Комплаенс и стандарты

«Доказательства безопасности в криптографии перестали быть сугубо академическим ритуалом. С ростом сложности протоколов и их внедрения в реальные системы, формальная верификация становится не просто хорошим тоном, а необходимым элементом доверия, особенно в контексте требований регуляторов вроде ФСТЭК и 152-ФЗ, где необходимо обосновывать не просто работу, а устойчивость системы к атакам. Automated reasoning, это не магия, … Читать далее

«Визуализация рисков и метрик, это не про красивые картинки, а про перевод данных в решения. Когда таблица не работает, нужен язык, который поймут все: от разработчика до гендира. Это не выбор между Excel и графиками, а поиск способа показать, что важно прямо сейчас, и скрыть шум.» Почему таблицы проигрывают в управлении рисками В российском ИТ-секторе, … Читать далее

«Если ты работаешь в ИБ, ты привык думать о рисках. Любой проект по безопасности, это ставка. Ставка времени, денег, человеческого капитала. Сравнивать pentest и bug bounty как просто два разных метода тестирования — в корне неверно. Это два разных бизнес-процесса, два разных подхода к управлению угрозой. Один, это плановый ремонт дороги. Другой, это система сообщений … Читать далее

“Бюджет на безопасность не трата, а страховка, которую нельзя списать подоходным налогом и которую невозможно предъявить. Ты просто будешь знать, что когда что-то случится — она сработала, но доказать что сработала именно она, а не просто не случилось, чаще всего невозможно. Объяснять это нужно в их языке: на языке рисков, репутации и финансовой устойчивости.” Почему … Читать далее

«Система защиты информации в России не является монолитом, которым её часто представляют. Это экосистема, где каждый орган — хищник, опылитель или пастбище со своей территорией, инстинктами и правилами игры. Вопрос не в том, кто главнее, а в том, чьи интересы пересекаются на вашем сервере и что вы можете противопоставить этому давлению». Два полюса: ФСТЭК и … Читать далее

«Всё сводится к одному вопросу: готова ли индустрия инфобезопасности вырастить своё будущее или будет ждать, пока его построят другие. Ответ на этот вопрос каждый даёт лично, и у менторства нет фиксированного списка задач, как у стандартной должности. Есть только ответственность, которую ты решаешь взять на себя». Зачем в индустрии безопасности нужны менторы Роль ментора в … Читать далее

«Стандарты безопасности пишут не в вакууме, а в конкретной инфраструктуре, под определённый тип атак и в ответ на чьи-то интересы. Единый глобальный стандарт, это попытка договориться, чья версия мира станет эталонной. В результате мы получаем стандарт, который может быть неэффективен в других условиях, либо используется как инструмент давления. Разные стандарты в разных странах — не … Читать далее

“Кибероружие нельзя контролировать как ядерное — у него другая природа, другие способы создания и применения. Но вопрос не в том, можно ли скопировать старые модели контроля, а в том, чтобы найти новые, соответствующие реальности цифровой среды.” Arms control для кибероружия: feasibility и verification Идея контроля над вооружениями в киберпространстве — не новость. Она возникает на … Читать далее

«Ты подаёшься на первую работу в ИБ, делаешь всё как учат на курсах, но отклики улетают в никуда. Проблема не в отсутствии вакансий, а в том, как ты себя представляешь. И это работает как кольцо безопасности: если ты его не видишь, оно тебя не защищает. Эти ошибки – именно такие невидимые механизмы, которые отсеивают кандидатов … Читать далее