Коллеги из RPPA собрали 10 ключевых шагов, которые помогут не просто оформить бумажку, а сделать шаг к пониманию как защитить персональные данные в компании.
Комплаенс ≠ безопасность
Формальная модель угроз — это обязательный элемент. Но реальность в том, что большинство таких моделей просто лежат в папке, не обновляются, не применяются и никем не используются.
А когда происходит утечка или атака, оказывается, что модель вообще не учитывала:
🟡DevOps-инфраструктуру
🟡CI/CD-процессы
🟡микросервисы и API
🟡уязвимости в коде
🟡человеческий фактор
🟡удалённые рабочие места
Вот почему важно делать акцент на “практическом” этапе моделирования угроз!
В реальной жизни угрозы не приходят через ГОСТ, они приходят через код.
AppSec — это подход, в котором безопасность встроена в сам продукт, а не навешана снаружи, как сигнализация на гараж.
#RPPA