🔥 GRC-хаос: 60% компаний теряют данные из-за слабого compliance! 55% компаний уже внедрили CCF 🔥

🔍 Что такое GRC и почему это важно?

GRC (Governance, Risk & Compliance) — это комплексный подход к управлению организацией, который объединяет корпоративное управление, управление рисками и соответствие требованиям регуляторов. Он помогает компаниям минимизировать угрозы, автоматизировать контрольные процессы и соблюдать нормативные стандарты, снижая вероятность финансовых и репутационных потерь. Компании внедряют GRC, чтобы:

✅ Снизить риски кибератак, финансовых потерь и штрафов
✅ Автоматизировать процессы и сократить затраты на контроль
✅ Соответствовать стандартам и требованиям (СТО БР ИББС, PCI DSS, ISO, ФЗ-152, NIST, GDPR, SOC 2 и др.)

Без эффективного GRC бизнес работает в режиме «пожаротушения», реагируя на угрозы постфактум. Именно поэтому 91% компаний уже централизовали GRC-управление, согласно новому отчету по GRC.

Отчет по GRC за 2024 год показывает важные тренды в управлении рисками и безопасности.

Что происходит с GRC в мире?

📊 91% компаний имеют централизованные команды для управления GRC. Это рекордный показатель за последние 6 лет! 📈 А вы в тренде?

🚨 60% организаций, которые управляют рисками «по ситуации», столкнулись с утечками данных в 2024 году. Те, кто использует автоматизированные GRC-инструменты, реже попадают в такую ситуацию (41%). Сложно защищаться от утечек в ситуации хаоса, правда?

💰 63% компаний увеличат бюджеты на GRC в ближайшие 12–24 месяца. Инвестиции в кибербезопасность продолжают расти!

👥 72% планируют расширять команды по комплаенсу в 2025 году, несмотря на экономическую нестабильность. Грядет бум вакансий? )

⌛️ 52% сотрудников тратят до половины своего времени на рутину: ручной ввод данных и админ-задачи. Автоматизация по-прежнему остается вызовом.

🛡 59% компаний теперь тестируют ВСЕ меры защиты, а не только критические. Это +26% за год — явный сдвиг к проактивному подходу!

💵 74% компаний тратят на кибербезопасность более $1 млн в год. Только 22% укладываются в меньший бюджет.

🛡 Что такое Common Controls Framework (CCF) и зачем он нужен?

CCF (Common Controls Framework) — это унифицированный подход к управлению требованиями безопасности и соответствия (GRC). Вместо того чтобы разрозненно соблюдать десятки стандартов (ISO, NIST, GDPR, SOC 2 и др.), компании используют CCF для их объединения в единую систему контроля.

Преимущества CCF:
✅ Снижение затрат и времени на аудит 📉
✅ Минимизация дублирующихся процессов 🔄
✅ Повышение прозрачности и управляемости рисками 🔍

Неудивительно, что 55% компаний уже внедрили CCF для оптимизации GRC-процессов! 🚀 А вы используете?

📢 Вывод: Безопасность становится приоритетом для бизнеса. Компании инвестируют больше ресурсов, но все еще борются с неэффективностью. Автоматизация, интегрированные GRC-решения и комплексный подход — ключи к успеху в 2025!

Интересно отметить, что в России для тех же целей используется термин SGRC (Security Governance, Risk, Compliance). Несмотря на то, что Gartner выделил несколько подкатегорий внутри "большого" класса GRC, они так и не выделили отдельно Security GRC. А вот в России - смогли. 🙂Конкретные реализации GRC/SGRC как правило представляют из себя надстройку над SIEM и SOAR/IRP.

⚡️ Поделись с коллегами, если безопасность важна и для вашего бизнеса! 🔄

#Кибербезопасность #GRC #SGRC #compliance
Топ Кибербезопасности

📌 DPIA по-русски: нужен ли "европейский" документ если у нас 152-ФЗ?

Интересную тему поднял коллега: можно ли применять DPIA (Data Protection Impact Assessment) из GDPR в России? Ведь у нас — моделирование угроз по 152-ФЗ, ГОСТ Р 57580 или даже ISO/IEC 27005...

А почему нет? Если цель — не просто "галочка", а реальная защита данных, то мы вправе использовать лучшие практики, независимо от их происхождения.
⠀
📍 DPIA — это ведь не формальность. Это:
😶Фиксация здравого подхода к рискам;
😶Инструмент due diligence и вменяемой аргументации перед проверяющими;
😶Защита от обвинений в халатности при утечках, особенно в контексте штрафов по 647-ФЗ (до 3% от оборота);
😶Основа для внутреннего аудита и разговора с юристами, безопасниками, клиентами.

💡 Для примера я адаптировал DPIA под российские реалии — без лишней теории, с оценкой рисков, техническими мерами (DLP, NDR, SIEM) и связкой с инцидент-менеджментом. Кто хочет шаблон — пишите.

#ЗащитаДанных #закон #compliance #GDPR #152ФЗ

💥 Как незаметно прослушивают смартфоны президентов и политиков

Звучит как фантастика?
Нет. Это Pegasus — самое известное шпионское ПО на планете для атак на устройства Apple и Android 🌍

🕵️‍♂️ Что он умеет?
Pegasus умеет то, чего не умеют обычные вирусы:
😶Включить камеру и микрофон без твоего ведома 📸🎙
😶Читать WhatsApp, Telegram, e-mail и файлы 📨
😶Отслеживать твоё местоположение в реальном времени 📍
😶И главное: заразить устройство без единого клика
— просто через пропущенный звонок. Это называется zero-click атака.

В июле 2021 года консорциум журналистов Forbidden Stories и Amnesty International опубликовали расследование:
Эммануэль Макрон (и 13 других французских министров) был в списке целей шпионской программы Pegasus, разработанной NSO Group.

Софт Pegasus эксплуатировал разные уязвимости, например уязвимость переполнения буфера в VoIP-стеке WhatsApp (CVE-2019-3568) для установки вредоносного ПО на устройства пользователей для слежки.

⚖️ И это им вышло боком
WhatsApp наконец-то выиграла суд против NSO Group, которая разрабатывает Pegasus. Было 5 лет судебных тяжб.
💰 Штраф: $167 миллионов.
📜 Основание: нарушений правил WhatsApp, нарушение Computer Fraud and Abuse Act.

Что реально пугает:
📉 Pegasus заразил 1400 устройств в 51 стране:

> “We believe this attack targeted at least 100 civil society members across 20 countries... We have identified more than 1,400 phones targeted over a two-week period in April–May 2019.”

Страны с наибольшим числом заражений:
🇲🇽 Мексика — 456
🇮🇳 Индия — 100
🇧🇭 Бахрейн — 82
🇲🇦 Марокко — 69
🇵🇰 Пакистан — 58
Amnesty публиковала список из 50 000 целей: журналисты, адвокаты, активисты, дипломаты.

🌍 Глобальная реакция:
🇺🇸 США внесли NSO в чёрный список
🇪🇺 Европарламент расследует действия Pegasus в Польше, Греции и Венгрии
🧑‍⚖️ Apple, Google, Microsoft и Meta подали коллективные иски
☁️ AWS, Azure, Google Cloud отключили NSO от всех облаков
🇮🇱 Израиль... защищает эту компанию и другие 🤷

🤖 Что это значит для нас?
На планете есть минимум 10 компаний, делающих такие штуки.
Они называют это "инструментами для спецслужб".
Но на практике — это кибероружие, которое уходит к тем у кого есть деньги.

Организация брала $7 млн за возможность одновременно следить за 15-ью устройствами,

признался один из топ-менеджеров фирмы.

Кому война, а кому мать родна.

📢 Мое мнение:
В цифровом мире должны быть правила этики. Как есть уже правила этики у тех кто сдает экзамен CISSP.
Точно так же, как когда-то мир запретил химоружие — сейчас идёт борьба за запрет слежки без суда и на то, кто будет её контролировать. Бизнес на продаже уязвимостей должен быть поставлен под контроль.

Список компаний, которые разрабатывают шпионское программное обеспечение: NSO Group, Hacking Team, FinFisher (Gamma), Candiru, Cytrox, Circles, Intellexa Alliance, DarkMatter, BAE Systems Applied Intelligence, SS8, Nexa Technologies, Verint Systems, Tykelab, Trovicor, Rayzone Group, Elbit Systems, Palantir (аналитика), NICE Systems, Wintego, Saito Tech.

Я вчера уже давал интервью Коммерсант FM на эту тему.

#уязвимости #история #compliance 👉 канал Топ Кибербезопасности

ℹ️ Вы уже посчитали свой КЗИ и ПЗИ?

Коллеги, анализирую свежий приказ ФСТЭК №117 (приложен). Этот приказ заменяет приказ № 17 и все изменения к нему № 27, 106, 61. C 1 марта 2026 года у нас с вами появляются обязательные метрики эффективности защиты информации.

🛡Новых обязательных KPI два:

✔️ КЗИ — Коэффициент Защищённости Информации
Он показывает как наши текущие меры защиты покрывают актуальные угрозы. Считаем каждые 6 месяцев, результат летит в ФСТЭК. В объектах КИИ требуется поддерживать и подтверждать КЗИ, равный 1.

✔️ ПЗИ — Показатель уровня Зрелости защиты Информации
Показываем зрелость процессов: мониторинг, управление уязвимостями, удалёнку и прочее. Считаем раз в 2 года, также отправляем регулятору.
Для объектов КИИ целевым считается максимально возможный уровень зрелости (обычно это уровень 4 или 5 по шкале CMMI), что соответствует полностью формализованным, автоматизированным, контролируемым и постоянно совершенствуемым процессам.

🔄 Мне очень нравится описание методики оценки уровня зрелости ИБ у Сбербанка.

📌 Внимание: ФСТЭК требует постоянно отчитываться о ПЗИ и КЗИ!
Если показатели проваливаются - у вас 3 дня на доклад руководству, 5 рабочих дней на отчёт в ФСТЭК. Жёстко?

🌍 Есть ли подобное в мире?
Конечно есть, но у нас впервые это именно KPI, а не рекомендация.
🔹КЗИ → NIST Risk Score, ISO 27005 Risk Index
🔹ПЗИ → NIST CSF Tiers, COBIT, MIL (Maturity Indicator Levels) внутри Cybersecurity Capability Maturity Model (C2M2)

🔍 Что стоит делать уже сейчас
🔹Провести инвентаризацию угроз и реализованных мер
🔹Построить матрицу угроз и защит
🔹Найти или создать шаблоны расчётов КЗИ и ПЗИ
🔹Актуализирать регламенты и политику ИБ
🔹Назначить ответственных за расчёт и отправку

🧭 Моё мнение? Эти метрики — результат продвижения подхода результативной кибербезопасности. Пока иностранные ISO и NIST говорят: «Оцените себя сами», ФСТЭК говорит: «Ждем результатов».
Есть ощущение, что множество организаций начнут отдавать события безопасности во внешний SOC, чтобы повысить свой КЗИ и ПЗИ.

Кому важно прочитать и выполнять этот документ
🔹Бюджетные организации (больницы, школы, ВУЗы, музеи).
🔹ГУПы («Почта России», «Ростех», «Росатом»).
🔹Органы местного самоуправления (мэрии, районные администрации).
🔹Все федеральные и региональные органы власти (министерства, агентства, службы).
🔹Всем кто входит в реестр значимых объектов КИИ: энергетика, транспорт, здравоохранение, финансы. И да, еще ФЗ-187 «О безопасности КИИ» надо выполнить.

💬 А вы уже прикидывали, какой у вас сейчас КЗИ?

#ФСТЭК #КЗИ #ПЗИ #NIST #ISO27001 #compliance
Топ Кибербезопасности Батранкова

РКН придет с проверкой

С 01.09.2025 года бизнесу нельзя рекламировать товары и услуги на запрещённых платформах — Федеральный закон от 07.04.2025 года № 72‑ФЗ.

Запрет распространяется на экстремистские и нежелательные интернет-ресурсы. В первую очередь речь идёт о соцсетях Meta — Instagram и Facebook. Обе платформы включены в перечень запрещённых и заблокированы в России.

Проверять будут новые и старые публикации: посты, сторис, рекламные интеграции с блогерами и другие материалы с признаками продвижения товаров или услуг. Даже если пост опубликовали два года назад, его наличие после 01.09.2025 года расценят как нарушение.

Если оставите рекламные публикации, выпишут штраф по ст. 14.3 КоАП РФ:

😶физическим лицам — 2000-2500 ₽;
😶ИП — от 4000 до 20 000 ₽;
😶организациям — от 100 000 до 500 000 ₽.

Считать ли этот пост рекламой РКН? 😎

#compliance #законы