Рубрика «ФСТЭК»

в 12:57, , рубрики: cnapp, compliance, container security, DevSecOps, k8s, kubernetes, security, аудит, приказ 117, ФСТЭК

Если коротко — плохо живут.

Я последние полгода копаю эту тему и хочу поделиться тем, что увидел. Заодно показать инструмент, который пишу по результатам. Возможно, кто-то узнает свою ситуацию и поможет мне понять, насколько проблема массовая.

С чего всё началось

В 2022–2024 западные CNAPP-платформы закрыли доступ для российских компаний. Wiz, Prisma Cloud, Lacework, Orca — все они либо ушли сами, либо отвалились после санкций. Кто работал с этими инструментами, тот помнит — это была основная рабочая лошадка для аудита Kubernetes в облаке.

Читать полностью »

в 8:46, , рубрики: 115-ФЗ, Rust, архитектура, банки, информационная безопасность, смэв, финтех, ФСТЭК

Я узнал об отключении не из новостей. Утром мне написал знакомый из небольшого банка: «всё упало, паспорта не проверяются, онлайн встал». В то время как раз дописывал обработку ошибок в smev4-rs, Rust-крейте для работы с СМЭВ 4.

Совпадение так совпадение.

Первые несколько часов ушли на то, чтобы понять, что вообще происходит. Минцифры говорило что транспорт в порядке. Жалобы шли и от тех, кто на СМЭВ 3, и от тех, кто переезжал на СМЭВ 4. Значит дело было не в версии протокола.

Читать полностью »

в 8:55, , рубрики: llm, selectel, ИБ, информационная безопасность, регуляторика, ФСТЭК
Новый приказ ФСТЭК: что нужно знать разработчикам Ai-сервисов для госсектора - 1

Привет! Меня зовут Андрей, я руковожу отделом продуктов клиентской безопасности в SelectelЧитать полностью »

в 15:16, , рубрики: 187-ФЗ, ИБ, категоризация, КИИ, ФСТЭК

Я занимаюсь внедрением требований 187-ФЗ с момента его появления. За это время я прошел путь от инженера до консультанта и видел десятки проектов изнутри. Сегодня я расскажу про ключевые ошибки в обеспечении безопасности КИИ, которые я наблюдал лично и которые регулярно приводят к проваленным проверкам ФСТЭК и огромным финансовым потерям.

Читать полностью »

в 18:16, , рубрики: 187-ФЗ, apt, CTI, ioc, threat intelligence, киберразведка, КИИ, фиды, ФСТЭК, цифровой суверенитет

в 12:47, , рубрики: selectel, wbarticle, защита облачных сред, защита персональных данных, настройка облачного сервера, ФСТЭК
Не дать угнать за 60 секунд: автоматизируем базовую настройку облачного сервера - 1

Если вы когда-нибудь анализировали содержимое журналов нового облачного сервера, то наверняка замечали подозрительную активность с первых же секунд его сетевой жизни. Кто эти незнакомцы, сканирующие порты? Чем грозит такой интерес?

Привет! Меня зовут Марк, я методолог по информационной безопасности в Selectel. В этой статье расскажу, как использовать механизм cloud-init для базовой настройки параметров безопасности облачных Linux-серверов в небольших проектах. Рассмотрим, каким образом такая практика помогает реализовать меры по обеспечению безопасности персональных данных в соответствии с Приказом ФСТЭК № 21.
Читать полностью »

в 12:28, , рубрики: аттестация, Блог компании Selectel, дата-центры, Законодательство в IT, Облачные вычисления, облачные технологии, ФСТЭК
Облако с государственной аттестацией: как пользоваться гибкостью виртуализации и сответствовать приказам ФСТЭК - 1

Миграция в облако для госструктур и бизнеса, работающего с государственными проектами, — задача с большим числом неизвестных. Таким компаниям хочется использовать облака из-за гибкого масштабирования ресурсов и быстрого развертывания сервисов. Решение также не требует капитальных затрат, если сравнивать его с построением собственной инфраструктуры. Но преимущества облака часто ломаются о перечень требований безопасности к государственным информационным системам (ГИС).
Читать полностью »

в 8:45, , рубрики: CVE, NIST, nmap, nmap-сканирование, python, ИБ, информационная безопасность, сканер, сканер уязвимостей, ФСТЭК

Недавно мне довелось участвовать в хакатоне по информационной безопасности на научной конференции в прекрасном городе Санкт-Петербург в СПбГУТ. Одно из заданий представляло из себя написание собственного сканера уязвимостей на любом ЯП с условиями, что использование проприетарного ПО и фреймворков запрещено. Можно было пользоваться кодом и фреймворками существующих сканеров уязвимости с открытым кодом. Это задание и мое решение с моим коллегой мы и разберем в этой публикации.

Подготовительный этап

Читать полностью »

в 4:32, , рубрики: 17 приказ, Блог компании Информационный центр, Законодательство в IT, информационная безопасность, ФСТЭК

Обзор изменений в 17-м приказе ФСТЭК - 1

Привет! 13 сентября Минюст утвердил документ, вносящий изменения в 17 приказ. Это тот самый, который про защиту информации в государственных информационных системах (далее – ГИС). На самом деле изменений много и некоторые из них существенные. Есть как минимум одно очень приятное для операторов ГИС. Подробности под катом.

Читать полностью »

в 8:35, , рубрики: astra linux, linux, Блог компании Astra Linux, инфобез, информационная безопасность, ОС, Разработка под Linux, Софт, ФСТЭК

Операционных систем без уязвимостей не бывает — вопрос лишь в том, как эффективно разработчики их выявляют и закрывают. Наша ОС Astra Linux Special Edition здесь не исключение: мы постоянно проверяем и тестируем код на ошибки, нарушения логики, прочие баги и оперативно их устраняем. Иначе бы ФСТЭК России вряд ли сертифицировала Astra Linux на обработку данных, составляющих гостайну. Но о сертификации мы поговорим подробней в другом посте. А в этом расскажем о том, как организована работа над уязвимостями Astra Linux и взаимодействие с отечественным банком данных угроз безопасности информации.

Как мы закрываем уязвимости в ОС Astra Linux Special Edition - 1
Фото: Leonhard Foeger/Reuters
Читать полностью »

123...5
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js