👺 Если вы ещё осмысляете начало рабочего года — предлагаем ещё одну тему на подумать

Привет! Ctrl + S возвращается в трудовые будни, — а значит, мы снова будем рассказывать о кибербезопасности «для чайников» и пробовать говорить с бизнесом на одном языке. Продолжим объяснять принципы инфобеза, рассказывать о полезных решениях и разъяснять непонятные регламенты и законы, количество которых, кажется, растёт в геометрической прогрессии.

Что важно, в нашем непростом деле существуют не только большие законы, тексты и документы — ещё есть тонна «негласных правил», которые любой прокачанный ИБ-специалист знает лучше, чем дорогу к офисной кофемашине. Нюанс в том, что их не выпускает Госдума, ФСБ или ФСТЭК — но они есть, и о них стоит знать.

К примеру, закон Батенева:

Предположим, что взлом вашей компании обойдётся хакерам дороже, чем взлом вашего конкурента (у вас больше защиты) — то есть прибыли от атаки на вас будет меньше. К сожалению, это не значит, что вы защищены на 100% и злоумышленники обойдут вас стороной. Скорее всего, вы просто дальше в очереди — и рано или поздно именно вы станете тем самым «менее защищенным конкурентом».

Таких «законов» много — и их нужно хотя бы держать в голове при планировании и реализации бюджетов на ИБ. На эту тему есть короткий, но содержательный ролик с трактовками этих предписаний от коллег из Global Digital Space. К просмотру — обязательно!

💙 Как говорится, жмите Ctrl + S, чтобы не потерять — приятного просмотра и рабочей недели!

#контролэсрекомендует

😵 Яблоко от яблони: как требования к безопасности «больших» становятся общими

Если в прошлый раз мы говорили о законах негласных, то сегодня речь о вполне настоящих. А именно: 152-ФЗ, 187-ФЗ и ФСТЭК №117. Поверьте, эти цифры с нами надолго.

Что случилось?

Раньше подобные законы и приказы касались только некоторых представителей конкретных отраслей — под них регулярно подпадали объекты КИИ (критической информационной инфраструктуры), государственные организации и представители крупного бизнеса. Однако с каждым годом влияние подобных документов на бизнес расширялось, а требования становились серьёзнее.

Про 152-ФЗ вам должно быть известно — так или иначе все мы сегодня оперируем персональными данными (да, телефон и имя — уже ПДн). Ставьте 👺, если нужен пост об их комплексной защите.

187-ФЗ — формулируется как «О безопасности критической информационной инфраструктуры (КИИ)». Звучит так, будто нас с вами это не касается, но не всё так просто. Сфер деятельности объектов КИИ множество — и если вы являетесь подрядной организацией, или находитесь в цепочке поставок такой компании — значит требования распространяются и на вас.

ФСТЭК-117 — здесь всё, кажется, проще. Приказ для компаний, которые при работе с государственными организациями получают доступ к определённым информационным системам. Работает так: если участвуете в тендере на госзаказ — будьте добры заложить бюджет и на защиту той ИС, к которой вас могут допустить в его рамках.

Скажем честно, в нормативных вопросах оступиться довольно легко. Важно чётко определить, под действия каких документов вы подпадаете и собрать необходимый минимум СЗИ, регламентировать процессы и обучить сотрудников. Подробно об изменениях написали коллеги из GlobalCIO. К прочтению — обязательно!