Цифровизируй это
@digitize_IT
Как перестать бояться и полюбить КЭДО. Продолжение
Безопасность данных — это то, что больше всего интересует как заказчиков, так и пользователей систем КЭДО. Почему это важно и как этот вопрос решают вендоры, рассказал Довар Исаков, директор по развитию HR Tek направления в VK Tech.
Есть ли проблемы с ИБ в КЭДО?
Переживания насчет защиты персональных данных сейчас бьют ключом. Ситуацию обостряют слухи о том, что регулятор намеревается ввести оборотные штрафы за нарушение обработки и хранения ПД. И это кромешный ад для корпораций с оборотами в сотни трлн рублей.
По этой причине, как мне кажется, в России не произошел такой «бум» SaaS-решений, как в остальном мире. Часто крупный бизнес все-таки останавливается на on-premise. Ему кажется, что это помогает лучше защищаться. Но здесь есть нюансы.
В чистом виде оторвать решение от внешнего мира почти невозможно. Если в компании есть сотрудник с мобильным телефоном, значит, устройство уже «смотрит в интернет». Это зона уязвимости, которую нельзя контролировать. Разве что — отбирать телефоны на входе в здание.
Поэтому важно соблюдать баланс между комфортом и безопасностью, заботясь и о том, и о другом.
Что делают вендоры?
Рассказываем на примере VK. Из классного — регулярно проводим Bug Bounty и HackDay, сейчас получаем сертификацию ФСТЭК. А основные наши меры располагаются:
На архитектурном уровне. Это раздельное хранение ПД, юридически значимых документов и нечувствительных данных, а также обфускация логов и ролевая модель доступа.
На процессном уровне. Помимо внутренних аудитов, мы проводим QA-проверки несанкционированных доступов к данным и статическое сканирование кода на предмет уязвимостей.
На инфраструктурном уровне. Это AntiDDoS, защита на уровнях L3/L4 и L7, хранение ключей в vault'e. И, конечно, строгое разграничение инфраструктурных доступов.
#КЭДО
@digitize_IT — мнения и управленческий опыт ИТ-лидеров
Безопасность данных — это то, что больше всего интересует как заказчиков, так и пользователей систем КЭДО. Почему это важно и как этот вопрос решают вендоры, рассказал Довар Исаков, директор по развитию HR Tek направления в VK Tech.
Есть ли проблемы с ИБ в КЭДО?
Переживания насчет защиты персональных данных сейчас бьют ключом. Ситуацию обостряют слухи о том, что регулятор намеревается ввести оборотные штрафы за нарушение обработки и хранения ПД. И это кромешный ад для корпораций с оборотами в сотни трлн рублей.
По этой причине, как мне кажется, в России не произошел такой «бум» SaaS-решений, как в остальном мире. Часто крупный бизнес все-таки останавливается на on-premise. Ему кажется, что это помогает лучше защищаться. Но здесь есть нюансы.
В чистом виде оторвать решение от внешнего мира почти невозможно. Если в компании есть сотрудник с мобильным телефоном, значит, устройство уже «смотрит в интернет». Это зона уязвимости, которую нельзя контролировать. Разве что — отбирать телефоны на входе в здание.Поэтому важно соблюдать баланс между комфортом и безопасностью, заботясь и о том, и о другом.
Что делают вендоры?
Рассказываем на примере VK. Из классного — регулярно проводим Bug Bounty и HackDay, сейчас получаем сертификацию ФСТЭК. А основные наши меры располагаются:
На архитектурном уровне. Это раздельное хранение ПД, юридически значимых документов и нечувствительных данных, а также обфускация логов и ролевая модель доступа.
На процессном уровне. Помимо внутренних аудитов, мы проводим QA-проверки несанкционированных доступов к данным и статическое сканирование кода на предмет уязвимостей.
На инфраструктурном уровне. Это AntiDDoS, защита на уровнях L3/L4 и L7, хранение ключей в vault'e. И, конечно, строгое разграничение инфраструктурных доступов.
#КЭДО
@digitize_IT — мнения и управленческий опыт ИТ-лидеров
463
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram