+7 (495) 640-47-10
+7 (812) 612-00-12
sales@acribia.ru
En
+7 (495) 640-47-10
+7 (812) 612-00-12
sales@acribia.ru

Июль 2025
Киберлето`2025 в Акрибии
Приглашаем студентов ИТ/ИБ специальностей поучаствовать в традиционном мероприятии Акрибии: Киберлето`2025. В этом году выбрали новый формат - bug bounty. Приглашаем всех, кто хочет разобраться, что такое поиск уязвимостей веб-приложения, и реализовать полученные навыки на практике. Вознаграждения и подарки предполагаются ;)
23 апреля 2025
Отслеживайте уязвимости с Acribia.Vulns
Теперь Вы можете отслеживать уязвимости в Вашем ПО в нашем бесплатном сервисе Acribia.Vulns
Июль 2024
Киберлето`2024 в Акрибии
Приглашаем студентов ИТ/ИБ специальностей поучаствовать в теперь уже традиционном мероприятии Акрибии: Киберлето`2024. Интересуешься построением защиты от реальных атак, хочешь сам эти атаки проводить, знаешь, как спалить нарушителя и не дать ему нанести ущерб, тогда присоединяйся к одной из команд в нашей кибер-летней-битве!
26 марта 2024
Отчет об уязвимости: Раскрытие пароля в Removal tool for Kaspersky applications
Мы обнаружили возможность раскрытия пароля в Removal tool for Kaspersky applications. В данной статье расскажем о том, как мы обнаружили уязвимость, к чему может привести её эксплуатация, и дадим рекомендации по устранению.
25 декабря 2023
Отчет об уязвимости: Обход двухфакторной аутентификации в менеджере паролей Пассворк
Мы обнаружили уязвимость обхода двухфакторной аутентификации (2FA) в менеджере паролей Пассворк. В данной статье расскажем о том, как происходил поиск уязвимости, к чему может привести её эксплуатация, и как с ней бороться.
Июль 2023
Киберлето`2023 в Акрибии
Летняя практика в формате кибербитвы для студентов, изучающих информационную безопасность
28 апреля 2023
Нас взломали, что делать? Краткий гайд по реагированию на инциденты
Разбираемся, как реагировать на инциденты информационной безопасности
20 июня 2022
Реализация процессов управления инцидентами и уязвимостями информационной безопасности в финансовых организациях
Разбираемся в том, каким образом можно реализовать процесс управления инцидентами и уязвимостями в финансовой организации
07 июня 2022
Как выбрать тестирование на проникновение и почему цены отличаются в 10 раз
Методика по выбору тестирования на проникновение, описание видов, объяснение цен и что в них входит
11 июня 2021
Введение штрафов за нарушения в области безопасности критической информационной инфраструктуры
15 марта 2021
Акрибия заключила соглашение об обмене с ФинЦЕРТ
Теперь база знаний Acribia.SOC пополняется еще и сообщениями об индикаторах компрометации от FinCERT, а также информационными бюллетенями о новых уязвимостях.
20 октября 2020
Акрибия на NeoQuest 2020
Запись доклада: "Абсолютная безопасность: анатомия одного инцидента"
29 сентября 2020
Сертифицированные vs несертифицированные средства защиты информации: требования регулятора или реальная необходимость?
28 сентября 2020
Акрибия на NeoQuest 2020
Выступим с докладом на тему: "Абсолютная безопасность: анатомия одного инцидента"
06 июля 2020
ГОСТ 57580: сроки проведения оценки соответствия. Позиция Банка России
16 июня 2020
Категорирование объектов КИИ: примеры из практики
В данной статье мы на примерах расскажем, какие ошибки могут быть допущены при проведении первого этапа категорирования, и к каким последствиям они могут привести.
26 мая 2020
28 мая в 11:00 (Мск) Акрибия проведет вебинар "Уязвимости как ахиллесова пята персональных данных"
Ваши вопросы по данной теме вы можете прислать нам на почту - acribia@acribia.ru или задать на вебинаре
13 мая 2020
Обзор решения: ViPNet Coordinator HW
В 2017 году мы рассказывали нашим читателям об одном из решений для организации защиты каналов связи согласно требованиям ФСТЭК/ФСБ. Сегодня мы проведем обзор еще одного конкурентного решения, разработанного отечественным производителем, компанией ИнфоТеКС
08 мая 2020
Cookie-файлы и GDPR: какие ошибки совершают владельцы сайтов в погоне за соответствием?
23 апреля 2020
Обзор проекта новой методики моделирования угроз безопасности информации
В статье рассмотрим новый подход регулятора к моделированию угроз, а также оценим – насколько такой подход отвечает текущим реалиям в области информационной безопасности.
21 апреля 2020
23 апреля в 11:00 (Мск) Акрибия проведет вебинар "ГОСТ 57580: как проходит оценка соответствия"
Ваши вопросы по данной теме вы можете прислать нам на почту - acribia@acribia.ru или задать на вебинаре
25 марта 2020
26 марта в 15:00 (Мск) Акрибия проведет вебинар "Зачем нужен ГОСТ 57580: разбираем структуру и суть стандарта"
Ваши вопросы по данной теме вы можете прислать нам на почту - acribia@acribia.ru или задать на вебинаре
19 марта 2020
Безопасный переход на удаленную работу
Делимся рекомендациями и подборкой предложений от вендоров
13 марта 2020
Каким должен быть пентест (pen-test) для банка? Чего ждет регулятор?
Делимся собственной методологией проведения пентеста (penetration test) для банков
04 марта 2020
12 марта в 15:00 (Мск) Акрибия проведет вебинар "Управление уязвимостями на аутсорсинге: реализация процесса №3 ГОСТ 57580"
Ваши вопросы по данной теме вы можете прислать нам на почту - acribia@acribia.ru или задать на вебинаре
11 февраля 2020
Акрибия примет участие в ХII Уральском форуме «Информационная безопасность финансовой сферы»
Выступим с докладом на тему: "Управление уязвимостями на аутсорсинге: реализация процесса №3 ГОСТ 57580"
07 февраля 2020
Управление уязвимостями (Vulnerability Management) - чего больше: управления или уязвимостей?
Процесс управления уязвимостями: разбираем случаи из практики
07 февраля 2020
Акрибия на конференции «Защита персональных данных в эпоху цифровой революции: ответственность компаний и минимизация рисков»
Ответим на интересующие вас вопросы по теме - защита персональных данных
27 декабря 2019
Что было интересного в 2019 году? Чего ждать в 2020?
Вспоминаем знаковые события из мира информационной безопасности уходящего года и спешим поздравить с грядущими праздниками!
21 октября 2019
Спирфишинг: разбираем методы атак и способы защиты от них
Как обезопасить себя от атак интернет-мошенников
23 сентября 2019
Изменения в Приказе ФСТЭК №17
Изменения представляют интерес для ЦОДов и ГИС, которые размещаются в ЦОДах.
Читать новость
16 сентября 2019
Сертификаты в области информационной безопасности: что актуально в РФ и за рубежом
Вносим ясность в сертификацию для специалистов, ведущих деятельность в сфере ИБ.
09 сентября 2019
Приказы ФСБ России по проблеме развития и регулирования ГосСОПКА
Опубликованы последние из планируемых на данный момент приказы ФСБ РФ, касающиеся № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ».

Читать новость
25 августа 2019
Анализ механизмов локализации интерфейса приложений в Splunk
Дополнительно переведём результаты поиска на примере уязвимостей OpenVAS, что хоть и не относится к самой системе перевода, однако хорошо дополняет общую картину.
19 августа 2019
Акрибия на саммите «Промышленность 4.0: Цифровой Завод»
Пообщаться с нашими специалистами можно будет на стенде Акрибии.
12 августа 2019
Утечка трафика - реальная угроза? Выжимаем максимум информации из дампа
Какую полезную информацию может получить злоумышленник при утечке трафика?
05 августа 2019
Формирование перечня объектов КИИ в финансовом секторе
Тема критической информационной инфраструктуры (КИИ) в последнее время постепенно набирает обороты. Всё активнее публикуются различные нормативно-правовые акты в данной области, в том числе устанавливающие сроки проведения определенных мероприятий или описывающие меры наказания за нарушение безопасности объектов КИИ.

Читать новость
28 июля 2019
Сеть компании и MitM. Часть 2
Продолжаем цикл статей, посвященный атакам "человек посередине"на типичные протоколы и каналы передачи, встречающиеся практически в любой компании.
22 июля 2019
О внесении изменений в требования к созданию систем безопасности значимых объектов КИИ
ФСТЭК России по средствам приказа № 64 от 27.03.2019 внес корректировки в свой приказ № 235 от 21.12.2017 «Об утверждении требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования».

Читать новость
18 июля 2019
Как мы управление уязвимостями построили
Мы выстроили процесс работы и видим в нашем подходе ряд преимуществ и возможностей, которые помогут более эффективно работать с уязвимостями.
08 июля 2019
GDPR в действии: почему не стоит игнорировать требования регламента?
Прошло уже чуть больше года с момента вступления в силу Европейского регламента о защите персональных данных (GDPR), однако до сих пор далеко не каждая компания, которая попадает под влияние GDPR, озаботилась приведением в соответствие требованиям регламента своих процессов обработки персональных данных. Повсеместно бытует мнение, что в случае инцидента регулятор прибегнет к предупреждению, не налагая пугающих штрафов.

Читать новость
01 июля 2019
Переход от SDLC к SSDLC
Разбираемся в том, что происходит при добавлении уровня secure в жизненный цикл разработки ПО.
23 июня 2019
Шпаргалки по безопасности: JWT
Рассказываем о том, как сделать безопасным токен JWT
17 июня 2019
Законопроект об увеличении штрафов за несоблюдение требований о хранении персональных данных
В четверг 13 июня 2019 года в Государственную Думу внесен законопроект, по которому предусматриваются штрафы за нарушения хранения персональных данных (ПДн) граждан РФ до 18 миллионов рублей.

Читать новость
10 июня 2019
О требованиях к средствам ГосСОПКА
Приказом № 196 ФСБ России от 06.05.2019 утверждены требования к средствам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Читать новость
03 июня 2019
Почему Вам нужна IDM-система или проблемы безопасности в больших компаниях
Рассказываем о том, что такое IDM-система и зачем она нужна бизнесу.
26 мая 2019
Шпаргалки по безопасности: REST
Делимся советами, которые помогут вам улучшить безопасность вашего REST-приложения.
20 мая 2019
Угрозы безопасности Microsoft и Intel
14 мая 2019 года компания Microsoft опубликовала уязвимость в в Remote Desktop Services (служба удалённого рабочего стола). В этот же день компания Intel предупредила об уязвимости Microarchitectural Data Sampling (MDS).

Читать новость
13 мая 2019
Журналирование. Почему нужны журналы и зачем их защищать?
Рассказываем о том, зачем вести журналы и как обеспечить их безопасность.
29 апреля 2019
Обзор изменений 127 Постановления Правительства РФ
24 апреля 2019 года в действие вступила обновленная редакция одного из основных правовых актов в области безопасности критической информационной инфраструктуры Российской Федерации — правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры и их значений (Постановление Правительства № 127 от 8 февраля 2018 года).

Читать новость
24 апреля 2019
Акрибия на CISO Forum 2019
Мы представили доклад на тему: «Honeypot: стоит ли готовить угощение для хакера?».
22 апреля 2019
Шпаргалки по безопасности: Docker
Рассказываем о том, как безопасно публиковать docker контейнеры.
15 апреля 2019
Новый уровень правил организации госконтроля в области персональных данных
13 февраля 2019 года Постановлением Правительства № 146 утверждены правила организации государственного контроля и надзора за обработкой персональных данных. Документ готовился на протяжении долгого времени и наконец-то вышел в свет, утверждая правила проверок Роскомнадзора на ином уровне (относительно уже существующего Административного регламента, утвержденного приказом Минкомсвязи России).

Читать новость
08 апреля 2019
Обзор решения: UserGate
Название каких решений вам приходит на ум, когда вы слышите термин NGFW? FortiGate, Check Point или, может быть, Palo Alto Networks? А знаете ли Вы представителей решений такого класса из России?
Сегодня речь пойдет о UserGate — первом российском межсетевом экране нового поколения.

Продолжить читать обзор
25 марта 2019
Сдвиг фундамента в ИБ образовании
Размышляем о взаимодействии IT-компаний и образовательных учреждений.
18 марта 2019
Акрибия на CISO Forum 2019
Мы представим доклад на тему: «Honeypot: стоит ли готовить угощение для хакера?».
04 марта 2019
Новые требования к защите информации финансовых организаций
В прошлом году произошли значимые изменения в нормативной базе кредитно-финансового сектора (часть из них мы затронули ранее). Что ожидает банки и другие финансовые организации в области защиты информации?

Читать новость
17 февраля 2019
Разбор порядка подключения частных клиник к ЕГИСЗ
Министерство здравоохранения РФ ответило на вопросы о порядке подключения частных медицинских учреждений к единой государственной информационной системе в сфере здравоохранения (ЕГИСЗ). Давайте разберемся, какие же действия необходимо совершить коммерческим медицинским клиникам.

Читать новость
05 февраля 2019
Сеть компании и MitM. Часть 1
Каналы передачи данных подвержены атакам MitM, в этот раз рассмотрим базовые уровни.
21 января 2019
О развитии нормативной базы в финансовом секторе
В прошлом году продолжилось активное развитие нормативной базы в области информационной безопасности финансового сектора. Хотим обратить внимание на некоторые важные нововведения в законодательстве.

Читать новость
26 декабря 2018
Чем запомнился 2018 год?
Вспоминаем, что происходило в отрасли в 2018, и поздравляем всех с наступающими праздниками!
10 декабря
ГосСОПКА и обеспечение безопасности КИИ. О чем говорится в недавно утвержденных документах ФСБ
Нормативно-правовая база в области обеспечения безопасности критической информационной инфраструктуры продолжает пополняться новыми документами. Вслед за ФСТЭК России, утвердившей требования к обеспечению безопасности значимых объектов КИИ, свой шаг сделал и другой регулятор — ФСБ России.

Читать новость
03 декабря 2018
Акрибия на InfoSecurity Russia 2018
Мы представили доклад на тему: «Инциденты ИБ как отправная точка при построении SOC».
26 ноября 2018
Проверяем закрытую уязвимость и получаем четыре новые CVE
Рассказываем о найденных уязвимостях в ProjeQtOr Project Management Tool 7.2.5.
19 ноября 2018
Зафиксирована активность вируса-шифровальщика
Предупреждаем о повышенной активности распространения вируса-шифровальщика семейства Shade. Целью заражения является шифрование локальных и сетевых дисков с последующим требованием выкупа для расшифровки.

Читать новость
06 ноября 2018
Акрибия на InfoSecurity Russia 2018
Мы представим доклад на тему: «Инциденты ИБ как отправная точка при построении SOC».
22 октября 2018
Рекомендации по защите: Web-серверы. Windows
Web-серверы часто подвергаются атакам со стороны злоумышленников. Благодаря взломанным web-серверам недоброжелатели могут получить доступ к конфиденциальной информации пользователей, нарушить целостность работы организации или использовать web-сервер, как «входную» точку в локальную сеть.

Читать рекомендации по защите
08 октября 2018
Пути распространения ВПО
Рассматриваем, как вредоносное ПО попадет на устройства и какие меры предосторожности принять для уменьшения риска заражения.
17 сентября 2018
GDPR: заблуждения и реальность
Разбираемся в том, какие утверждения о новом регламенте по защите персональных данных верны, а какие - надуманы.
13 августа 2018
Безопасность Bluetooth по NIST
Информируем о рекомендациях, которые дает NIST.
23 июля 2018
Росстандарт утвердил требования к мобильным приложениям
26 июня 2018 года утвержден предварительный национальный стандарт (ПНСТ) 277−2018 «Российская система качества. Сравнительные испытания мобильных приложений для смартфонов». Документ включает в себя 87 требований, который будут носить рекомендательный, а не обязательный характер.

Читать новость
16 июля 2018
7 бед, если в компании ботнет
Сообщаем об угрозах, которые подстерегают вас, если ваша компания является ботнетом.
09 июля 2018
Локальная авторизация без пароля в Ubuntu
Рассказываем, как мы нашли уязвимость в Ubuntu.
02 июля 2018
Рекомендации по защите: Web-серверы. Linux
Web-серверы — неотъемлемая часть практически инфраструктуры любой компании. Они являются теми посредниками, с помощью которых функционирует ваш ресурс, неважно, сайт-визитка это или целая социальная сеть с количеством зарегистрированных пользователей более миллиона.

Читать рекомендации по защите
25 июня 2018
Как внедрить культуру ИБ
Культура ИБ, так же как культура в целом, может быть «из коробки», а можно ее развивать и прививать. На что стоит обратить внимание, описываем в статье.
18 июня 2018
О расширении лицензии ФСТЭК
С радостью сообщаем, что одна из компаний группы «Акрибия» получила лицензию ФСТЭК России на выполнение работ по технической защите конфиденциальной информации ...

Читать новость
04 июня 2018
Про хранение паролей в БД
Читайте о том, как хранятся пароли в базах данных, а также немного о хэширование и соли.
28 мая 2018
В ЕС вступил в силу регламент о защите персональных данных
25 мая 2018 года в Европейском Союзе вступил в силу GDPR (General Data Protection Regulation). Данный регламент заменил собой Директиву о защите персональных данных 1995 года.

Читать обзор
21 мая 2018
Об утверждении Правил взаимодействия иных информационных систем, касающихся деятельности медицинских организаций и предоставляемых ими услуг
Ранее мы упоминали проект Постановления Правительства, которое должно пояснить требования по защите информации в информационных системах, касающихся деятельности медицинских организаций и их услуг.

Читать новость
07 мая 2018
Как понять, что ваш сайт взломали?
Рассказываем о действиях, которые помогут определить, что ваш сайт был взломан.
26 апреля 2018
Акрибия на CISO Forum 2018
Мы представили доклад на тему: «Ахиллесова пята CISO: безопасность бизнес-приложений».
09 апреля 2018
Можно ли войти в закрытую дверь, или как патчат уязвимости
Тема закрытия уязвимостей оказалась куда интереснее, чем нам виделось изначально. Выбранные случайным образом две уязвимости продемонстрировали, что закрываются они странно и плохо.
26 марта 2018
Услуги по защите критической информационной инфраструктуры и GDPR
За последнее время в нашей профессиональной сфере произошло столько всего важного и интересного, что даже уследить тяжело. Кажется, еще совсем недавно отрасль активно рассуждала о важности и необходимости мониторинга информационной безопасности, а сегодня все озабочены GDPR и вопросами защиты критической информационной инфраструктуры. Мы стараемся не отставать от потребностей рынка.

Читать новость
19 марта 2018
Виды технической оценки информационной безопасности
Читайте о видах аудита и задачах решаемых при проведении аудита
12 марта 2018
Об утверждении порядка организации и оказания медицинской помощи с применением телемедицинских технологий
21 января 2018 г вступил в силу Приказ Министерства здравоохранения РФ от 30 ноября 2017 г. № 965н "Об утверждении порядка организации и оказания медицинской помощи с применением телемедицинских технологий".

Читать обзор
05 марта 2018
Акрибия на CISO Forum 2018
Мы представим доклад на тему: «Ахиллесова пята CISO — кастомизируемые бизнес-приложения».
19 февраля 2018
Обзор решения: JaCarta SF/ГОСТ
Рынок решений по защите информации расширяется постоянно. Недавно удалось потестировать ознакомительную версию продукта нового класса для партнеров от компании «Аладдин Р.Д.» — защищенный usb-носитель JaCarta SF/ГОСТ, призванный быть как персональным СКЗИ (обеспечивать безопасное создание, использование и хранение ключей ЭП, а также аппаратно реализовывать российские алгоритмы шифрования, хеширования и ЭП), так и защищенным флэш-диском для безопасного хранения и транспортировки информации ограниченного доступа.

Продолжить читать обзор решения: JaCarta SF/ГОСТ
12 февраля 2018
Рекомендации по защите: удаленные подключения к корпоративной сети
Удалённый доступ, который также часто называют «VPN», — востребованная во многих организациях функция, с помощью которой сотрудник может подключаться к необходимым ему системам из любой точки земного шара, где есть выход в Интернет. И, в связи с большой востребованностью, VPN становится одной из целей злоумышленников.

Читать рекомендации по защите
05 февраля 2018
10 ошибок при построении системы информационной безопасности
Делимся своим опытом и разбираем, как избежать самых типичных ошибок при построении системы ИБ.
29 января 2018
Почему SQL Injection - это самый опасный вид уязвимостей?
Самый распространенный способ взлома сайтов и программ, работающих с базами данных - SQL Injection. Чем же так опасна данная уязвимость?
22 января 2018

О требованиях по безопасности значимых объектов критической информационной инфраструктуры

На федеральном портале проектов нормативных правовых актов в середине декабря появились два важных документа по теме обеспечения безопасности критической информационной инфраструктуры (КИИ): «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» и «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»...

Читать обзор
15 января 2018
Новый офис Акрибии в Москве
С удовольствием сообщаем, что с 2018 года приступило к работе подразделение Акрибии в Москве.
27 декабря 2017
Новогодний пост
Рассуждаем о том, чем запомнится уходящий 2017 в отрасли, и поздравляем с наступающими праздниками!
22 ноября 2017
Акрибия на SOC-Forum 2017
Как аналитику SOC за 20 минут определить, кто из клиентов подвержен только что опубликованной уязвимости?
17 ноября 2017
Рекомендации по защите: Distributed DoS (DDoS)
Distributed Denial of Service (DDoS — распределённая атака типа «отказ в обслуживании») — техника выполнения DoS-атак, при которой атака ведется одновременно с множества хостов, как правило, являющихся участниками ботнета. В среднем трафик при DDoS-е измеряется в гигабайтах в секунду, но в последнее время встречаются и терабайтные атаки.

Читать рекомендации по защите
14 ноября 2017
Рекомендации по защите: DoS
Denial of Service (DoS) или «отказ в обслуживании» — обобщенное наименование группы техник выполнения кибератак, преследующих своей целью сделать недоступным атакуемый узел. Классическими представителями этого типа кибератак являются DoS-атаки типа SYN-Flood, HTTP-Flood, PDoS и др. Обычно злоумышленник подбирает технику атаки индивидуально под жертву...

Читать рекомендации по защите
07 ноября 2017
Инструменты аналитика SOC для выявления инцидентов
Какими инструментальными средствами можно воспользоваться для организации мониторинга информационной безопасности и выявления инцидентов.
31 октября 2017
Критические уязвимости KRACK в протоколе Wi-Fi Protected Access II
Недавно была опубликована информация о комплексе критических уязвимостей в повсеместно используемом и наиболее защищенном протоколе для организации Wi-Fi сетей — WPA2. Данные уязвимости были обнаружены Мэти Ванхофом (Mathy Vanhoef) и объединены под общим названием KRACK (от Key Reinstallation Attacks). KRACK позволяет проводить атаки типа man-in-the-middle или «человек посередине» — компрометировать канал связи, позволяя злоумышленнику прослушивать передаваемые сообщения (а в некоторых случаях и внедрять собственные).

Читать обзор комплекса уязвимостей
20 октября 2017
О критериях значимости объектов критической информационной инфраструктуры
В конце сентября на портале regulation.gov.ru был размещен проект постановления Правительства Российской Федерации «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования». На момент публикации этой заметки проект еще не утвержден. Также на портале опубликованы проекты сопутствующих нормативно-правовых актов…

Читать обзор
02 октября 2017
Обзор решения: АПКШ «Континент»
Вероятно, каждый, кто хоть раз сталкивался с защитой каналов связи согласно требованиям ФСТЭК/ФСБ, слышал о СКЗИ российского производства. Наиболее известны АПКШ «Континент», S-Terra Шлюз, ViPNet Coordinator и Diamond VPN/FW. Все эти решения прошли долгий путь развития. Они весьма самобытны и существенно различаются как функционально, так и эргономически. А первое заметное отличие — это цвет :) Сегодня поговорим о «зеленых решениях» — устройствах серии «Континент» производства Кода Безопасности.

Продолжить читать обзор решения АПКШ «Континент»
22 сентября 2017
Строим карту рисков: количественные и качественные оценки
Простыми словами о том, когда стоит применять количественную, а когда качественную оценку рисков, и как их комбинировать.
30 августа 2017
Рекомендации по защите: SSH
Протокол SSH — один из самых удобных и безопасных протоколов удаленного доступа. И, вероятнее всего, самый распространенный. А в связи с тем, что далеко не все, кто его эксплуатирует, основательно разбираются в возможных настройках SSH, этот протокол остаётся одной из наиболее популярных целей как при таргетированной атаке, так и при автоматическом сканировании ботами извне...

Читать рекомендации по защите
30 августа 2017
О принятии закона по безопасности критической информационной инфраструктуры
26 июля 2017 года был официально опубликован Федеральный закон № 187 «О безопасности критической информационной инфраструктуры Российской Федерации». Событие примечательно тем, что впервые такие понятия, как «критическая информационная инфраструктура», «значимый объект критической информационной инфраструктуры», «субъекты критической информационной инфраструктуры» закреплены на уровне федерального закона. А в ближайшее время должны появится подзаконные нормативные акты, которые вместе с ФЗ и уже существующими документами…

Читать обзор
30 августа 2017
Просто и доступно об оценке рисков информационной безопасности
Простыми словами о том, зачем нужна оценка рисков в информационной безопасности и с чего ее начать.
27 августа 2017
Обзор решения RedCheck
Большинство продуктов для анализа защищенности нацелены прежде всего на поиск уязвимостей. Мне же сегодня хочется рассказать о продукте, который существенно выделяется на их фоне. Это RedCheck от компании «Алтэкс-Софт». А выделяется он целой гаммой функций по аудиту безопасности и, прежде всего, функциями аудита конфигураций. Но обо всем по порядку..

Продолжить читать обзор решения RedCheck
21 августа 2017
Рекомендации по защите: WiFi
WiFi, из-за своих очевидных преимуществ встречающийся в практически любой компании, является одной из самых уязвимых и поэтому любимых целей для злоумышленника. Наиболее популярны следующие типы атак:
1. Взлом пароля с целью получения доступа во внутреннюю сеть компании или доступа к сети Интернет — простая атака, во время которой осуществляется подбор пароля (как правило, brute-force на сохраненный hand-shake).
2. Evil Twin — более сложная и изощрённая атака, направленная на получение доступа к всему входящему/исходящему трафику…

Читать рекомендации по защите
14 августа 2017
Уведомление в Роскомнадзор: подавать или не подавать?
Стоит ли вообще уведомлять РКН об обработке персональных данных? Возрастёт ли интерес регулятора к компании? Что грозит компании в случае неуведомления?
Июль 2017
Киберлето`17 в Акрибии
Летняя практика для студентов и энтузиастов, изучающих информационную безопасность всерьез.
27 июля 2017
Изменения порядка проведения проверок операторов персональных данных
В начале июля на портале regulation.gov.ru выложили на обсуждение проект нормативно-правового акта «Об утверждении Положения о порядке осуществления федерального государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации». Мы подготовили небольшой обзор этого документа и описали основные шаги, которые имеет смысл предпринять.

Читать обзор положения
21 июля 2017
Идеальный вендор. Какой он?
Почему с некоторыми производителями приятно иметь дело, а с другими не очень? Что отличает действительно классных производителей? Почему некоторые решения пользуются бешеным спросом, вопреки имеющимся недостаткам?
13 июля 2017
Рекомендации по защите: фишинг
Фишинг — один из видов интернет-мошенничества, основанный на принципах социальной инженерии, целью которого является обманом вынудить пользователя совершить необходимые злоумышленнику действия. Слово фишинг происходит от английского «phishing» (созвучно с «fishing», что означает «поймать на удочку»). Также популярен вишинг (голосовой фишинг, англ. Vishing — от voice phishing) и смишинг (англ. SMiShing — от «SMS» и «фишинг»). Фишинг делится на два основных направления...

Читать рекомендации по защите
10 июля 2017
Обзор решения Palo Alto NGFW
Нам же в очередной раз посчастливилось поработать с моделью PA3020 — одной из наиболее часто встречающихся моделей, ориентированной на представителей малого и среднего бизнеса. Нельзя не отметить, что в комплекте с самим устройством нам был предоставлен полный набор подписок, позволяющих оценить все функциональные возможности решения..

Продолжить читать обзор решения Palo Alto NGFW
03 июля 2017
7 аргументов в пользу ежегодного анализа защищенности
Без сомнения, анализ защищенности — процедура весьма полезная. Но вот вопрос о том, насколько часто ее необходимо выполнять, является дискуссионным. В этой статье мы собрали целых 7 аргументов...
27 июня 2017
Увеличение штрафов за несоблюдение законодательства о персональных данных
С 1-го июля 2017 года вступают в силу изменения в применяемой ответственности за нарушение требований при обработке персональных данных (согласно Федеральному закону «О внесении изменений в кодекс Российской Федерации об административных правонарушениях» от 7 февраля 2017 года № 13-ФЗ). Из всех предусмотренных видов ответственности изменения коснулись только административной.

Подробнее об изменениях
13 июня 2017
Изменения в порядке лицензирования деятельности по защите информации
17 июня 2017 года, т. е. уже на этой неделе, вступают в силу изменения в порядке лицензирования деятельности по технической защите конфиденциальной информации и по разработке средств защиты информации. Обе лицензии выдает ФСТЭК России, он же осуществляет государственный контроль и надзор над лицензиатами. Изменения коснутся юридических лиц и индивидуальных предпринимателей, как планирующих получить лицензии ФСТЭК, так и уже обладающих такими лицензиями.

Подробнее о том, что изменилось
06 июня 2017
Рекомендации по защите: вирусы-шифровальщики
Вирусы-шифровальщики представляют собой семейство троянских программ (Trojan.Encoder), которые зашифровывают файлы на жестких дисках персональных компьютеров пользователей, внешних жестких дисках и usb-накопителях, сетевых дисках, облачных хранилищах, web-сайтах, web-серверах — в зависимости от своего механизма действия и от настроек того окружения, в которое попала троянская программа. Шифрованию могут подвергаться отдельные файлы или целые разделы жестких дисков. Чаще всего шифруются изображения, офисные документы и архивы, аудио- и видеофайлы, файлы базы данных 1С.

Читать рекомендации по защите
30 мая 2017
Каким должен быть «ящик» в проекте по анализу защищенности
Читайте о том, какие цели преследуют проекты по анализу защищенности и как правильно поставить задачу исследователю.
15 мая 2017
Почему мониторингом информационной безопасности всегда будут заниматься люди, а не машины
Читайте о том, что самое главное в мониторинге информационной безопасности, и почему машины еще не скоро смогут заменить людей на этом направлении.
17 апреля 2017
Акрибия на CISO Forum 2017
Наш совместный с Лентой доклад об опыте аудита контрагентов, задействованных в работе с персональными данными.
07 апреля 2017
10 наиболее часто выявляемых нарушений закона «О персональных данных»
Многие организации сегодня уделяют должное внимание обработке и защите персональных данных как своих сотрудников, так и своих клиентов. Однако нередко, вопреки предпринятым усилиям, проверка Роскомнадзора проходит не так гладко, как хотелось бы. Представляем вам ТОП-10 наиболее часто выявляемых нарушений закона «О персональных данных».

Читать статью