Комплаенс и стандарты

Архитектура российских NGFW: как выбор ядра влияет на безопасность

от

“Аппаратные российские NGFW, это уже не просто коробки со списком функций. Внутри их архитектуры скрываются разные технические компизмы, определяющие, какую реальную безопасность вы получите и какие ограничения столкнётся при росте.” От «списка функций» к архитектурному сравнению Сравнение российских межсетевых экранов нового поколения (NGFW) часто сводится к перечислению технических характеристик: количество портов, поддерживаемые протоколы, предельная пропускная … Читать далее

Что значит добросовестность в информационной безопасности

от

«Добросовестность, это юридический конструкт, который превращает абстрактное «мы старались» в конкретное судебное доказательство. Его можно собрать из документов и логов, но он рассыпается при первой попытке выдать формальные отчёты за реальную защиту.» Три кита доказательной базы Для суда или регулятора добросовестность, это система, состоящая из трёх взаимосвязанных и документированных элементов. Отсутствие одного из них разрушает … Читать далее

Как встроить требования ИБ в шаблон договора поставки

от

> "Вместо того чтобы каждый раз изобретать колесо для нового контракта с постащиком, можно встроить в шаблон договора поставки целый блок информационной безопасности. Это превращает хаотичные переговоры в предсказуемый сценарий, где риски защищены формально, и ты не полагаешься на устные договорённости, которые потом никто не вспомнит. Но сам шаблон — лишь полдела: важно, чтобы он … Читать далее

Какие последствия успешных атак для бизнеса

от

«Прямой ущерб от кибератаки — лишь надводная часть айсберга. Потеря клиентов, санкции регуляторов и крах репутации могут потопить компанию, даже если технически она восстановилась. Я покажу, как один инцидент запускает финансовый и регуляторный лавинный эффект, который мало кто просчитывает на старте.» Для многих руководителей успешная кибератака выглядит как единовременный технический сбой или убыток. На деле … Читать далее

Родительский контроль: как настроить защиту на всех уровнях

от

Родительский контроль, это не про запреты, а про создание цифровой среды, в которой ребёнок может учиться и расти, не сталкиваясь с тем, к чему он не готов. Большинство родителей останавливаются на настройках в приложении, но настоящая защита начинается с понимания, как устроена эта система изнутри и где находятся её реальные границы. Что на самом деле … Читать далее

Право на забвение в IT: правовые рамки и технические противоречия

от

“Право на забвение, это инструмент контроля над цифровым следом в эпоху, когда поисковые системы стали публичными архивами. Но в российском IT и в контексте 152-ФЗ этот контроль нередко упирается в технические коллизии между приватностью, безопасностью и целостностью информации.” Суть права на забвение: не удалить, а отодвинуть Право на забвение часто воспринимают как требование стереть информацию … Читать далее

Что такое аудит информационной безопасности

от

«Аудит ИБ, это не просто протокол проверки, а система перевода технических сбоев и организационных просчетов на язык бизнес-рисков, где каждое найденное несоответствие имеет свой денежный и репутационный эквивалент». Введение Когда речь заходит об аудите информационной безопасности, многие представляют себе формальную процедуру с чек-листами и отчетами для ФСТЭК. Реальность сложнее. Это процесс, который задает системе координат … Читать далее

Стратегия ИБ: договорённость с бизнесом, а не список мер

от

“Стратегия информационной безопасности, это не документ, а договорённость с бизнесом о том, что мы защищаем и какой ценой. Если в презентации на 40 слайдах нет чёткого ответа на вопрос «Зачем?», её отправят на доработку. Если нет понятного плана, как перейти из точки А в точку Б, её не будут финансировать. А без финансовой модели она … Читать далее

От процента к реальности: как рассчитать бюджет на безопасность в 2024

от

«Процент от IT-бюджета на безопасность, это такая же грубая абстракция, как средняя температура по больнице. Она ничего не говорит о конкретном диагнозе и лечении. В российских реалиях, где регуляторная повестка ФСТЭК и 152-ФЗ накладывается на импортозависимые ландшафты и профильные угрозы, разговор должен идти не о проценте, а о цене управления конкретными рисками, которые бизнес не … Читать далее

От базовых учений до управления кризисом: эволюционный план ИБ-тренировок

от

«Требование проводить учения по ИБ часто воспринимается как формальность, которую нужно просто «отметить». Но если подойти к этому стратегически, можно превратить план-график в инструмент, который не просто закрывает требования регулятора, а последовательно и целенаправленно усиливает реальную устойчивость компании к кибератакам. Это путь от отработки простых скриптов до управления полномасштабным кризисом, где проверяется не только техника, … Читать далее