Комплаенс и стандарты

«Главное изменение — владелец данных перестаёт быть просто ‘тем, кто отвечает’. Теперь это проектная роль на стыке бизнеса, технологий и закона, которая должна доказать регулятору, что вся цепочка работы с персональными данными под контролем, даже если контролировать физически невозможно.» От администратора к архитектору Раньше владелец данных воспринимался как технический или административный ресурс. Человек, который знает, … Читать далее

«Что-то сломалось на другом конце планеты, а ты остался без деталей. Так работает уязвимость глобальных поставок. Резилиенс, это не про избегание сбоев, а про способность не заметить, что они были.» Почему цепочки не железные Глобализация создала модель, где производство максимально эффективно, но хрупко. Эффективность достигается за счёт концентрации: один завод в мире делает 90% определённых … Читать далее

“Сравнение сканеров, это не просто таблица с галочками. Это поиск инструмента, который не сломает твою инфраструктуру, поймёт твои отчёты для ФСТЭК и не заставит тебя писать костыли для каждого нового сервиса. В России выбор часто сводится к трём именам, и за каждым стоит своя философия работы с уязвимостями.” Три подхода к одной задаче Сканирование уязвимостей … Читать далее

«Нейросети встраивают в приложения как удобных помощников, и мы верим, что они «просто работают». Но однажды мой локальный ассистент начал сохранять ненужные данные. Оказалось, это стандартная опция для разработчиков, которую легко упустить из виду, но она создаёт риски нарушения требований 152-ФЗ о локализации данных. В истории ниже — как я это обнаружил и исправил.» Тихий … Читать далее

“Когда отчитываешься перед CTO, но от его решений зависит, будет ли тебя слушать директор по безопасности — ты уже не просто выполняешь приказы, а работаешь в трёхмерном поле. В этой статье — техника маневрирования без прямых полномочий, которая решает вопросы там, где формальные каналы работают со скрипом.” Что на самом деле означает «управление вбок» Если … Читать далее

«Регуляторика, это гонка, в которой нельзя отставать. Даже локальные требования ФСТЭК или 152-ФЗ не возникают в вакууме. Они реагируют на мировые киберугрозы и новые подходы. Если вы видите их только тогда, когда они уже приняты, вы всегда играете в догонялки. Начинать надо на три хода раньше.» Почему недостаточно следить только за российскими требованиями? Российское регулирование … Читать далее

«Реестр российского ПО, это не просто список. Это инструмент распределения ресурсов, система лояльности государства и механизм замещения, который создаёт экосистему с собственными правилами игры, где победитель получает доступ к закрытому рынку государственных закупок, а проигравший остаётся на открытом, перегретом рынке.» Зачем этот реестр понадобился Идея создать особый список для российского софта появилась не на пустом … Читать далее

“Когда исследователь находит дыру в протоколе шифрования, об этом сообщают производителю. Когда находят уязвимость в маршрутизаторе, отдают в CVE. А когда открывают принципиально новый вектор атаки на технологию, которая по закону должна применяться, но её никто не изучал на предмет рисков? Здесь действуют другие правила — этические, правовые и регуляторные. И да, это касается именно … Читать далее