Б-152: защита персональных данных

⚡️ Продолжаем рубрику, где разбираем реальные вопросы подписчиков по privacy и ИБ. Обычно берем один кейс, но в этот раз разберем сразу два: похожие ситуации недавно встречались и в нашей практике, а ответ можно дать достаточно емко. Если хотите, чтобы эксперты Б-152 разобрали вашу ситуацию, оставляйте вопрос в нашей постоянной Яндекс.Форме. Кейс №1: Получили предписание РКН по присутствию у нас на сайте Google Analytics хотя ее там давно нет Разбор эксперта Б-152: Рекомендуем проверить все...

Для всех, кому подтвердили регистрацию на презентацию книги Александра Савельева. 1. Мероприятие уж сегодня, не пропустите Если не сможете прийти - напишите нам, так как лист ожидания очень большой и не хочется терять место 2. На мероприятии можно будет купить книгу Наши коллеги из Статут организуют продажу книг до 19:30 3...

Проблема часто не в том, что у компании ничего нет. Наоборот: сертификаты есть, безопасная разработка ведется, документы подготовлены и инфраструктура работает. Но в тендере заказчик смотрит не на каждый элемент отдельно, а на то, складывается ли из них понятная и подтверждаемая система защиты. И чаще всего сложности начинаются на стыках. ⏩Сертификат есть, но не подтверждает нужный продукт Сертификация кажется понятным блоком: либо сертификат есть, либо нет. Но для тендера этого недостаточно. Сертификат может быть выдан на другую версию, другой контур, модуль или юридическое лицо. Область его действия может не покрывать продукт в закупке...

? 🤒 ИБ-требования в тендере часто выглядят довольно компактно: несколько строк в ТЗ, список документов, сертификаты, процессы разработки, инфраструктура. На бумаге кажется, что все под контролем. Но когда команда начинает готовить ответ, выясняется: за каждой строкой стоит отдельный пласт работы, который не всегда можно быстро собрать перед подачей. Где чаще всего возникает разрыв? 👉Сертификация Сертификат может быть, но не покрывать нужный продукт, версию или срок контракта. Формально документ есть, но для конкретного тендера он не работает...

Если вы сейчас готовитесь к тендеру или понимаете, что ИБ-раздел может стать стоп-фактором, начните с быстрой проверки четырех блоков: сертификаты, SDLC, документы, инфраструктура. Это поможет заранее увидеть, где риск можно закрыть документами, а где потребуется доработка процесса или архитектуры. ...

: ИТ и ИБ — взаимодополняющие структуры, между ними не должно быть разногласий. Этот цикл — быстрая проверка зрелости ИБ-подхода. Если защита появляется только перед запуском, после инцидентов или в отрыве от ИТ и бизнеса, риски уже накапливаются 💀 Сильная ИБ строится поэтапно, обоснованно и вместе с теми, кто отвечает за продукт, инфраструктуру и управление. Если по итогам опросов вы увидели слабые места...

: ИБ должно быть обоснованно необходимым. Нецелесообразно тратить больше за защиту, чем могут украсть.

: Модель угроз — это основополагающий документ для ИБ, его нельзя игнорировать.