Чеклистим аутсорс
Передача деятельности на аутсорсинг – дело тонкое. Вместо «и так сойдёт» вооружаемся проверкой, которая может сэкономить не только нервы, но и репутацию. ✅ Оцениваем программы безопасности поставщика услуг ✅ Проводим аудиты и интервью на стороне поставщика услуг ✅ Проверяем договоры на предмет наличия оговоренного уровня безопасности ✅ Если в договоре нет главы конфиденциальности, скорее заключаем…
Кибер или приватность. В чём разница?
Современный цифровой ландшафт полон вызовов, связанных с защитой данных. Термины «инцидент конфиденциальности» и «киберинцидент» часто используются как синонимы, но между ними есть ключевые отличия. Поэтому они удосужились попасть в рубрику #битваслов. Понимание этой разницы поможет эффективнее реагировать на угрозы и минимизировать риски. 💡 Инцидент конфиденциальностиЭто ситуация, при которой данные, подпадающие под защиту законодательства о конфиденциальности,…
Изменения в законодательстве о персональных данных РФ: мы следующие?
Недавно представленный законопроект о внесении изменений в статью 9 Федерального закона № 152-ФЗ «О персональных данных» предусматривает более строгие правила, касающиеся согласия на обработку персональных данных. Вот ключевые моменты: ✅ Конкретное и однозначное согласиеСогласие на обработку данных должно быть выражено четко и однозначно. Это исключает возможность неясностей и обеспечивает полное понимание субъектом своих действий. 📄…
Мертвые души социальных сетей: угроза, не только на Хэллоуин🎃
🎃 Сегодня тематический пост, а-ля «Байки из склепа» — Когда цифровое наследие превращается в инструмент мошенников… 🕸 Виртуальная жизнь людей не исчезает с их уходом из реальной жизни. В соцсетях остается огромное количество «мертвых» аккаунтов, которыми могут воспользоваться злоумышленники. Примеры случаев, когда аккаунты умерших использовались для мошенничества, лишь подтверждают уязвимость цифрового наследия. 📌 Некоторые примеры:…
Управление данными: зачем это бизнесу?
Сегодня данные — это не просто информация, а настоящая ценность для бизнеса. Управление данными (Data Governance) — это способ навести порядок в этой ценности и сделать её максимально полезной. Почему это важно? Давайте разберемся… 🔍 Качество данных — основа верных решенийВсе решения зависят от данных, но если данные некачественные или устаревшие, можно легко прийти к…
Ассессить станет проще
Кибермужи и кибердевы из SCF (Security Control Framework) выпустили стандарт по оценке кибербезопасности и защите данных (CDPAS), доступен по ссылкам ниже. Этот стандарт создан для унификации практик оценки кибербезопасности и защиты данных сторонними организациями. Он направлен на улучшение текущих фрагментированных подходов к проверке оных. Кратенько от себя: 🟢 CDPAS стандартизирует сторонние оценки кибербезопасности и защиты…
QazTech объединяет бизнес и госструктуры для укрепления кибербезопасности
Вчера, 15 октября, прошел бизнес-завтрак с участием СМИ, блогеров и инфлюенсеров, экспертов в области ИБ, депутатов, и где я впервые принял участие в новой роли — члена управляющего совета комитета по информационной безопасности QazTech. Мной освещены планы комитета, а также лучшие практики в реализации процесса защиты данных Freedom Holding Corp: В эпоху информационных угроз важно…
Лежать в сторону доступности…
Продолжаем рубрику #битваслов. Итак, очередные запутанно-схожие понятия Fault Tolerance (Отказоустойчивость) и System Resilience (Устойчивость системы), хотя они обозначают немного разные вещи. Разберем на примерах, чтобы стало понятно. Fault Tolerance — это способность системы продолжать работать как обычно, даже если произошел сбой. Представьте себе базу данных, которая сталкивается с неожиданной проблемой: она может вернуться в состояние…
Выйди вон!
Корректный вывод IT-актива из эксплуатации или «decommission» — это критический процесс для поддержания безопасности компании, который часто недооценивается. Процесс вывода включает несколько ключевых этапов, каждый из которых направлен на минимизацию рисков и защиту данных: 🛠️ Оцениваем риски и классифицируемПеред тем как вывести актив из эксплуатации, важно провести его полную оценку. Классификация активов позволяет идентифицировать активы,…
NIST SP 800-63B. Гайд по цифровой идентификации
NIST выпустил обширный гайд для субъектов, взаимодействующих с государственными информационными системами через сеть. Как концепт может быть интересен нашим КВОИК’ам. Кратенько собрал основное в кучку: Уровни уверенности в аутентификации (AAL) 🟢 Базовый уровень защиты (AAL1) — требует одну или несколько аутентификационных технологий, таких как пароль или ПИН. Используется для доступа к сервисам с невысокой критичностью.…