«Кибернормы, это не договоры, которые подписывают чиновники за столом. Это эволюция неписаных правил игры, которая происходит в ходе атак и утечек. Сегодня главная задача — не придумать идеальный документ ООН, а обеспечить, чтобы внутренние регуляторные системы разных стран не противоречили друг другу до состояния войны, создавая прецеденты и точки соприкосновения. Российские ФСТЭК и 152-ФЗ — … Читать далее
“Соответствие требованиям, это не про безопасность, а про управление рисками. Рисками не взлома, а проверки. Реальная защита начинается там, где заканчивается чек-лист.” Что такое compliance и зачем он нужен Compliance, это формальное соответствие установленным правилам, стандартам и требованиям регуляторов. В российском ИТ-контексте это прежде всего ФСТЭК, 152-ФЗ, приказы, методики и отраслевые стандарты. Его цель — … Читать далее
«VR-биометрия, это не просто вход в игру, а предоставление доступа к вашему уникальному поведенческому портрету. Когда эта технология становится массовой, она автоматически превращается в мишень для атак, в то время как регуляторные механизмы безнадёжно отстают, оставляя пользователя один на один с рисками, которые он даже не осознаёт.» От аватара к цифровому двойнику Ранние VR-системы предлагали … Читать далее
«Классификация данных часто сводится к табличке из четырёх уровней, которую ИБ-специалист демонстрирует руководству для отчёта. На деле это не картинка, а движок — без него все последующие меры защиты (DLP, шифрование, доступ) становятся бессистемными. Правильно построенная система превращает ‘требование регулятора’ в рабочую инструкцию для сотрудника и скрипт для системы.» Уровни классификации данных Классификация, это присвоение … Читать далее
Безопасность в ИТ, это не отдельная железная коробка с замком, которую ставят в конце. Это контракт о доверии между бизнесом и его данными, написанный на языке планов. Когда планы не связаны, инцидент превращается из технического сбоя в репутационный кризис. https://seberd.ru/1758 Иерархия планов в информационной безопасности Управление защитой информации без внятной структуры планов похоже на попытку … Читать далее
Геометки на фото, это не просто цифровой сувенир, это публичная запись о вашем отсутствии дома. В России, где регуляторика ФСТЭК и 152-ФЗ говорят о защите персональных данных, мы сами ежедневно сливаем в сеть информацию, которая превращается в инструмент для целевых атак. Разберёмся, как это работает на практике, а не в теории. https://seberd.ru/6838 Как геометка становится … Читать далее
«Методы оценки зрелости процессов часто превращаются в бюрократические ритуалы, которые не дают реальной картины. Есть способ получить честный срез за пару часов, задав правильные вопросы не в анкетах, а в разговорах.» Почему стандартные оценки зрелости не работают Большинство методик оценки зрелости — CMMI, COBIT, ISO-серии — предлагают долгие аудиты, анкетирование и формальные интервью. Результатом становится … Читать далее
«Цифровой суверенитет, это не столько набор правил для ФСТЭК, сколько попытка навязать интернету логику национальных границ. Интернет по своей природе работает иначе, и именно это противоречие рождает все сложности, откуда растут корни 152-ФЗ и требований регуляторов. В этой статье мы разберёмся, почему эта идея так важна для государства и так неудобна для тех, кто строит … Читать далее
"Должность ‘владелец данных’ в реестре сотрудников не превращает человека в настоящего владельца бизнес-актива. Это лишь первая точка в юридической и технической цепочке ответственности, которую регулятор намеренно выдвигает вперёд. Реальность, это постоянный компромисс между тем, что написано в положении, и тем, что требует бизнес-процесс." Какие новые роли возлагаются на владельцев данных? Вокруг понятия «владелец данных» сложился … Читать далее
«Риск принято оценивать в баллах и на словах. Но когда мы говорим ‘высокий риск’, это сколько? Я перевёл угрозы в рубли, посчитал потери от простоя и ущерб репутации, и цифры оказались не такими, как в отчётах.» Почему словесные оценки риска работают против бизнеса В отчётах об оценке рисков информационной безопасности часто встречаются формулировки: ‘средний риск’, … Читать далее