23 сентября 2019
Изменения в Приказе ФСТЭК №17
Изменения представляют интерес для ЦОДов и ГИС, которые размещаются в ЦОДах.
Читать новость
09 сентября 2019
Приказы ФСБ России по проблеме развития и регулирования ГосСОПКА
Опубликованы последние из планируемых на данный момент приказы ФСБ РФ, касающиеся № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ».

Читать новость
05 августа 2019
Формирование перечня объектов КИИ в финансовом секторе
Тема критической информационной инфраструктуры (КИИ) в последнее время постепенно набирает обороты. Всё активнее публикуются различные нормативно-правовые акты в данной области, в том числе устанавливающие сроки проведения определенных мероприятий или описывающие меры наказания за нарушение безопасности объектов КИИ.

Читать новость
22 июля 2019
О внесении изменений в требования к созданию систем безопасности значимых объектов КИИ
ФСТЭК России по средствам приказа № 64 от 27.03.2019 внес корректировки в свой приказ № 235 от 21.12.2017 «Об утверждении требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования».

Читать новость
08 июля 2019
GDPR в действии: почему не стоит игнорировать требования регламента?
Прошло уже чуть больше года с момента вступления в силу Европейского регламента о защите персональных данных (GDPR), однако до сих пор далеко не каждая компания, которая попадает под влияние GDPR, озаботилась приведением в соответствие требованиям регламента своих процессов обработки персональных данных. Повсеместно бытует мнение, что в случае инцидента регулятор прибегнет к предупреждению, не налагая пугающих штрафов.

Читать новость
17 июня 2019
Законопроект об увеличении штрафов за несоблюдение требований о хранении персональных данных
В четверг 13 июня 2019 года в Государственную Думу внесен законопроект, по которому предусматриваются штрафы за нарушения хранения персональных данных (ПДн) граждан РФ до 18 миллионов рублей.

Читать новость
10 июня 2019
О требованиях к средствам ГосСОПКА
Приказом № 196 ФСБ России от 06.05.2019 утверждены требования к средствам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Читать новость
20 мая 2019
Угрозы безопасности Microsoft и Intel
14 мая 2019 года компания Microsoft опубликовала уязвимость в в Remote Desktop Services (служба удалённого рабочего стола). В этот же день компания Intel предупредила об уязвимости Microarchitectural Data Sampling (MDS).

Читать новость
29 апреля 2019
Обзор изменений 127 Постановления Правительства РФ
24 апреля 2019 года в действие вступила обновленная редакция одного из основных правовых актов в области безопасности критической информационной инфраструктуры Российской Федерации — правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры и их значений (Постановление Правительства № 127 от 8 февраля 2018 года).

Читать новость
15 апреля 2019
Новый уровень правил организации госконтроля в области персональных данных
13 февраля 2019 года Постановлением Правительства № 146 утверждены правила организации государственного контроля и надзора за обработкой персональных данных. Документ готовился на протяжении долгого времени и наконец-то вышел в свет, утверждая правила проверок Роскомнадзора на ином уровне (относительно уже существующего Административного регламента, утвержденного приказом Минкомсвязи России).

Читать новость
08 апреля 2019
Обзор решения: UserGate
Название каких решений вам приходит на ум, когда вы слышите термин NGFW? FortiGate, Check Point или, может быть, Palo Alto Networks? А знаете ли Вы представителей решений такого класса из России?
Сегодня речь пойдет о UserGate — первом российском межсетевом экране нового поколения.

Продолжить читать обзор
04 марта 2019
Новые требования к защите информации финансовых организаций
В прошлом году произошли значимые изменения в нормативной базе кредитно-финансового сектора (часть из них мы затронули ранее). Что ожидает банки и другие финансовые организации в области защиты информации?

Читать новость
17 февраля 2019
Разбор порядка подключения частных клиник к ЕГИСЗ
Министерство здравоохранения РФ ответило на вопросы о порядке подключения частных медицинских учреждений к единой государственной информационной системе в сфере здравоохранения (ЕГИСЗ). Давайте разберемся, какие же действия необходимо совершить коммерческим медицинским клиникам.

Читать новость
21 января 2019
О развитии нормативной базы в финансовом секторе
В прошлом году продолжилось активное развитие нормативной базы в области информационной безопасности финансового сектора. Хотим обратить внимание на некоторые важные нововведения в законодательстве.

Читать новость
10 декабря
ГосСОПКА и обеспечение безопасности КИИ. О чем говорится в недавно утвержденных документах ФСБ
Нормативно-правовая база в области обеспечения безопасности критической информационной инфраструктуры продолжает пополняться новыми документами. Вслед за ФСТЭК России, утвердившей требования к обеспечению безопасности значимых объектов КИИ, свой шаг сделал и другой регулятор — ФСБ России.

Читать новость
19 ноября 2018
Зафиксирована активность вируса-шифровальщика
Предупреждаем о повышенной активности распространения вируса-шифровальщика семейства Shade. Целью заражения является шифрование локальных и сетевых дисков с последующим требованием выкупа для расшифровки.

Читать новость
22 октября 2018
Рекомендации по защите: Web-серверы. Windows
Web-серверы часто подвергаются атакам со стороны злоумышленников. Благодаря взломанным web-серверам недоброжелатели могут получить доступ к конфиденциальной информации пользователей, нарушить целостность работы организации или использовать web-сервер, как «входную» точку в локальную сеть.

Читать рекомендации по защите
23 июля 2018
Росстандарт утвердил требования к мобильным приложениям
26 июня 2018 года утвержден предварительный национальный стандарт (ПНСТ) 277−2018 «Российская система качества. Сравнительные испытания мобильных приложений для смартфонов». Документ включает в себя 87 требований, который будут носить рекомендательный, а не обязательный характер.

Читать новость
02 июля 2018
Рекомендации по защите: Web-серверы. Linux
Web-серверы — неотъемлемая часть практически инфраструктуры любой компании. Они являются теми посредниками, с помощью которых функционирует ваш ресурс, неважно, сайт-визитка это или целая социальная сеть с количеством зарегистрированных пользователей более миллиона.

Читать рекомендации по защите
18 июня 2018
О расширении лицензии ФСТЭК
С радостью сообщаем, что одна из компаний группы «Акрибия» получила лицензию ФСТЭК России на выполнение работ по технической защите конфиденциальной информации ...

Читать новость
28 мая 2018
В ЕС вступил в силу регламент о защите персональных данных
25 мая 2018 года в Европейском Союзе вступил в силу GDPR (General Data Protection Regulation). Данный регламент заменил собой Директиву о защите персональных данных 1995 года.

Читать обзор
21 мая 2018
Об утверждении Правил взаимодействия иных информационных систем, касающихся деятельности медицинских организаций и предоставляемых ими услуг
Ранее мы упоминали проект Постановления Правительства, которое должно пояснить требования по защите информации в информационных системах, касающихся деятельности медицинских организаций и их услуг.

Читать новость
26 марта 2018
Услуги по защите критической информационной инфраструктуры и GDPR
За последнее время в нашей профессиональной сфере произошло столько всего важного и интересного, что даже уследить тяжело. Кажется, еще совсем недавно отрасль активно рассуждала о важности и необходимости мониторинга информационной безопасности, а сегодня все озабочены GDPR и вопросами защиты критической информационной инфраструктуры. Мы стараемся не отставать от потребностей рынка.

Читать новость
12 марта 2018
Об утверждении порядка организации и оказания медицинской помощи с применением телемедицинских технологий
21 января 2018 г вступил в силу Приказ Министерства здравоохранения РФ от 30 ноября 2017 г. № 965н "Об утверждении порядка организации и оказания медицинской помощи с применением телемедицинских технологий".

Читать обзор
19 февраля 2018
Обзор решения: JaCarta SF/ГОСТ
Рынок решений по защите информации расширяется постоянно. Недавно удалось потестировать ознакомительную версию продукта нового класса для партнеров от компании «Аладдин Р.Д.» — защищенный usb-носитель JaCarta SF/ГОСТ, призванный быть как персональным СКЗИ (обеспечивать безопасное создание, использование и хранение ключей ЭП, а также аппаратно реализовывать российские алгоритмы шифрования, хеширования и ЭП), так и защищенным флэш-диском для безопасного хранения и транспортировки информации ограниченного доступа.

Продолжить читать обзор решения: JaCarta SF/ГОСТ
12 февраля 2018
Рекомендации по защите: удаленные подключения к корпоративной сети
Удалённый доступ, который также часто называют «VPN», — востребованная во многих организациях функция, с помощью которой сотрудник может подключаться к необходимым ему системам из любой точки земного шара, где есть выход в Интернет. И, в связи с большой востребованностью, VPN становится одной из целей злоумышленников.

Читать рекомендации по защите
22 января 2018

О требованиях по безопасности значимых объектов критической информационной инфраструктуры

На федеральном портале проектов нормативных правовых актов в середине декабря появились два важных документа по теме обеспечения безопасности критической информационной инфраструктуры (КИИ): «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» и «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»...

Читать обзор
17 ноября 2017
Рекомендации по защите: Distributed DoS (DDoS)
Distributed Denial of Service (DDoS — распределённая атака типа «отказ в обслуживании») — техника выполнения DoS-атак, при которой атака ведется одновременно с множества хостов, как правило, являющихся участниками ботнета. В среднем трафик при DDoS-е измеряется в гигабайтах в секунду, но в последнее время встречаются и терабайтные атаки.

Читать рекомендации по защите
14 ноября 2017
Рекомендации по защите: DoS
Denial of Service (DoS) или «отказ в обслуживании» — обобщенное наименование группы техник выполнения кибератак, преследующих своей целью сделать недоступным атакуемый узел. Классическими представителями этого типа кибератак являются DoS-атаки типа SYN-Flood, HTTP-Flood, PDoS и др. Обычно злоумышленник подбирает технику атаки индивидуально под жертву...

Читать рекомендации по защите
31 октября 2017
Критические уязвимости KRACK в протоколе Wi-Fi Protected Access II
Недавно была опубликована информация о комплексе критических уязвимостей в повсеместно используемом и наиболее защищенном протоколе для организации Wi-Fi сетей — WPA2. Данные уязвимости были обнаружены Мэти Ванхофом (Mathy Vanhoef) и объединены под общим названием KRACK (от Key Reinstallation Attacks). KRACK позволяет проводить атаки типа man-in-the-middle или «человек посередине» — компрометировать канал связи, позволяя злоумышленнику прослушивать передаваемые сообщения (а в некоторых случаях и внедрять собственные).

Читать обзор комплекса уязвимостей
20 октября 2017
О критериях значимости объектов критической информационной инфраструктуры
В конце сентября на портале regulation.gov.ru был размещен проект постановления Правительства Российской Федерации «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования». На момент публикации этой заметки проект еще не утвержден. Также на портале опубликованы проекты сопутствующих нормативно-правовых актов…

Читать обзор
02 октября 2017
Обзор решения: АПКШ «Континент»
Вероятно, каждый, кто хоть раз сталкивался с защитой каналов связи согласно требованиям ФСТЭК/ФСБ, слышал о СКЗИ российского производства. Наиболее известны АПКШ «Континент», S-Terra Шлюз, ViPNet Coordinator и Diamond VPN/FW. Все эти решения прошли долгий путь развития. Они весьма самобытны и существенно различаются как функционально, так и эргономически. А первое заметное отличие — это цвет :) Сегодня поговорим о «зеленых решениях» — устройствах серии «Континент» производства Кода Безопасности.

Продолжить читать обзор решения АПКШ «Континент»
30 августа 2017
Рекомендации по защите: SSH
Протокол SSH — один из самых удобных и безопасных протоколов удаленного доступа. И, вероятнее всего, самый распространенный. А в связи с тем, что далеко не все, кто его эксплуатирует, основательно разбираются в возможных настройках SSH, этот протокол остаётся одной из наиболее популярных целей как при таргетированной атаке, так и при автоматическом сканировании ботами извне...

Читать рекомендации по защите
30 августа 2017
О принятии закона по безопасности критической информационной инфраструктуры
26 июля 2017 года был официально опубликован Федеральный закон № 187 «О безопасности критической информационной инфраструктуры Российской Федерации». Событие примечательно тем, что впервые такие понятия, как «критическая информационная инфраструктура», «значимый объект критической информационной инфраструктуры», «субъекты критической информационной инфраструктуры» закреплены на уровне федерального закона. А в ближайшее время должны появится подзаконные нормативные акты, которые вместе с ФЗ и уже существующими документами…

Читать обзор
27 августа 2017
Обзор решения RedCheck
Большинство продуктов для анализа защищенности нацелены прежде всего на поиск уязвимостей. Мне же сегодня хочется рассказать о продукте, который существенно выделяется на их фоне. Это RedCheck от компании «Алтэкс-Софт». А выделяется он целой гаммой функций по аудиту безопасности и, прежде всего, функциями аудита конфигураций. Но обо всем по порядку..

Продолжить читать обзор решения RedCheck
21 августа 2017
Рекомендации по защите: WiFi
WiFi, из-за своих очевидных преимуществ встречающийся в практически любой компании, является одной из самых уязвимых и поэтому любимых целей для злоумышленника. Наиболее популярны следующие типы атак:
1. Взлом пароля с целью получения доступа во внутреннюю сеть компании или доступа к сети Интернет — простая атака, во время которой осуществляется подбор пароля (как правило, brute-force на сохраненный hand-shake).
2. Evil Twin — более сложная и изощрённая атака, направленная на получение доступа к всему входящему/исходящему трафику…

Читать рекомендации по защите
27 июля 2017
Изменения порядка проведения проверок операторов персональных данных
В начале июля на портале regulation.gov.ru выложили на обсуждение проект нормативно-правового акта «Об утверждении Положения о порядке осуществления федерального государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации». Мы подготовили небольшой обзор этого документа и описали основные шаги, которые имеет смысл предпринять.

Читать обзор положения
13 июля 2017
Рекомендации по защите: фишинг
Фишинг — один из видов интернет-мошенничества, основанный на принципах социальной инженерии, целью которого является обманом вынудить пользователя совершить необходимые злоумышленнику действия. Слово фишинг происходит от английского «phishing» (созвучно с «fishing», что означает «поймать на удочку»). Также популярен вишинг (голосовой фишинг, англ. Vishing — от voice phishing) и смишинг (англ. SMiShing — от «SMS» и «фишинг»). Фишинг делится на два основных направления...

Читать рекомендации по защите
10 июля 2017
Обзор решения Palo Alto NGFW
Нам же в очередной раз посчастливилось поработать с моделью PA3020 — одной из наиболее часто встречающихся моделей, ориентированной на представителей малого и среднего бизнеса. Нельзя не отметить, что в комплекте с самим устройством нам был предоставлен полный набор подписок, позволяющих оценить все функциональные возможности решения..

Продолжить читать обзор решения Palo Alto NGFW
27 июня 2017
Увеличение штрафов за несоблюдение законодательства о персональных данных
С 1-го июля 2017 года вступают в силу изменения в применяемой ответственности за нарушение требований при обработке персональных данных (согласно Федеральному закону «О внесении изменений в кодекс Российской Федерации об административных правонарушениях» от 7 февраля 2017 года № 13-ФЗ). Из всех предусмотренных видов ответственности изменения коснулись только административной.

Подробнее об изменениях
13 июня 2017
Изменения в порядке лицензирования деятельности по защите информации
17 июня 2017 года, т. е. уже на этой неделе, вступают в силу изменения в порядке лицензирования деятельности по технической защите конфиденциальной информации и по разработке средств защиты информации. Обе лицензии выдает ФСТЭК России, он же осуществляет государственный контроль и надзор над лицензиатами. Изменения коснутся юридических лиц и индивидуальных предпринимателей, как планирующих получить лицензии ФСТЭК, так и уже обладающих такими лицензиями.

Подробнее о том, что изменилось
06 июня 2017
Рекомендации по защите: вирусы-шифровальщики
Вирусы-шифровальщики представляют собой семейство троянских программ (Trojan.Encoder), которые зашифровывают файлы на жестких дисках персональных компьютеров пользователей, внешних жестких дисках и usb-накопителях, сетевых дисках, облачных хранилищах, web-сайтах, web-серверах — в зависимости от своего механизма действия и от настроек того окружения, в которое попала троянская программа. Шифрованию могут подвергаться отдельные файлы или целые разделы жестких дисков. Чаще всего шифруются изображения, офисные документы и архивы, аудио- и видеофайлы, файлы базы данных 1С.

Читать рекомендации по защите
07 апреля 2017
10 наиболее часто выявляемых нарушений закона «О персональных данных»
Многие организации сегодня уделяют должное внимание обработке и защите персональных данных как своих сотрудников, так и своих клиентов. Однако нередко, вопреки предпринятым усилиям, проверка Роскомнадзора проходит не так гладко, как хотелось бы. Представляем вам ТОП-10 наиболее часто выявляемых нарушений закона «О персональных данных».

Читать статью