Комплаенс и стандарты

“Есть запрос: расскажи про международное сотрудничество по борьбе с киберпреступностью. Как будто для курса по 152-ФЗ. Реакция стандартная — перечислить группы в ООН, упомянуть ЕАЭС, завершить протоколом Будапештской конвенции. Но это мишура. Суть в другом: государственное сотрудничество почти всегда связано с расширением компетенций и обменом данными. А с этой точки зрения есть только один реальный … Читать далее

«Edge computing, это не просто «ближе к пользователю». Это фундаментальный сдвиг в архитектуре, который ломает привычную модель «укреплённого центра — уязвимой периферии». Теперь каждый узел на границе сети, это потенциальный центр управления компрометацией, точка входа в корпоративный контур или инструмент для атаки на само ядро. Регуляторы пока догоняют эту реальность, а защита превращается из задачи … Читать далее

“Задача по выбору операционной системы не решается указанием на две конкретные ОС, это стратегия на десятилетие. Центральная система задаёт архитектуру всего предприятия, а вспомогательная закрывает узкие задачи, которые основная не может или не должна делать. Причём всё это в условиях российского регулирования и импортозамещения.” Как формируются требования к основной системе Основная операционная система служит фундаментом … Читать далее

«Risk Appetite Statement часто превращается в мертвый документ из-за академичного подхода. Но можно сделать его практичным — таким, который реально использует бизнес для принятия решений, а не для отчетности. Это достигается через конкретику, привязку к бизнес-процессам и отказ от абстрактных процентов.» Почему Risk Appetite Statement не работает в стандартном формате Политика приемлемого риска — обязательный … Читать далее

«Многие готовят примитивные инструкции на случай сбоя, но катастрофа наступает там, где ломается взаимодействие между людьми. План коммуникаций, это не просто список телефонов; это сценарий на случай полного хаоса, когда эмоции мешают принимать решения, а времени на раздумья нет.» Зачем вам план коммуникаций, если вы и так всё держите в голове В момент сбоя — … Читать далее

“Дети и взрослые смотрят на цифровой мир с противоположных берегов. Один берег, это бесстрашие, граничащее с безрассудством, другой — осторожность, переходящая в паралич. Но настоящая цифровая грамотность рождается там, где эти берега соединяются.” Парадокс цифрового бесстрашия Ребёнок скачивает приложение, не читая условий, и за пять минут разбирается в его интерфейсе. Взрослый тратит полчаса на изучение … Читать далее

«Российские специалисты по ИБ часто смотрят на NIST CSF как на универсальный стандарт, но на практике оказывается, что этот фреймворк работает в вакууме. Он не даёт ответов на ключевые вопросы: как пройти аттестацию ФСТЭК, выполнить локализацию по 152-ФЗ или выбрать аттестованное СЗИ. Вместо готовых решений — лишь высокоуровневые декларации, которые нужно вручную перекладывать на российские … Читать далее

"Внедрение Zero Trust без юридического фундамента, это не защита, а самоубийство. Когда доступ ломается из-за твоей же политики, единственное, что имеет значение,, это подпись в договоре, которая определяет, кто заплатит за простой. Без этого ты не строил безопасность, ты строил личную ответственность за чужие ошибки." Как срыв доступа становится статьёй расходов Ошибочные или чрезмерно жёсткие … Читать далее

“DevSecOps в России, это не просто перенос западных практик с заменой GitHub на GitLab. Это пересмотр всей цепочки: от выбора инструментов, которые не завязаны на внешние SaaS, до построения отечественных пайплайнов, способных работать при прерывании сетевых соединений. Главный парадокс: чтобы действительно стать устойчивыми, нам нужно уйти от копирования готовых решений и начать собирать свои, даже … Читать далее