Москвичи, ну вы видели, что у нас в районе творится? На Ленской улице группа подростков решила поджечь тополиный пух прямо рядом с припаркованными тачками. Сучья погода, жара, п...
Москвичи, доброе утро! В городских пабликах обсуждают свежий прогноз от Гидрометцентра на июль. Обещают, что пекла не будет: днём воздух прогреется максимум до +26, что, по слов...
Йо, народ, держите сенсацию! 🔥 Европейские учёные нашли белок, который решает, когда наши супер-клетки устают бороться с раком. Представьте: врачи берут твои собственные иммунн...
Москвичи, привет! В ленте обсуждают историю настоящей мамы-героини из Рязани. 34-летняя Анна Куприна в одиночку поднимает троих детей, при этом успевает работать поваром и конди...
Здорово, столица! В городских пабликах обсуждают оперативный прогноз от синоптиков на 7 июня 2026 года. Ночью в Москве будет свежо — от 8 до 10 градусов, в центре чуть теплее, д...
Йо, народ, обновите список ожидания! Разработчики из Европы наконец-то расщедрились на полноценное интро к своей игре Blood Message. Трейлер не просто красивая картинка — он рас...
Алексей Колпаков, ОТП Банк: Бюджет на защиту ПДн... — Поток Москвичей
Москвичи.net — Главный столичный чат-мессенджер, новости и инсайды Москвы
Москвичи
Алексей Колпаков, ОТП Банк: Бюджет на защиту ПДн…
0прочитано
Алексей Колпаков, ОТП Банк: Бюджет на защиту ПДн формируется в логике постройки дома Алексей Колпаков, начальник управления развития процессов кибербезопасности ОТП Банка, выступил на сессии «Персональные данные» в рамках Ciso Forum 2026. Вместе с коллегами по отрасли он обсудил новые тренды в защите персональных данных, среди которых управление рисками и аудит в системах обработки ПДн, влияние ИИ и регуляторных изменений (ФЗ-152, GDPR, NIS2), а также оборотные штрафы за утечки. Отвечая на вопрос о том, на какие направления защиты ПДн компании реально выделяют основной бюджет в 2026 году, Алексей Колпаков предложил рассматривать его как бюджет на строительство дома. По его словам, есть три главных «стрима»: фундамент, стены и крыша. Фундамент — это discovery-процесс, то есть анализ того, что уже есть в компании. В любой крупной организации существует множество процессов, где используются персональные данные, и еще больше мест их хранения. Компании собирают данные о клиентах, их продуктах и предпочтениях, потому что без этого невозможно эффективно строить бизнес. Запретить сбор и хранение нельзя, поэтому нужно менять процессы в сторону безопасности. Для этого ОТП Банк использует DCAP-систему, которая сканирует файловые ресурсы, рабочие станции и системы вроде Atlassian. Так банк понимает, где и какие данные лежат, кто с ними работает, проводит ревизию и очищает инфраструктуру от чувствительных данных, сокращая риски. Стены — это доступы, обезличивание, работа с подрядчиками. Алексей Колпаков отметил, что взлом периметра в 2026 году — резонансный, но редкий кейс. Куда более реальный сценарий — разработчик с доступом к продуктивной среде, аналитик, сохраняющий таблицы с ПДн в Excel, или подрядчик, риск взлома которого значительно выше. Крыша — это DLP. По словам эксперта, без него никуда, но важно использовать его правильно. Во-первых, не применять DLP для псевдобезопасных задач вроде отслеживания того, кто плохо отозвался о руководителе. Во-вторых, по возможности переводить политики в режим блокировки, потому что мониторинг не остановит утечку — если данные ушли, они уже ушли. В третьих, не считать DLP панацеей, так как в любой компании есть процессы, которые он не закроет, и только комплексная работа дает реальный результат. Алексей Колпаков также привел статистику, собранную в общении с коллегами: все три инструмента — DLP, DCAP и обезличивание — одновременно используют только 15% компаний, работающих с ПДн. Он отметил, что это прогресс, ведь еще пять лет назад таких компаний было в три раза меньше. В банках и финтехе этот процент выше, на уровне 75%, благодаря высокой зарегулированности отрасли и ответственности перед клиентами. Отдельно спикер остановился на вопросе, что покупают сначала: процессы, архитектурные изменения или инструменты. По его убеждению, сначала всегда идут процессы, затем архитектурные изменения, потом инструменты, иначе деньги будут потрачены впустую, система просто не будет работать. В качестве примера он привел контакт-центр: «Правильный процесс — когда оператор работает в CRM, видит на экране только имя и отчество клиента и его продукты, нажимает кнопку звонка, и система сама соединяет его с клиентом. Провал — когда операторам выгружают в Excel списки с ФИО, телефонами и другими ПДн, и эти файлы начинают перемещаться по рабочим местам и пересылаться по почте. В таком случае процесс становится неконтролируемым, и никакие системы безопасности не помогут», - пояснил А. Колпаков. Если процессы настроены, но у сотрудников остались избыточные права, многие будут действовать по-старому. Поэтому нужно разделение контуров на обычный, защищенный и RnD. Работа с чувствительными данными должна идти в защищенном контуре без возможности копирования. RnD, напротив, должен быть максимально удобным — с административными правами, доступом в интернет и инструментами, но без продовых данных. Когда бизнес-процессы требуют передачи данных между контурами, вступают в дело инструменты: почту проверяет DLP, обмен файлами через общие папки контролирует DCAP, для переноса баз данных работает система обезличивания. Алексей Колпаков подчеркнул, что если начать в обратном порядке — сначала внедрить инструменты, не выстроив процессы, — компания получит сотни алертов и тысячи ложных срабатываний, с обработкой которых физически справиться будет просто невозможно. В завершение выступления Алексей порекомендовал посмотреть в первую очередь на процессы в массовых функциях, потому что там чаще всего отмечаются самые высокие риски нарушения контура информационной безопасности.... Ещё
Верю0
Фейк0
Репост0
◣ развернуть
ответить 0
18:51✓✓
⊕
Написать в поток...
🕵️АнонимHidden
×
×
Проверка...
🍪 Мы используем файлы куки для авторизации и быстрой работы сайта.