“Политика безопасности, это не прокрустово ложе для бизнеса, а его каркас. Она работает, когда её пишут не для контролёра, а для сотрудника, которому нужно сделать свою работу, а не для сотрудника отдела безопасности, которому нужно отчитаться.” Реальная проблема документов по информационной безопасности В российских компаниях политики безопасности чаще всего заводятся по трём причинам: для галочки … Читать далее
Переосмысление сетевой парадигмы: от транспортных каналов к квантовому ресурсу Традиционный подход к проектированию сетей унаследован из мира классической информации. Основная задача — обеспечить доставку битов из точки A в точку B с заданными параметрами надёжности, задержки и пропускной способности. Канал рассматривается как абстрактная транспортная среда, а пакеты данных — как независимые, неразрушаемые при передаче сущности. … Читать далее
«Гитхаб часто воспринимают как личную записную книжку, которую можно быстро вытереть. Это не так. Это бухгалтерский журнал с нотариально заверенными записями. Любая строка, похожая на регламентируемые данные, превращается из «просто примера» в формальное доказательство утечки. Регулятор работает не с намерением, а с цифровым отпечатком. Здесь нет понятия «тестовые данные», есть только структура строки и факт … Читать далее
"Выбор сертификата, это не поиск самого защищённого, а поиск оптимального баланса между удобством управления и изоляцией рисков. Wildcard-сертификат удобен, но компрометация его ключа равносильна сдаче всех ворот разом. Сертификат для подписи кода требует иного подхода к жизненному циклу, чем TLS-сертификат, и ошибка в этом выборе может привести к необходимости переподписывать тысячи артефактов. Понимание архитектурных компромиссов … Читать далее
"Методологические фреймворки создают иллюзию контроля, но в реальности, когда у вас есть требование регулятора и несколько часов на его выполнение, этот контроль невозможен. Вместо того чтобы пытаться построить правильный процесс, приходится искать путь к минимально приемлемому результату, который позволит продолжить работу. Управление в цейтноте, это не про качество, а про скорость принятия и фик itации … Читать далее
Умный замок, это не железка с Wi-Fi, а точка пересечения трёх миров: физической механики, встроенного ПО и облачных сервисов. Уязвимость в любом из них или на их стыке — ключ к двери. И чаще всего производители экономят именно на безопасности этих переходов. От ключа к облаку: из чего состоит умный замок Граница между электронным и … Читать далее
“Уведомление Роскомнадзора о утечке данных, это не просто формальная бумага. Это первая официальная позиция компании по инциденту. Правильно составленный документ фиксирует вашу готовность к ситуации и превращает взаимодействие с регулятором в управляемый процесс, а не в штрафную процедуру.” Что такое уведомление об утечке данных на самом деле Уведомление в Роскомнадзор, это исполнение обязательства, которое возникает … Читать далее
«Безопасность часто выглядит как сложная внешняя защита, но реальная угроза годами может жить внутри ваших легальных инструментов и привычных процессов». От случайной находки к системной проблеме Расследование началось с рутинной задачи отладки API. Используя сниффер трафика — стандартный инструмент, например, Wireshark — я увидел в перехваченных HTTP-запросах не только технические параметры, но и знакомые корпоративные … Читать далее
Начните с простого эксперимента. Откройте любой цифровой сервис, которым пользуетесь ежедневно. Задайте себе четыре вопроса: какие данные здесь хранятся, кто может заинтересоваться этой информацией, где слабые места в защите, что произойдет при утечке. Такая последовательность лежит в основе профессиональной оценки безопасности. Специалисты по защите информации используют модель из трех компонентов. Актив плюс угроза плюс уязвимость … Читать далее
Соответствие требованиям ФСТЭК, это не итоговая отметка в акте, а операционный режим работы ИТ-системы. Попытка ‘навести блеск’ за несколько дней, это не подготовка, а создание альтернативной реальности, которая рушится сразу после проверки, оставляя после себя только иллюзию защищённости и реальный технический долг. https://seberd.ru/4477 Почему авральная подготовка приводит к системному регрессу Культура «выполнить требования к пятнице» … Читать далее