Миграция в облако для госструктур и бизнеса, работающего с государственными проектами, — задача с большим числом неизвестных. Таким компаниям хочется использовать облака из-за гибкого масштабирования ресурсов и быстрого развертывания сервисов. Решение также не требует капитальных затрат, если сравнивать его с построением собственной инфраструктуры. Но преимущества облака часто ломаются о перечень требований безопасности к государственным информационным системам (ГИС).
Читать полностью »
Рубрика «ФСТЭК»
Облако с государственной аттестацией: как пользоваться гибкостью виртуализации и сответствовать приказам ФСТЭК
2023-04-20 в 12:28, admin, рубрики: аттестация, Блог компании Selectel, дата-центры, Законодательство в IT, Облачные вычисления, облачные технологии, ФСТЭКСканер уязвимостей на Python или как написать сканер за 6 часов
2022-09-24 в 8:45, admin, рубрики: CVE, NIST, nmap, nmap-сканирование, python, ИБ, информационная безопасность, сканер, сканер уязвимостей, ФСТЭКНедавно мне довелось участвовать в хакатоне по информационной безопасности на научной конференции в прекрасном городе Санкт-Петербург в СПбГУТ. Одно из заданий представляло из себя написание собственного сканера уязвимостей на любом ЯП с условиями, что использование проприетарного ПО и фреймворков запрещено. Можно было пользоваться кодом и фреймворками существующих сканеров уязвимости с открытым кодом. Это задание и мое решение с моим коллегой мы и разберем в этой публикации.
Подготовительный этап
Обзор изменений в 17-м приказе ФСТЭК
2019-09-18 в 4:32, admin, рубрики: 17 приказ, Блог компании Информационный центр, Законодательство в IT, информационная безопасность, ФСТЭК
Привет! 13 сентября Минюст утвердил документ, вносящий изменения в 17 приказ. Это тот самый, который про защиту информации в государственных информационных системах (далее – ГИС). На самом деле изменений много и некоторые из них существенные. Есть как минимум одно очень приятное для операторов ГИС. Подробности под катом.
Как мы закрываем уязвимости в ОС Astra Linux Special Edition
2019-07-29 в 8:35, admin, рубрики: astra linux, linux, Блог компании Astra Linux, инфобез, информационная безопасность, ОС, Разработка под Linux, Софт, ФСТЭКОперационных систем без уязвимостей не бывает — вопрос лишь в том, как эффективно разработчики их выявляют и закрывают. Наша ОС Astra Linux Special Edition здесь не исключение: мы постоянно проверяем и тестируем код на ошибки, нарушения логики, прочие баги и оперативно их устраняем. Иначе бы ФСТЭК России вряд ли сертифицировала Astra Linux на обработку данных, составляющих гостайну. Но о сертификации мы поговорим подробней в другом посте. А в этом расскажем о том, как организована работа над уязвимостями Astra Linux и взаимодействие с отечественным банком данных угроз безопасности информации.
Фото: Leonhard Foeger/Reuters
Читать полностью »
Пишем модель угроз
2019-06-25 в 7:58, admin, рубрики: Блог компании Информационный центр, Законодательство в IT, информационная безопасность, модель угроз, ФСТЭК
Всем привет, мы продолжаем свой цикл статей по «бумажной безопасности». Сегодня поговорим о разработке модели угроз. Если цель прочтения этой статьи в получении практических навыков, то лучше сразу скачать наши шаблоны документов, в котором есть и шаблон модели угроз. Но и без шаблона под рукой со статьей тоже можно ознакомиться в общеобразовательных целях.
Слив: думское совещание с (не) согласными экспертами по законопроекту «О суверенном интернете»
2019-04-15 в 17:54, admin, рубрики: GR, mail.ru group, Алексей Соколов, Андрей Воробьев, Андрей Луговой, билайн, Владимир Габриелян, Вымпелком / VEON, Госвеб, Госдума, денис давыдов, законотворчество, Игорь Ашманов, Илья Массух, импортозамещение, ИРИ, кадры, КЦ нацдомена, Леонид Левин, лига безопасного интернета, Максим Кудрявцев, Мегафон, Минкомсвязи, МТС, олег иванов, Поддержка отечественного ПО, РАЭК, Роскомнадзор, Ростелеком, РОЦИТ, Сергей Гребенников, Сергей Петров, Сергей Плуготаренко, Текучка, ТрансТелеком, ФСО, ФСТЭК, яндекс, метки: GR, mail.ru group, Алексей Соколов, Андрей Воробьев, Андрей Луговой, билайн, Владимир Габриелян, Вымпелком / VEON, Госвеб, Госдума, денис давыдов, законотворчество, Игорь Ашманов, Илья Массух, импортозамещение, ИРИ, кадры, КЦ нацдомена, Леонид Левин, лига безопасного интернета, Максим Кудрявцев, Мегафон, Минкомсвязи, МТС, олег иванов, Поддержка отечественного ПО, РАЭК, Роскомнадзор, Ростелеком, РОЦИТ, Сергей Гребенников, Сергей Петров, Сергей Плуготаренко, Текучка, теле2, Транстелеком, ФСО, ФСТЭК, яндексХостер Филипп Кулин пересказал сюжет «совещания с экспертами» по законопроекту «о суверенном интернете». 34 представителя интернет индустрии, операторов, ассоциаций совещались 2,5 часа — само мероприятие прошло 17 января, до первого чтения. Запись совещания начала распространяться лишь в минувшие выходные. Законопроект уже принят во втором чтении, а завтра 16 апреля вероятно будет принят окончательно в третьем. Но экспертных собраний больше не было. Кулин резюмирует, по его оценке 17 января:
Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных
2019-04-04 в 7:10, admin, рубрики: 152-фз, Блог компании DataLine, информационная безопасность, испдн, персональные данные, ФСТЭКВсем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.
ФСТЭК vs NIST: защита от утечек по-русски и по-американски
2018-12-24 в 10:48, admin, рубрики: dlp, IT-стандарты, NIST, Блог компании Ростелеком-Solar, Законодательство в IT, информационная безопасность, нормативные документы, регуляторы, стандарты безопасности, ФСТЭКНа тему различий российского и западного менталитетов написана куча текстов, издано немало книг, снято множество фильмов. Ментальное расхождение сквозит буквально во всем, начиная с бытовых нюансов и заканчивая нормотворчеством – в том числе в области применения систем защиты от утечек информации (DLP). Так у нас родилась идея подготовить для наших читателей серию статей-сравнений подходов к защите от утечек на русский и на американский манер.
В первой статье мы сравним сходства и различия в тех рекомендациях российских и зарубежных регуляторов по защите информации, к которым в той или иной степени могут быть применимы системы защиты от утечек. Во второй – расскажем о применимости ключевых DLP-систем по составляющим модулям к мерам защиты ГИС, рекомендуемым ФСТЭК РФ. В третьей рассмотрим тот же перечень систем защиты от утечек на предмет корреляций с рекомендациями американского стандарта NIST US.
Итак, что же нам рекомендуют ФСТЭК РФ и NIST US применительно к защите информации, для обеспечения которой могут быть использованы DLP-системы? Ответ на этот вопрос – под катом.
Читать полностью »
[в закладки] Справочник законодательства РФ в области информационной безопасности
2018-12-19 в 21:25, admin, рубрики: антивирусная защита, ГосСОПКА, законодательство, ИБ, информационная безопасность, КИИ, криптография, межсетевые экраны, ПДн, персональные данные, скзи, ФСБ, ФСТЭК, электронная подпись
© Яндекс.Картинки
Все специалисты по информационной безопасности рано или поздно сталкиваются с вопросами законодательного регулирования своей деятельности. Первой проблемой при этом обычно является поиск документов, где прописаны те или иные требования. Данный справочник призван помочь в этой беде и содержит подборку ссылок на основные законодательные и нормативно-правовые акты, регламентирующие применение информационных технологий и обеспечение информационной безопасности в Российской Федерации.
Читать полностью »
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор стандартов моделирования угроз
2018-03-25 в 21:05, admin, рубрики: microsoft, NIST, арм кбр, банки, Законодательство и IT-бизнес, информационная безопасность, криптография, модели, персональные данные, платежные системы, стандарты, угрозы, ФСБ, ФСТЭК, цб рфВ предыдущей публикации цикла мы сформировали базовые требования к системе информационной безопасности безналичных платежей и сказали, что конкретное содержание защитных мер будет зависеть от модели угроз.
Для формирования качественной модели угроз необходимо учесть существующие наработки и практики по данному вопросу.
В этой статье мы проведем экспресс обзор порядка 40 источников, описывающих процессы моделирования угроз и управления рисками информационной безопасности. Рассмотрим как ГОСТы и документы российских регуляторов (ФСТЭК России, ФСБ России, ЦБ РФ), так и международные практики.
Читать полностью »