злоумышленников. Стандартный чеклист из пяти пунктов не работает, потому что упускает контекст: зачем этот сервер, кто к нему придёт и что он оставит после себя. Настройка, это не про … Читать далее
“Не зря говорят, что если документ выглядит как пустой лист, он наверняка полон того, чего ты не видишь. PDF — один из самых непроницаемых форматов в офисе. Его открывают, читают текст, печатают и забывают. Но внутри может скрываться не только текст, а целое приложение, история его создания и данные, которые никогда не должны попасть в … Читать далее
«Проблема классических моделей многоуровневой безопасности (МБ) — они формализуют правила и неформализуют саму структуру опасности. Теоретико-решеточный анализ не даёт готовых ответов, но превращает эту структуру в объект исследования, позволяя увидеть скрытые уязвимости и неизбежные компромиссы системы.» Теоретико-решеточный анализ моделей многоуровневой безопасности Основные принципы многоуровневой безопасности — классификация информации и её субъектов, а также строгие правила, … Читать далее
“Не каждый уведомление от антивируса, это спасение. Иногда это просто система говорит, что она работает. Нужно разделять реальные угрозы и рабочий шум. В России, с особыми требованиями к СМИ по ФЗ-152, антивирус может быть не только защитником, но и инструментом для отгрузки данных о конечном пользователе неизвестно куда. https://seberd.ru/7191 Антивирусное ПО для смартфонов воспринимают как … Читать далее
Ролевое управление доступом, это не про галочку для ФСТЭК. Это про то, чтобы сотрудник не мог случайно или намеренно сделать то, что не должен. Это про перевод хаотичных прав в управляемую систему, где каждый доступ имеет причину и срок действия. https://seberd.ru/2047 Исходная ситуация: хаос прав доступа Во многих организациях управление доступом строится по принципу «проще … Читать далее
«Многие думают, что ИИ, это просто один ассистент на телефоне или один помощник в облаке. Но будущее, к которому мы движемся, скорее всего, окажется многополярным. Не один сверхразум, а несколько AGI-систем, развивающихся параллельно и конкурирующих между собой. Такая структура не просто вероятна, она уже закладывается в текущей динамике рынка, технологий и регуляторики. Рассмотрим, как эта … Читать далее
Дверь кабинета распахнулась в три часа ночи. Бледный технический директор, голос дрожит: «Всё. Нас зашифровали. Они требуют два миллиона в биткоинах». В голове мелькнула мысль: «Это же фильм какой-то…» Но на мониторах уже мигали красные надписи, а в телефоне зашкаливало количество звонков от клиентов, партнёров, регуляторов. А когда расследование показало, что хакеры вошли через устаревшую … Читать далее
«Мы тратим ресурсы на ритуалы, которые не работают, потому что так привычнее. Настоящая безопасность, это не коллекция сертификатов, а умение отказаться от иллюзий и перестать делать то, что уже не работает.» Сложные пароли, которые никто не может запомнить Требование создавать пароли из 12 символов с обязательным набором заглавных букв, цифр и специальных знаков — один … Читать далее