Заказать звонок

безопасность облачных хранилищ

Безопасность облаков: как работать с облачными сервисами

Несколько последних лет показали, что кибератакам подвержены не только государственные и банковские информационные системы. Хакеров привлекают и такие отрасли, как медицина и фармацевтика, логистика, сетевой и интернет-бизнес. На теневом рынке существует определённый перечень услуг, направленных на парализацию бизнеса конкурента, например, «положить» сайт компании, найти уязвимости в защите системы и получить доступ к базам данных, и т. д.

Продолжить чтение Комментариев нет

лицензия фстэк мониторинг иб

Проверка защищенности ИС с помощью пентестов

Как оценить защищенность вашей информационной системы от хакеров? На сегодняшний день самый оптимальный вариант – пентестинг системы, или по-русски – планируемое и контролируемое тестирование компьютерных сетей на уязвимости и возможность противостоять хакерским атакам.

Для чего нужен пентестинг

Этот процесс позволяет оценить защищенность IT-системы и выявить возможные уязвимости и слабые места в безопасности. Пентесты – это целенаправленные атаки определенного рода, создаваемые с целью выявить, классифицировать и описать, а впоследствии – нейтрализовать опасности и бреши в системе ИБ и усилить защиту информационной системы.

Продолжить чтение Комментариев нет

лицензия фстэк цена

Лицензия ФСТЭК: цена получения

Основной вопрос, который волнует соискателей при получении лицензии ФСТЭК на ТЗКИ — цена подготовки. Хотите примерно подсчитать стоимость лицензирования? Рассмотрим, сколько стоит каждый этап оформления.

Продолжить чтение Комментариев нет

аттестация объекта фстэк

Аттестация объектов информатизации

Обеспечение надлежащей защищённости данных – необходимое условие при работе с конфиденциальной информацией. Показателем соответствия данного критерия стандартам безопасности ФСТЭК является наличие аттестата соответствия – документа, выдаваемого после специальной проверки информационной системы, используемой соискателем лицензии ФСТЭК на ТЗКИ.

Объекты, подлежащие обязательной аттестации

Продолжить чтение Комментариев нет

каналы утечки информации виды

Виды каналов утечки секретной информации

При подготовке к спецэкспертизе ФСБ при получении лицензии на гостайну соискатель приводит помещения в офисе в соответствие требованиям защиты информации. При этом больше всего внимания уделяется именно технической защите, так как по мнению большинства людей именно «жучки» и хакеры становятся причиной утечки секретной информации. И совершенно забывают о других каналах несанкционированного доступа к гостайне.

Между тем, хищение секретных данных может происходить не только с применением сложных технических средств или внедрения вредоносного кода в компьютерную систему.

Продолжить чтение Комментариев нет

уязвимости информационной безопасности

Новые методы защиты корпоративных информационных систем

В наше время без информационных технологий нельзя себе представить ни повседневную жизнь, ни бизнес-процессы. Однако чем больше мы полагаемся на интернет и цифровые способы передачи данных, тем активнее становятся злоумышленники, стремящиеся получить доступ к внутренней информации вашей компании.

С развитием технологий сложнее выявить и вовремя устранить уязвимости информационной безопасности. Примером этого может служить хотя бы значительно возросшее число целенаправленных, или таргетированных, атак (advanced persistent threat), за которыми всё чаще стоят не одинокие взломщики-любители, а слаженные команды профессиональных хакеров, получающих за это немалые деньги. Эти атаки становятся все более проработанными и сложными, и с каждым днем появляются их новые разновидности. Кроме того, так называемые уязвимости нулевого дня сейчас использовать значительно легче: существует целый рынок технологий, позволяющих их заказать и эксплуатировать. Поэтому очевидно, что и защита от современных атак должна в свою очередь разрабатываться группами специалистов, знающих толк в кибербезопасности.

Продолжить чтение Комментариев нет

работа в сфере информационной безопасности

Каким должен быть директор по информационной безопасности

Чем стремительнее информационные технологии развиваются и интегрируются в бизнес, тем большую роль приобретает такая фигура в компании, как руководитель отдела или департамента информационной безопасности. Это связано с тем, что с внедрением технологических разработок возрастает и угроза взлома системы, хищения и подмены данных.

Сегодня кроме нейтрализации уязвимостей, обучения персонала и контроля информационных систем директор по безопасности обязан донести до руководства аксиому о том, что реагировать на потребности ИБ бизнес должен незамедлительно и адекватно — обеспечить фирму техническими и программными средствами контроля ИС, постоянно поддерживать их в актуальном состоянии, не пренебрегать обучением и переподготовкой сотрудников, ответственных за работу с ИС, выстраивать свои бизнес-процессы с учётом рекомендация директора по информационной безопасности. Несмотря на то, что должность остаётся технической, её функции гораздо шире. Сегодня должность требует от человека смежных навыков убеждения, прогнозирования рисков и видения бизнеса как единой системы, а не только как объекта защиты от киберпреступников.

Продолжить чтение Комментариев нет

защита информационных систем

3 неочевидные уязвимости в технической защите ИС

Внутренние враги всегда опаснее внешних. Недочёты и упущения в политике технической безопасности могут принести больше ущерба, чем команда опытных хакеров. Специалисты проанализировали причины инцидентов в области защиты ИС, что около трети происшествий в сфере информационной безопасности было вызвано не внешним воздействием, а недосмотром и халатностью самих сотрудников или руководителей. Этот фактор обязательно нужно учитывать при подготовке к оформлению лицензии ФСТЭК ТЗКИ. Мы выделили наиболее частые ошибки.

Уязвимые принтеры

В первую очередь при проектировании защиты информационной системы все стремятся защитить компьютеры и забывают о принтерах и сканерах – а ведь это

Продолжить чтение Комментариев нет

модель угроз ФСТЭК

Основные правила создания моделей угроз: указания ФСТЭК

Выступление представителей ФСБ И ФСТЭК на 8 международной конференции по защите персональных данных касалось в основном проблем определения актуальных угроз для БД и создания моделей для эффективной защиты. Регуляторы обобщили опыт последний проверок и акцентировали внимание слушателей на следующих моментах:

1. В подавляющем большинстве проверенных организаций утверждённые модели угроз не соответствовали требованиям ФСТЭК. Основные нарушения:

  • при моделировании не принимались во внимание уязвимости и угрозы из Базы уязвимостей, формируемой ФСТЭК;
  • при создании модели угроз не учитывались уязвимости, связанные с конкретной используемой технологией (например, применяя виртуализацию, необходимо учитывать угрозы, связанные именно с данной технологией);

Продолжить чтение Комментариев нет

базовая модель угроз ФСТЭК

Разработка модели угроз безопасности информации: основные проблемы

Создание моделей угроз информационным системам является одной из обязанностей операторов ИС, занятых защитой информации при обработке и передаче персональных данных (ИСПДн). Раньше это делалось довольно легко: взять базовую модель угроз ФСТЭК, действовавшую на тот момент методику создания и сформировать уже собственную модель, заточенную под нужную систему. Однако ФСТЭК переработала эту схему: на смену классам систем персональных данных пришли уровни защищенности, а угрозы были разбиты на три типа:

  1. Недокументированные возможности (НДВ) в системном ПО.
  2. НДВ в прикладном ПО.
  3. Прочие.

Уровень защищенности системы зависит от типа актуальных угроз, но как определить актуальность той или иной угрозы, если это можно сделать только в ходе сертификации СЗИ? Можно использовать только сертифицированные программы, но не стоит забывать, что обновления таких программ уже не подлежат проверке и сертификации, а значит, потенциально могут нести в себе уязвимость. Тогда получается, что угроза недекларированных возможностей актуальна всегда, каким бы ПО вы ни пользовались. Но в этом случае не совсем ясно, как можно сделать модель угроз, поэтому обычно операторы стараются обосновать, почему считают такую-то угрозу неактуальной.

Что можно применить для разработки модели угроз

Для того, чтобы облегчить операторам задачу, ФСТЭК создала Банк уязвимостей

Продолжить чтение Комментариев нет

    • Москва
      • Главный офис
        ООО «КАСЛ»
        г. Москва, Бутырский вал, дом 5
      • Понедельник — Пятница: 10:00 — 20:00
        Суббота — Воскресенье: 11:00 — 20:00
    • Санкт-Петербург
      • Представительство
        ООО «КАСЛ»
        г. Санкт-Петербург, Ленинский проспект, дом 160
      • Понедельник – Пятница: 10:00 – 20:00
        Суббота — Воскресенье 11:00 — 20:00
Оставьте заявку