«Рекомендация регулярно менять пароли — один из самых устойчивых, но спорных мифов информационной безопасности. Его продолжают транслировать, потому что это простой, понятный и внешне активный контроль. Но на практике политика принудительной смены паролей каждые 90 дней часто вредит безопасности, создавая ложное чувство защищённости и усугубляя реальные риски. Разберёмся, что на самом деле происходит с паролями … Читать далее
«В регуляторной практике формальный подход, это путь к бесконечным переделкам. Суть требований по обработке информации — не в выполнении ради галочки, а в создании работающей системы контроля на всех этапах существования данных. Только так можно ответить на реальные вопросы инспектора ФСТЭК, а не просто показать список выполненных пунктов.» Требования к обработке информации и активов в … Читать далее
«Классификация ГИС, это не бюрократический ритуал, а практический инструмент. Он переводит абстрактные требования закона в конкретный перечень технических и организационных мер. Ошибка на этом этапе закладывает фундамент под будущие проблемы с аттестацией.» Зачем нужна классификация? Государственные информационные системы обрабатывают разные типы данных. Информация на официальном сайте ведомства и биометрические данные в системе идентификации несут разный … Читать далее
“Тренинги по безопасности, это не календарная повинность, а инструмент управления риском. Их частота зависит не от желания отчитаться, а от того, насколько быстро ваша организация забывает уроки и насколько быстро меняется угроза.” От календаря к контексту: почему «раз в год» — плохой ответ Требование «проводить обучение по информационной безопасности» есть во многих стандартах и методиках. … Читать далее
«Почему в мире, где каждый второй вендор заявляет о 99,9% эффективности, нет ни одного универсального и признанного стандарта, чтобы это проверить? Потому что сама задача измерения эффективности защиты, это не техническая проблема, а политическая и экономическая. Она упирается в то, кто платит, кто устанавливает правила и что на самом деле считается победой.» Что такое «эффективность» … Читать далее
«Количественная оценка, это не магия и не слепая вера в цифры. Это попытка превратить интуицию и опыт в язык, понятный для расчётов и решений. Если качественная оценка отвечает на вопрос «что может случиться?», то количественная — «с какой вероятностью и во что это нам обойдётся?». Её главная цель — не получить идеально точное число, а … Читать далее
Переполнение буфера возникает когда программа записывает данные за пределы выделенной области памяти что позволяет атакующему исказить поток исполнения и выполнить произвольный код. Переполнение буфера, это архетипическая брешь в системе, призрак из 1980-х, который продолжает бродить по стекам современных систем. Его суть не в коде, а в нарушении базового договора между программой и памятью. Сегодня, когда … Читать далее
«Парольная политика в российском регуляторном IT, это не про безопасность, а про отчётность. Толстый документ с витиеватыми правилами нужен, чтобы отчитаться перед аудитором, а не для реальной защиты. Менеджеры паролей эту бумажную реальность не вскрывают, а обнажают её бесполезность. Главный конфликт в ИБ — между формальным соблюдением и реальной эффективностью. Политика на 15 страниц формальный … Читать далее
«Формальное соблюдение 152-ФЗ часто становится самоцелью, отодвигая реальную безопасность на второй план. Системы документируются не для работы, а для проверок, а голос инженеров, говорящих о технических угрозах, тонет в бюрократическом шуме.» Эволюция угроз и статичность защиты Регуляторные требования в России, особенно 152-ФЗ и приказы ФСТЭК, задают базовый каркас. Однако они часто отстают от скорости появления … Читать далее
«Политика допустимого использования — не список запретов для сотрудников, а инструмент для защиты компании. Если документ никто читает и не соблюдает, он не работает. Чтобы он стал реальной частью работы, нужно смотреть на него не как на бюрократическую обязанность, а как на карту рисков и способ их контролировать.» Почему политика становится макулатурой Политика допустимого использования … Читать далее