Фильтрация предупреждений PVS-Studio, выявляющих критические ошибки (согласно классификации ГОСТ Р 71207-2024)
ГОСТ Р 71207-2024 "Статический анализ кода" выделят класс дефектов в коде, называемых критическими ошибками. При разработке безопасного программного обеспечения (РБПО) такие дефекты должны в обязательном порядке выявляться и исправляться в приоритетном режиме. Статический анализатор PVS-Studio...
Оценка киберугроз по стандартам ФСТЭК: комплексный подход к защите данных
ФСТЭК России разработала методику оценки угроз информационной безопасности, которая позволяет организациям выявлять, анализировать и минимизировать киберриски. Читать далее...
hex-атака: как изящно обойти закрытый буфер обмена, потоковый AV и другие защитные механизмы удаленных рабочих мест
Привет, Хабр! Меня зовут Марат Сафин, я эксперт по безопасности КИИ и АСУТП в К2 Кибербезопасность. Более восьми лет занимаюсь кибербезом с упором на защиту промышленных объектов и АСУТП. До этого пять лет внедрял и обеспечивал функционирование самих АСУТП. Сегодня расскажу о любопытной дыре в...
Сертификация ФСТЭК: как мы перестали бояться и полюбили процесс
Знаете, как обычно проходит первая встреча с сертификацией ФСТЭК? Примерно как встреча с медведем в лесу. Все знают, что он где-то есть, все слышали истории о том, как другие его видели, но пока не столкнешься сам — не поймешь масштаба. В какой-то момент нам стало понятно: либо научимся проходить...
Как мы ускорили ванильную FreeIPA в 20 раз!!! (почти)
В статье речь пойдет об ALD Pro (Astra Linux Domain Pro). Один заказчик попросил предоставить инструмент нагрузки LDAP-запросов, да не простой, а с GUI и графиками. Наша команда в своей работе активно использует open source инструмент нагрузочного тестирования Locust (англ. Саранча). Сам по себе...
Сертификация ФСТЭК: самый подробный гайд. Часть первая – подготовка
Сертификация по требованиям ФСТЭК России остается ключевым инструментом обеспечения информационной безопасности в России, особенно в последние годы. На чем бы ни специализировалась ваша организация, лицензирование и сертификация товаров и услуг, связанных с защитой конфиденциальности и безопасной...
От сирен до SIEM: разбираем архитектуру и защиту локальных систем оповещения
9 марта 2023 года в российском теле- и радиоэфире прозвучало объявление о воздушной тревоге. Пугающий знак радиационной опасности, звук сирены на заднем фоне, напряженный синтетический голос, призывающий спрятаться в укрытии… Спустя несколько часов в МЧС отчитались о том, что тревога была ложной:...
Грубый подсчёт. Или как мне стало обидно, когда от вендоров требуют качественных приложений
Недавно был на сходке телеграм-канала, который посвящён безопасности мобильных приложений. Было много уязвимостей и лёгких подколок разработчиков мобильных приложений, которые пропускают сырые приложения в релиз (сырые с точки зрения безопасности). Читать далее...
Тонкости импортозамещения CMS. Собираем Bug Bounty и БДУ по реестру отечественного ПО
Привет, Хабр! Меня зовут Дмитрий Прохоров, я cпециалист по тестированию на проникновение из команды CyberOK. Исследуя просторы Рунета и собирая фингерпринты для различных CMS, я заметил, что присутствует большое множество различных веб-сайтов на CMS отечественной разработки. И да, это не Битрикс!...
Быстрый способ оценить защиту КИИ по методике ФСТЭК
ФСТЭК разработала методику оценки текущего состояния защиты информации (обеспечения безопасности объектов КИИ) в государственных органах, органах местного самоуправления, организациях, в том числе субъектах критической информационной инфраструктуры. Методика утверждена Приказом ФСТЭК от...
Как получить лицензию ФСТЭК России. Опыт «Фланта»: процесс, сложности, советы
В России на разные виды деятельности нужны лицензии. Например, чтобы производить и продавать алкоголь и табачные изделия, требуется разрешение. Это касается и защиты конфиденциальной информации, разрешение на работу с которой выдает Федеральная служба по техническому и экспортному контролю (ФСТЭК...
Как я делал то же, что и ФСТЭК, когда это еще не было трендом
Всем привет, меня зовут Андрей Рогов. В СИГМЕ, где мы разрабатываем и внедряем ИТ-решения для всей электроэнергетики — от контроля работы электростанций до расчета платежей «за свет», я работаю в отделе аудита и консалтинга. А значит, в мои должностные обязанности входит написание множества...
Что такое аттестация в мире IaaS, или как мы обезопасили облако на базе VMware
Пользовались услугами провайдеров, арендовали облачные серверы или базы данных? Слышали про аттестованные услуги и сервисы? Их на современном рынке много, но в интернете совсем нет информации, как облачные провайдеры проводят оценку эффективности средств защиты и эту таинственную аттестацию. Для...
ИБ-аудит в финансовых организациях: что надо знать, чтобы не провалить или не затянуть
Привет! На связи Департамент консалтинга и аудита информационной безопасности Бастион. Не ожидали? А мы вот решили написать пост, потому что есть желание поделиться полезной информацией. Дело в том, что иногда мы выступаем в качестве внешних ИБ-аудиторов различных организаций, в том числе...
Защита персональных данных. Часть 3
В этой статье мы продолжим построение системы защиты персональных данных (далее СЗПДн). В предыдущих двух статьях мы достаточно подробно рассмотрели процесс установления уровня защищенности персональных данных, актуальных угроз, а также выяснили, какие именно меры защиты нам необходимо применять...
Получение лицензии по производству СЗКИ во время санкций: какое КИО необходимо
В новых условиях роста импортозамещения и развития разработки внутренних ИТ-продуктов часть возможностей теряются, часть — приходят на смену старым. Компании берутся за создание программного обеспечения: промышленного, прикладного, необходимого для пользователей и инфраструктуры. Зарабатывать в...
Защита персональных данных. Часть 2
В этой статье мы продолжим рассмотрение процесса построения системы защиты персональных данных. В предыдущей статье мы остановились на определении Уровня защищенности персональных данных. Следующим шагом является определение тех мер, которые необходимы для последующего построения системы защиты....
Больше не значит лучше: адекватный класс СКЗИ для бизнеса
Всем привет, меня зовут Василий Степаненко, и теперь я работаю в НУБЕС. Эта статья для тех, кто любит “перебдеть”, и все информационные системы, в которых производится обработка персональных данных, категорировать по максимальному уровню защищенности, т.е. УЗ-1. Конечно же бывают случаи, когда...
Назад