«Доступность, это обещание системы, а не её свойство. Разница в том, что свойство можно измерить сейчас, а обещание проверяется в момент сбоя. Большинство мер по обеспечению доступности, это не про железо и софт, а про управление чужими ожиданиями, согласование реальных возможностей с декларируемыми и постоянную готовность доказать, что система не обманула.» Почему доступность, это не … Читать далее
В разговорах об архитектуре ИБ часто возникает подмена. Под архитектурой начинают понимать набор внедрённых средств, перечень сегментов сети или схему из презентации для аудиторов. На уровне CISO архитектура решает другую задачу. Речь идёт о модели, которая задаёт границы допустимых решений, определяет логику развития защиты и позволяет объяснять технические выборы бизнесу, финансам и регуляторам на одном … Читать далее
Контракт на работу, которого не видно В мире, где каждое второе приложение собирается из частей, которые написаны разными людьми, в разное время и на разных языках, нужен универсальный способ заставить их общаться. Этот способ не должен требовать, чтобы разработчики разбирались во внутреннем устройстве друг друга. API, это и есть такой способ, но в его основе … Читать далее
«Парольная политика, это не просто список требований для пользователей. Это зеркало, в котором отражается разрыв между формальными правилами и реальной практикой. Если ты пишешь политику, которую сам не можешь соблюдать, ты создаёшь систему, где нарушение правил становится нормой.» Почему мы пишем политики, которые сами не выполняем Требование создать пароль из 12 символов с заглавными буквами, … Читать далее
От глобального цифрового господства до локальных уязвимостей Политика кибербезопасности, определяемая государствами и корпорациями из Северной Америки и Европы, во многом формирует глобальную цифровую реальность. Эта реальность строится на продуктах, стандартах и протоколах, разработанных в этих странах. В результате государства, не входящие в этот технологический авангард, оказываются в роли вынужденных потребителей, чья цифровая инфраструктура зависит от … Читать далее
«Юридические документы в пентесте, это не просто формальность. Они определяют границы вашей безопасности и защиты. NDA, SOW, MSA, это не абстрактные договорённости, а правовая основа, которая может стать вашим щитом или обвинительным заключением. Пренебрегая ими, вы не только рискуете репутацией, но и совершаете уголовно наказуемые действия. Понимание их — база для легитимной работы, а не … Читать далее
“Общая концепция защиты информации — бастионы на болоте. В российском ИТ-регуляторике слишком много процессов построено на ‘защищаем то, что легко защищать’, а не на ‘защищаем то, что критично’. Результат: замок красиво стоит, а страшные существа уже давно живут внутри”. Сертификация и валидация Большинство документов, требуемых для аттестации объектов информатизации или сертификации средств защиты информации, представляют … Читать далее
«Выбор отечественной ОС, это не про политику, а про закрытие конкретных требований 152-ФЗ. Ты не выбираешь между операционными системами, а выбираешь документацию, сертификаты и готовые конфигурации под свой сценарий. На бумаге функционал похож, но подводные камни начинаются с первого запроса в техподдержку.» Зачем бизнесу переходить на российские ОС Причина не в стремлении к технологическому суверенитету, … Читать далее
«Мониторинг домашней сети, это не про паранойю, а про понимание того, как работает твоя инфраструктура. Zabbix позволяет увидеть то, что скрыто от глаз: не просто факт подключения, а качество этого подключения, нагрузку на устройства и их реальное состояние. Это переход от ‘вроде работает’ к ‘точно знаю, что и как работает’.» Зачем Zabbix в домашней сети … Читать далее
«Когда мы говорим о штрафах по GDPR, мы обычно представляем себе огромные суммы. Но реальная цена нарушения — не только в деньгах. Это цена репутации, доверия и способности работать в Европе. В России, где уже действует 152-ФЗ, эти правила работают по похожей логике, но с другим фокусом. Штрафы GDPR, это не просто наказание. Это архитектура … Читать далее