Комплаенс и стандарты

«Спящий» гаджет, это не мёртвая вещь, а датчик, который продолжает сканировать пространство вокруг себя. Его радио-чипы работают в режиме ожидания, собирая данные о сигналах, движении и присутствии. Разрозненная коллекция таких устройств образует стихийную распределённую сеть наблюдения. Закон и регуляторика в России пока не видят в этом проблемы, потому что не понимают, как формализовать угрозу, исходящую … Читать далее

«700 млн, это цена за право не думать. Цена за то, чтобы совет директоров продолжал считать безопасность техническим расходом. Но при реальном инциденте эта сумма превращается в цену вопроса о доверии: доверии к вам как к руководителю, доверии к компании как к партнеру. Риск нельзя делегировать в страховку или на аутсорс — его можно только … Читать далее

«Большинство компаний рассматривает сертификацию как бюрократическую преграду, которую нужно преодолеть для получения бумажки. Но когда ты начинаете готовиться к аттестации так, будто готовитесь к реальной атаке, результат оказывается другим. Сертификат становится не конечной целью, а естественным итогом создания системы, которую сложно сломать. Вложения в этот процесс возвращаются не в виде документа на бумаге, а в … Читать далее

«Ценность данных для бизнеса понятна, но есть другой рынок, где эти данные получают ценник в твёрдой валюте. Понимание механизмов этого теневого рынка — не про любопытство, а про возможность оценить реальные, а не абстрактные риски, и превратить безопасность из статьи расходов в инструмент управления финансовыми потерями.» Структура теневого рынка: от поставщика доступа до обналичивателя Подпольная … Читать далее

«Формально — закон о безопасности инфраструктуры. Фактически — механизм, переводящий безопасность в статус контролируемого товара, где поставщик и цена определяются не рынком, а административными решениями.» Новый этап регулирования: что скрывается за номером 187? Действительно, с июля 2023 года Федеральный закон № 187-ФЗ, часто называемый законом о КИИ, формально сменил парадигму: защищать нужно не данные, а … Читать далее

«Мы думаем об интернете как о чём-то едином — глобальной сети. Но его настоящая суть в другом: это набор договорённостей, протоколов, которые позволяют разным, независимым сетям договориться между собой. Это не империя, а постоянно пересматриваемая федерация. Современный централизованный ландшафт — лишь один из возможных исходов этой идеи, и не самый устойчивый.» Исходный код: ARPANET и … Читать далее

«Однажды подписанный контракт с поставщиком работает как страховка от неожиданностей. Но типовые пункты о цене и сроках поставки часто не покрывают рисков, связанных с информационной безопасностью и требованиями регуляторов. В итоге компания сама отвечает за уязвимости, внесённые извне, а формальный договор не позволяет этого исправить.» Почему стандартный договор поставки недостаточен С юридической точки зрения, большинство … Читать далее

«Личный бренд CISO, это не про эго или пиар. Это тактический инструмент для того, чтобы перестать быть «пожарным» и стать архитектором безопасности в глазах совета директоров. В России, где регуляторика часто превращается в формальное закрытие чек-листов, именно публичная экспертиза позволяет перевести разговор с бюрократии на реальные риски. Без этого вас будут слушать, но не слышать.» … Читать далее

«Переход из штатного специалиста в консалтинг, это не просто смена работодателя. Это смена роли, мышления и системы измерения твоей ценности. Внутри компании ты — часть системы, в консалтинге ты становишься временным архитектором чужих систем, и это даёт рычаги влияния, которых никогда не было на штатной позиции.» От операционного конвейера к консультационному полю Специалист, который всю … Читать далее