Комплаенс и стандарты

«Мониторинг даркнета и мессенджеров, это не просто поиск утечек, это работа с информационной средой, где каждый новый чат или канал становится узлом сети, который нужно выявить, понять и, при необходимости, нейтрализовать. В России этот процесс тесно связан с оперативно-разыскной деятельностью и соблюдением требований регуляторов.» Ключевые задачи мониторинга в российском контексте В отечественной практике мониторинг открытых … Читать далее

“Цифровая трансформация и регуляторное давление сместили фокус финансового директора с отчётности на кибербезопасность. Финансовый блок теперь — не только центр затрат, но и критический объект защиты по 152-ФЗ и приказам ФСТЭК. Его данные — мишень для атак, а уязвимости в его процессах ведут не только к финансовым, но и к репутационным потерям” . От главной … Читать далее

«PCI DSS, это не просто список из двенадцати требований. Это глобальная система, которая изменила экономику безопасности данных за последние двадцать лет, сделав её коммерциализированной и предсказуемой. Даже в России, где его формальное действие ограничено, он остаётся де-факто стандартом для всего, что связано с платёжными данными, и сценарием атаки номер один для киберпреступников.» Зачем создали PCI … Читать далее

“RACI, это не просто табличка для отчёта. Это способ увидеть, кто на самом деле принимает решения, кто отвечает за результат, а кто лишь ставит галочку. В российском ИТ, где требования регуляторов накладываются на внутренние процессы, эта матрица превращается из управленческого инструмента в инструмент выживания. Она показывает разрыв между формальной ответственностью и реальной работой, и помогает … Читать далее

“Киберриски, это не ИТ-вопрос, это бизнес-вопрос. Роль совета директоров в их управлении, это не просто «контролировать безопасность», а задавать вопросы, от которых зависит стратегия компании и её способность выполнять свои обязательства перед акционерами, клиентами и государством.” Стратегическая ответственность, а не технический надзор Первый и самый частый стереотип: совет директоров должен понимать сложные технические детали систем … Читать далее

“Большинство думает, что GGE, это просто площадка для разговоров, но на самом деле там определяют, что именно можно считать военной операцией в сети и кто несёт за неё ответственность. Там рождается международное обычное право для киберпространства.” Что такое GGE и почему он важен Группа правительственных экспертов ООН по достижениям в сфере информатики и телекоммуникаций в … Читать далее

«Безотносительный CVSS-балл, это математическая абстракция. Настоящий риск начинается там, где уязвимость пересекается с ценностью актива и требованиями регулятора. CWSS предлагает формализовать это пересечение, переводя разговор с инженеров на язык бизнес-рисков, понятный руководству и проверяющим.» Почему CVSS недостаточно для приоритизации в российском контексте Common Vulnerability Scoring System (CVSS) стала де-факто стандартом для оценки технической тяжести уязвимости. … Читать далее

“Реестр активов, это не просто список, который можно нарисовать и забыть. Это живая база данных, которая должна стать центром управления комплаенсом. Но этот центр либо заперт в Excel, который никто не обновляет, либо оказывается изолированной подсистемой в большой GRC-платформе, и информация в неё попадает с опозданием в квартал. В обоих случаях реестр перестаёт быть рабочим … Читать далее

“Zero Trust, это не продукт, который можно купить, и не конечное состояние, которого можно достичь. Это принцип, который требует постоянного пересмотра доверия к каждому компоненту системы, от пользователя до микросервиса. В российском ИТ, где регуляторика часто воспринимается как формальность, Zero Trust, это шанс превратить требования ФСТЭК и 152-ФЗ из обузы в архитектурный каркас реальной безопасности.” … Читать далее