#аудит — Public Fediverse posts

Страшно, когда не видно: темные тайны систем виртуализации

Привет, Хабр! Меня зовут Данил Зарипов, я эксперт центра безопасности (PT ESC) Positive Technologies. Эту статью мы подготовили вместе с моим коллегой Кириллом Масловым, продуктовым экспертом по направлению Asset Management. Мы закрываем наш цикл статей про аудит ИТ-активов, и сегодня поговорим о системах виртуализации. Виртуальная инфраструктура — это не просто удобный способ экономить железо. Это сложная система, в которой переплетаются гипервизоры, виртуальные машины, сети, системы хранения и управляющее ПО. И если злоумышленник получает к ней доступ, считайте в его руках ключи от любой «двери» в компании. Для защитника же— это огромный пласт данных, который помогает увидеть инфраструктуру целиком, найти уязвимости, отловить небезопасные настройки и вовремя заметить избыточные права доступа. Как устроена виртуальная инфраструктура изнутри? Почему атакующие всё чаще охотятся за ней? И главное — что с этим делать защитникам, чтобы не дать превратить свои сервера в чужой ботнет? Давайте разбираться на примере продуктов VMware!

https://habr.com/ru/companies/pt/articles/1034922/

#управление_уязвимостями #asset_management #vmware #моделирование_атак #уязвимости #maxpatrol #аудит

Как НЕ провалить аудит смарт-контрактов?

Кратко о себе: в прошлом разработчик смарт-контрактов (с 2017 года), с 2022 года работаю аудитором смарт-контрактов. Эта статья для тех, кто так или иначе интересуется информационной безопасностью и непосредственно аудитом смарт-контрактов (да и процессом аудита в целом). По итогам аудита могут возникнуть два серьёзных вопроса: «Почему мы ничего не успели?» и «Почему мы ничего не нашли?» . И самая страшная ситуация, когда оба эти вопроса возникают одновременно. Опишем это одним ёмким словом: «Провал» . В данной статье я попробую описать типовой процесс проведения аудита на примере систем смарт-контрактов — от самого начала до итогового отчета.

https://habr.com/ru/companies/pt/articles/1032386/

#смартконтракты #аудит_безопасности #аудит #информационная_безопасность

Q-LLL: как мы сделали LLL-редукцию наблюдаемой, управляемой и проверяемой

Мы привыкли воспринимать LLL-редукцию как «чёрный ящик»: подали целочисленный базис, получили редуцированный базис, проверили результат. Но что, если сделать процесс редукции наблюдаемым? В статье рассказываю о Q-LLL — exact-certified алгоритме семейства LLL, где классическая корректность сохраняется, но выбор редукционных действий управляется квантизированной Gram/Lovász-геометрией. Главная идея: approximate geometry observes, exact arithmetic decides, certificate proves. Q-LLL не заменяет fplll и не меняет Lovász-критерий. Вместо этого он добавляет новый слой: quantized Gram/Lovász oracle, exact gate, fair scheduler и proof-carrying certificates, которые можно независимо проверить. В статье разбираю: — почему обычного sequential LLL недостаточно для больших семейств lattice-вариантов; — что такое Lovász slack и как из него получается карта геометрических дефектов; — как работает quantized Gram/Lovász oracle; — почему approximate слой не принимает математических решений; — зачем нужны exact-сертификаты и independent verifier; — как Q-LLL становится lattice-core для nonce-observatory; — какие результаты уже получены и какие ограничения честно остаются. Это не статья про «магическую кнопку» и не claim про универсальное превосходство над fplll. Это попытка показать новый взгляд на LLL: как на управляемый, наблюдаемый и проверяемый процесс, где квантизированная геометрия направляет редукцию, а exact-арифметика остаётся источником истины.

https://habr.com/ru/articles/1031386/

#алгоритмы #криптография #ecdsa #аудит #информационная_безопасность #сигнатуры #биткойн

Часть 6: Безопасность и приватность в голосовом управлении — как защитить умный дом от утечек и взломов

От диплома до продакшена. Часть 1: Что я хотел … Часть 2: Техническая реализация … Часть 3: Архитектура нейросети … Часть 4: Обучение и валидация … Часть 5: Интеграция с устройствами … … И ВОТ ТЕПЕРЬ … Если вы используете умный дом: Настройки… Проверьте разрешения приложений Сеть… Включите WPA3 на Wi-Fi Приватность… Регулярно очищайте историю команд Физическая безопасность… Там много интересного

https://habr.com/ru/articles/1023434/

#искусственный_интеллект #безопасность #приватность #умный_дом #голосовое_управление #speaker_verification #152ФЗ #кибербезопасность #аудит #защита

ИТ-аудит для малого и среднего бизнеса — источник трат или возможностей?

В малом и среднем бизнесе ИТ почти никогда не падает «одним щелчком». Сначала CRM просто «задумывается». Потом счета за облако растут из месяца в месяц, а техподдержка отвечает все дольше. Потом увольняется единственный приходящий сисадмин — и внезапно выясняется, что паролей от серверов нет, резервные копии не делались год, а новый подрядчик возьмет инфраструктуру без документации с более высоким чеком. Одна из последних историй из практики. Производственная компания: четыре физических и десять виртуальных серверов, около 150 пользователей, критичные системы — 1С, файловые ресурсы, почта, виртуализация. На уровне ощущений «все работало»: да, были сбои, но их списывали на нагрузку и «особенности 1С». Когда владельцы задумались о росте производства, выяснилось, что никто не знает, выдержит ли текущая инфраструктура этот рост. Аудит показал: нет централизованных обновлений и нормальной антивирусной защиты, не хватает дискового пространства на ключевых серверах, виртуализация без отказоустойчивости, нет резервных копий для важных баз и беспорядок в Active Directory. Формально все еще «работало». Фактически компания жила на пороховой бочке: один серьезный сбой или вирусная атака — и производство встает надолго.

https://habr.com/ru/companies/alp_itsm/articles/1019658/

#active_directory #drp #drpплан #аудит #итаудит #итаутсорсинг

ОТЧЁТ О НАУЧНО-ИССЛЕДОВАТЕЛЬСКОЙ РАБОТЕ

Мы привыкли, что повтор r в ECDSA — это случайный сбой: плохой генератор, ошибка реализации, повтор nonce. Но что, если за одним repeated-r скрывается целое семейство дефектов (defect-family), которое можно не только обнаружить, но и перенести на другие закрытые ключи? Представляем закрытую исследовательскую систему — стратификационный анализ ECDSA-подписей на secp256k1. Вместо точечных аномалий мы смотрим на фазовые корпуса подписей, используем торическую геометрию, kNN и перестановочные тесты. Результат: · Во внешнем корпусе из 30 адресных контекстов и 6257 подписей repeated-r найден только в 1 контексте, межадресных коллизий r — 0. · 58 из 58 контролируемых переносов defect-family с реального адреса-донора на панель реальных адресных целей прошли с полной ECDSA-валидацией реконструированных подписей. · Встроенный publication-safety audit заблокировал открытый bundle, обнаружив 498 проблем (30 критических) — от raw (r,s,z) до восстановленных синтетических k и фрагментов закрытых ключей. В публичной версии отчёта — только математика, агрегаты и безопасные листинги. Никаких инструкций по эксплуатации. Это продолжение методологии AuditCore, но уже на уровне стратифицированного анализа.

https://habr.com/ru/articles/1019612/

#криптография #аудит #безопасность #ecdsa #nonce #криптографические_алгоритмы #анализ #secp256k1 #коллизии #уязвимости

Как навести порядок в Active Directory и защитить бизнес — инструкция для собственника

Информационная безопасность — это, в первую очередь, продуманная стратегия, и только потом вложения в железо и программное обеспечение. Часто бывает так, что, воздвигнув крепостные стены, расставив на них лучников, разложив костры и поставив на них котлы со смолой, феодал не знает, что народ, обитающий в замке, проковырял в кладке несколько лазеек и спокойно шастает туда-сюда мимо стражи. Зарплата солдат, расходы на дрова и смолу идут прахом, когда дело касается организованного нападения разбойников. Атаман не дурак — зачем идти на штурм, если можно незаметно просочиться внутрь и по-тихому перебить всю стражу?

https://habr.com/ru/companies/alp_itsm/articles/1014054/

#AD #Аудит #Аудит_учеток #инфобез_на_минималках #инфобез #инфобезопасность

Как навести порядок в Active Directory и защитить бизнес — инструкция для собственника

Информационная безопасность — это, в первую очередь, продуманная стратегия, и только потом вложения в железо и программное обеспечение. Часто бывает так, что, воздвигнув крепостные стены, расставив на них лучников, разложив костры и поставив на них котлы со смолой, феодал не знает, что народ, обитающий в замке, проковырял в кладке несколько лазеек и спокойно шастает туда-сюда мимо стражи. Зарплата солдат, расходы на дрова и смолу идут прахом, когда дело касается организованного нападения разбойников. Атаман не дурак — зачем идти на штурм, если можно незаметно просочиться внутрь и по-тихому перебить всю стражу?

https://habr.com/ru/companies/alp_itsm/articles/1014054/

#AD #Аудит #Аудит_учеток #инфобез_на_минималках #инфобез #инфобезопасность

Как навести порядок в Active Directory и защитить бизнес — инструкция для собственника

Информационная безопасность — это, в первую очередь, продуманная стратегия, и только потом вложения в железо и программное обеспечение. Часто бывает так, что, воздвигнув крепостные стены, расставив на них лучников, разложив костры и поставив на них котлы со смолой, феодал не знает, что народ, обитающий в замке, проковырял в кладке несколько лазеек и спокойно шастает туда-сюда мимо стражи. Зарплата солдат, расходы на дрова и смолу идут прахом, когда дело касается организованного нападения разбойников. Атаман не дурак — зачем идти на штурм, если можно незаметно просочиться внутрь и по-тихому перебить всю стражу?

https://habr.com/ru/companies/alp_itsm/articles/1014054/

#AD #Аудит #Аудит_учеток #инфобез_на_минималках #инфобез #инфобезопасность

Как навести порядок в Active Directory и защитить бизнес — инструкция для собственника

Информационная безопасность — это, в первую очередь, продуманная стратегия, и только потом вложения в железо и программное обеспечение. Часто бывает так, что, воздвигнув крепостные стены, расставив на них лучников, разложив костры и поставив на них котлы со смолой, феодал не знает, что народ, обитающий в замке, проковырял в кладке несколько лазеек и спокойно шастает туда-сюда мимо стражи. Зарплата солдат, расходы на дрова и смолу идут прахом, когда дело касается организованного нападения разбойников. Атаман не дурак — зачем идти на штурм, если можно незаметно просочиться внутрь и по-тихому перебить всю стражу?

https://habr.com/ru/companies/alp_itsm/articles/1014054/

#AD #Аудит #Аудит_учеток #инфобез_на_минималках #инфобез #инфобезопасность

ИИ-агент сказал «сделано». Но сделал ли он на самом деле?

На прошлой неделе Хабр опубликовал материал о том, как компании платят до 300 000 рублей в месяц за «скрытый аутсорс» задач в ChatGPT. История получила резонанс — но обсуждение ушло не туда. Говорили о доверии, об этике, о трудовом договоре. Никто не спросил о главном: а как вы вообще проверяете, что задача была выполнена — агентом или человеком? И была ли она выполнена вообще? В открытом демо-пайплайне dcl-eval-pipeline-demo я показала, как аудировать поведение агентов на практике. Теперь разберём, почему это критично и как построить полноценный слой верификации — вплоть до готового инструмента, который можно скачать и запустить прямо сейчас. Это не риторический вопрос. Это архитектурная дыра, которая сейчас присутствует практически в каждой агентной системе. Называется она fabricated execution — ситуация, когда агент возвращает результат, не выполнив задачи, или выполнив что-то принципиально другое, оформив под видом запрошенного. Что такое DCL?

https://habr.com/ru/articles/1007990/

#искусственный_интеллект #информационная_безопасность #программирование #аудит #фстэк #фстэк_17_новые_требования #агенты_ии #галлюцинации_нейросетей

Техрадар на максималках: от визуализации техдолга к автоматическому управлению миграциями

В прошлой статье я рассказывал, как мы оживили техрадар: научили систему автоматически обходить git репозитории, определять стек технологий, находить устаревшие зависимости и визуализировать технологический ландшафт компании. Это важный шаг в развитии внутренних процессов, но он покрывал только часть потребностей команды. Со временем стабилизация сбора и анализа состава ИТ-ландшафта позволила нам выйти на следующий логический этап - управление изменениями. Сегодня техрадар — это уже не просто система наблюдения, но полноценный пункт управления вашим ИТ-ландшафтом, умеющий управлять миграциями технологий системно и автоматически. Подробности под катом

https://habr.com/ru/articles/1000400/

#мониторинг #разработка #управление_разработкой #аудит #миграции #проблемы_разработки_по #технологический_стек #техрадар #techradar #it_инфраструктура

Что у вас здесь происходит: почему сервис деск не взлетит без аудита процессов

«Сейчас выберем тот самый сервис деск и решим наши проблемы» — иногда кажется, что при внедрении нового решения или замене текущего именно так и рассуждают. Реальность готовит адептам этого подхода жесткую посадку. Мало подобрать систему под текущие потребности и учесть запас функций для роста — без аудита внутренних процессов вполне вероятно, что проблемы начнутся еще во время старта. В статье расскажем, как не повторить распространенные ошибки и что нужно сделать перед запуском, чтобы не натягивать систему на неудачные паттерны.

https://habr.com/ru/companies/itarena/articles/995800/

#service_desk #техподдержка #внедрение_по #аудит #сервис_деск #itsm #аналитика_проекта #helpdesk #проект_внедрения

5 мифов на старте ИТ-проекта

Продолжаем наш сериал про «успешный успех» в мире 1С. Если после прошлой статьи про выбор интегратора ты не передумал внедряться, поздравляю — у тебя либо стальные нервы, либо безграничный оптимизм. Сегодня разберем «священных коров» ИТ-проектов — мифы, в которые все верят, но о которые разбиваются бюджеты. Вера в «волшебную кнопку» — это национальный спорт. Ты думаешь: «Сейчас куплю ERP, и этот цифровой комбайн сам пережует мой хаос в стройную отчетность». Спойлер: автоматизация бардака дает автоматизированный бардак. Причем работать в нем будет в три раза дороже. Давай снимем розовые очки и посмотрим, на чем горят даже опытные боссы. 1. Сроки и бюджет: «Впишемся день в день, копейка в копейку» Это надо планировать, на этом надо держать фокус. И не всегда бюджет критичней сроков — иногда законотворцы подгоняют нас такими штрафами, что любой простой стоит дороже всей лицензии 1С. Но если ты прям БИЗНЕС и бюджет — это твои кровные, а не спущенные сверху «на реализацию», накидывай сразу от 20% до 50%. И молчи об этом. Не говори интегратору, не говори внутренней команде. Это твой НЗ, о котором знаешь только ты и твой психолог. Когда маленькая задачка за 150 тысяч вдруг вырастет в монстра за 1,5 миллиона (а в бэклоге таких соберется десяток), будет не так больно. Ладно, будет больно. Но ты будешь готов. Со сроками та же история. На моей практике из трех проектов, которые «с 1 января должны жить в новой реальности», запустились в срок только два. И то — выбрав штрафной круг и перенеся запуск на год. За это время отполировали всё, что можно. Клиенты были готовы, и эти 15% сверх бюджета не стали критичными. А вот третий кейс решил «взлететь» любой ценой. Итог: урезанный до состояния инвалидности MVP, бюджет раздулся на 60% в первый же год поддержки, а в списке потерь: главбух, финдир и куча нервных клеток с обеих сторон. Иногда пожертвовать сроком — значит спасти проект.

https://habr.com/ru/articles/992294/

#1с #проекты #бизнес #бизнеспроцессы #консалтинг #проектные_технологии #аудит #автоматизация #цифровизация

Логистический консалтинг: как за 1–15 дней найти узкие места склада и посчитать ROI улучшений

На связи INTEKEY . Мы занимаемся WMS‑решениями и внедрениями, но на практике чаще всего начинаем не с софта. Начинаем с вопроса, который звучит просто, а на деле экономит месяцы и десятки миллионов: что именно на складе мешает бизнесу расти — и сколько стоит это «мешает» в деньгах, времени и рисках. Эта статья — про консалтинг по автоматизации склада и оптимизацию складских процессов без теории ради теории. Мы покажем, как устроена наша линейка: от выезда эксперта на 1 день до аудита и проектирования склада, где появляется цифровой двойник, бенчмарки и дорожная карта. А ещё — как на складе реально работают LEAN‑инструменты (бережливое производство): 5S, Kaizen, 3M (Muda‑Muri‑Mura / Муда‑Мури‑Мура), диаграмма Исикавы, хронометраж, 5 почему (5 Whys) .

https://habr.com/ru/companies/intekey/articles/990314/

#логистика #склад #консалтинг #консалтинговые_услуги #консалтинг_в_it #аудит_склада #аудит #roi

Аудит QA-процессов: кто сторожит стражей

Рынок ИТ переживает не лучшие времена: охлаждение спроса как на специалистов, так и на ИТ-продукты, уменьшение налоговых льгот для ИТ-компаний, а для ИТ-специалистов — ухудшение условий по ипотеке, рост налогов, наем сократился или вовсе остановился. Это ведет к тому, что компании ищут способы достигать целей при ограниченных ресурсах, уменьшать свои расходы за счет повышения эффективности труда. Один из методов — оптимизация рабочих процессов, в том числе QA. Меня зовут Юнес, я Senior SDET в Т-Банке и провожу аудиты уже три года. За это время изучил десятки проектов и помог командам в оптимизации процессов. На одном из последних проектов удалось снизить соотношение дефектов прод/тест за месяц с 0,49 в августе до 0 в ноябре. В статье расскажу, как мы с коллегами выполняем аудит, о наиболее частых ошибках аудиторов и о том, как начать выполнять аудиты в компании. Погрузиться в аудиты

https://habr.com/ru/companies/tbank/articles/987132/

#аудит #аудит_процессов #оптимизация #qa #qa_process

Технический аудит и независимость сертификации Microsoft: расследование инцидента с экзаменом 70-642

Автор: Третинников Игорь Игоревич MCP ID: 9740205 Январь 2026 г. Данный материал посвящен анализу критической аномалии в системе сертификации Microsoft, выявленной при сдаче экзамена 70-642 «Windows Server 2008 Network Infrastructure, Configuring». В основе статьи лежат системные логи Microsoft Learn, которые ставят под сомнение прозрачность и валидность процесса тестирования. Технический инцидент и анализ системных логов 3 октября 2013 года состоялась очная попытка сдачи экзамена 70-642 в авторизованном центре. Анализ официальных системных данных (JSON-выгрузка из Microsoft Learn) выявил следующие критические несоответствия

https://habr.com/ru/articles/983038/

#Microsoft #microsoft_learn #Информационная_безопасность #Windows_Server_2008 #аудит #Prometric

Как в Postgres Professional сделали аудит, который наконец-то удобно настраивать

Все любят безопасность, пока не приходится её настраивать. Первая версия нашего аудита напоминала пульт управления АЭС: бесконечно гибко, но без инструкции не взлетишь. Мы признали поражение, послушали стоны администраторов и сделали «версию 2.0» — с классами событий и логикой, понятной человеку, а не только компилятору. История работы над ошибками, которая превратила «полочный» софт в рабочий инструмент.

https://habr.com/ru/companies/postgrespro/articles/910494/

#pg_proaudit #pgaudit #postgresql #аудит #аудит_бд #базы_данных #аудит_баз_данных

Кибербезопасность за 30 дней. Чек-лист для руководителей

Дверь кабинета распахнулась в три часа ночи. Бледный технический директор, голос дрожит: « Всё. Системы мертвы. Они требуют два миллиона в биткоинах ». В голове мелькнула мысль: « Это же фильм какой-то... » Но на мониторах уже мигали красные надписи, а в телефоне зашкаливало количество звонков от клиентов, партнёров, регуляторов. А когда расследование показало, что хакеры вошли через устаревшую версию WordPress и учётную запись менеджера с правами администратора, он схватился за голову. Не суперхакеры взломали миллиардный бизнес. Его развалили банальные человеческие ошибки и пренебрежение рутиной. Те самые «мелочи», ради которых ИТ-специалисты годами просили внимания.

https://habr.com/ru/articles/980290/

#кибербезопасность #уязвимости #доступ #аудит #данные #риски #защита #инциденты #контроль #восстановление

Аудит процессного долга: инженерный поиск потерь на стыке IT и бизнеса

В индустрии есть много странностей и парадоксов. При этом один парадокс, достаточно распространенный, сейчас особо сильно и больно бьет по компаниям. Его суть: при массовом внедрении «лучших практик» от модных коучей и не менее массовой интеграции AI‑решений (даже там, где они не нужны), качество, стоимость (а порой и скорость поставки) бизнес‑ценности либо стагнирует, но чаще начинает падать.

https://habr.com/ru/articles/979560/

#проектирование_систем_управления #управление_процессами #бизнеспроцессы #бизнесанализ #потери #ценность #аудит #pmo #управление_проектами #управление_командой

Аудит процессного долга: инженерный поиск потерь на стыке IT и бизнеса

В индустрии есть много странностей и парадоксов. При этом один парадокс, достаточно распространенный, сейчас особо сильно и больно бьет по компаниям. Его суть: при массовом внедрении «лучших практик» от модных коучей и не менее массовой интеграции AI‑решений (даже там, где они не нужны), качество, стоимость (а порой и скорость поставки) бизнес‑ценности либо стагнирует, но чаще начинает падать.

https://habr.com/ru/articles/979560/

#проектирование_систем_управления #управление_процессами #бизнеспроцессы #бизнесанализ #потери #ценность #аудит #pmo #управление_проектами #управление_командой

Контроль действий без паранойи: как использовать аудит-логи в Selectel

Когда инфраструктура растет, команды множатся, а сервисы переходят на распределенную архитектуру, специалистам становится сложнее отслеживать события, которые происходят в системе. Рано или поздно наступает момент, когда кто-то произносит фразу: «А кто это сделал?» Иногда она звучит спокойно, а иногда — с легкой дрожью в голосе, например, когда исчезла виртуальная машина, изменились права доступа или сбились настройки сети. Здесь и начинается расследование. Если у компаний нет централизованных логов, анализ действий напоминает детектив без улик: много версий, мало фактуры. Чтобы со всем этим разобраться, мы создали сервис аудит-логов — это те самые факты, с помощью которых можно найти первопричину инцидента. Привет! Меня зовут Кристина, я старший менеджер продуктов клиентских сервисов

https://habr.com/ru/companies/selectel/articles/974516/

#selectel #иб #информационная_безопасность #аудит #логи #it #siem #soc #серверы

TorusCSIDH: Постквантовая криптография через призму топологического анализа

TorusCSIDH (Topological Commutative Supersingular Isogeny Diffie-Hellman) — это принципиально новая постквантовая криптографическая система, где безопасность определяется топологическими инвариантами. В отличие от классических систем, где безопасность основана на вычислительной сложности, TorusCSIDH вводит Топологический Индекс Безопасности (TIS) как строгий математический критерий.

https://habr.com/ru/articles/955554/

#топология #криптография #аудит #исследование #математика #алгоритмы #Ur_uz #ecdsa #постквантовая_криптография

Из режима выживания к управляемой системе: трансформация ИБ в банке

Предисловие Семь специалистов, семь Excel-таблиц, и десятки требований регуляторов, которые обновляются со скоростью света. Каждая проверка — это гонка с дедлайном, хаос в переписках и отчаяние в глазах команды. Дошло до того, что отпуск одного сотрудника мог парализовать работу всей службы ИБ. Перемены не приходят в одночасье, обычно осознание того, что нужно что-то менять приходит слишком поздно - а именно, после первого серьезного инцидента, когда урон уже нанесен. Когда мы думаем об информационной безопасности в банках, чаще всего представляется гигантская организация с отдельным ситуационным центром, огромным штатом SOC-аналитиков, миллионами в бюджете, заложенными на киберзащиту и командой проектных менеджеров, которые годами тестируют и внедряют системы и подходы. Но реальность не всегда является такой. Сотни небольших банков в России и странах СНГ работают в совершенно иных условиях: команда ИБ — это несколько специалистов, бюджет — строго ограничен, а требования регуляторов — те же самые, что и для топ-10 игроков рынка. Наш кейс — про один такой небольшой банк в России. Всего семь сотрудников в службе ИБ. И при этом — ГОСТ 57580, методические рекомендации 3/8/12, 72 форма отчетности и десятки других обязательных требований, которым нужно соответствовать.

https://habr.com/ru/companies/securitm/articles/946452/

#банк #аудит #гост_57580 #иб #информационная_безопасность #автоматизация #compliance #security #excel #soc

Новые штрафы за отсутствие сертификации средств защиты информации — как обойти риски

Федеральный закон от 23 мая 2025 года № 104-ФЗ внес существенные изменения в Кодекс Российской Федерации об административных правонарушениях (КоАП РФ). Теперь существенно увеличились административные санкции за несоблюдение правил информационной безопасности при использовании информационных технологий и средств защиты информации (СЗИ). Рассмотрим подробнее нововведения и их последствия для бизнеса и пользователей.

https://habr.com/ru/companies/securitm/articles/936656/

#штрафы #сзи #иб #информационная_безопасность #кибербезопасность #аудит #аудит_безопасности #compliance

Когда лень проверять порты вручную: магия Nmap

Привет, Хабр! В современном мире сети растут крайне быстро, устройств становится всё больше, в связи с чем растёт и количество уязвимых мест. Ручной мониторинг открытых портов, сервисов и дыр в безопасности — схоже с поиском иглы в стоге сена, когда в кармане лежит магнит. Чем полезна автоматизация и какие проблемы она решает: — Время — сканирование сотен IP вручную может занять часы — Человеческий фактор — пропустить критичный порт или уязвимость очень легко — Регулярность — безопасность требует постоянного контроля и мониторинга, а не разовых проверок

https://habr.com/ru/articles/931364/

#Nmap #Linux #скрипт #аудит #bashскрипт #security

Когда лень проверять порты вручную: магия Nmap

Привет, Хабр! В современном мире сети растут крайне быстро, устройств становится всё больше, в связи с чем растёт и количество уязвимых мест. Ручной мониторинг открытых портов, сервисов и дыр в безопасности — схоже с поиском иглы в стоге сена, когда в кармане лежит магнит. Чем полезна автоматизация и какие проблемы она решает: — Время — сканирование сотен IP вручную может занять часы — Человеческий фактор — пропустить критичный порт или уязвимость очень легко — Регулярность — безопасность требует постоянного контроля и мониторинга, а не разовых проверок

https://habr.com/ru/articles/931364/

#Nmap #Linux #скрипт #аудит #bashскрипт #security

Когда лень проверять порты вручную: магия Nmap

Привет, Хабр! В современном мире сети растут крайне быстро, устройств становится всё больше, в связи с чем растёт и количество уязвимых мест. Ручной мониторинг открытых портов, сервисов и дыр в безопасности — схоже с поиском иглы в стоге сена, когда в кармане лежит магнит. Чем полезна автоматизация и какие проблемы она решает: — Время — сканирование сотен IP вручную может занять часы — Человеческий фактор — пропустить критичный порт или уязвимость очень легко — Регулярность — безопасность требует постоянного контроля и мониторинга, а не разовых проверок

https://habr.com/ru/articles/931364/

#Nmap #Linux #скрипт #аудит #bashскрипт #security

Когда лень проверять порты вручную: магия Nmap

Привет, Хабр! В современном мире сети растут крайне быстро, устройств становится всё больше, в связи с чем растёт и количество уязвимых мест. Ручной мониторинг открытых портов, сервисов и дыр в безопасности — схоже с поиском иглы в стоге сена, когда в кармане лежит магнит. Чем полезна автоматизация и какие проблемы она решает: — Время — сканирование сотен IP вручную может занять часы — Человеческий фактор — пропустить критичный порт или уязвимость очень легко — Регулярность — безопасность требует постоянного контроля и мониторинга, а не разовых проверок

https://habr.com/ru/articles/931364/

#Nmap #Linux #скрипт #аудит #bashскрипт #security

Единственный способ узнать, что руководители проектов делают именно то, что нужно делать

Вы никогда не узнаете, работает ли ваша система управления проектами так, как надо. Не узнаете, реально ли все эти регламенты помогают быстрее достигать нужных результатов. А еще вы не узнаете, кто из ваших сотрудников постоянно косячит и подвергает проекты необоснованным рискам, игнорируя правила управления. Вы никогда не узнаете всей правды, если не начнете проверять – соблюдают ли они методологию управления или нет. А если нет, то кто именно и почему. Данную статью я посвящаю практике регулярного аудита проектного управления. Это лучший способ контроля, который приучит ваших сотрудников играть по правилам и делать проекты системно и предсказуемо, заранее предотвращая проблемы. Что такое аудит и зачем он нужен, как проводить аудит, как часто в зависимости от целей, какие бывают форматы, кто это может делать и т.д – полную инструкцию читайте ниже. Это авторский материал, который вы не найдете больше нигде.

https://habr.com/ru/articles/930302/

#управление_проектами #аудит #руководитель_проекта #контроль #менеджмент_проектов #менеджмент #контроль_сотрудников #методология #система_управления_проектами #внедрение_изменений

«Почему топ менеджеры выбирали SAP, но...» что пошло не так у автора

Как говорил один великий: Нет такой вещи как плохая реклама (PR). Любая реклама хорошо, хуже только отсутствие рекламы. Попробую быть кратким ... Можно начать с оригинальной статьи, и некоторые, детальные комментарии, и уже потом этот текст (хотя… можно и не тратить время) ... То, что эта статья чистый черный Пиар – вне всяких сомнений. И то, что автор пытается любой ценой очернить ...

https://habr.com/ru/articles/927130/

#1с #sap #аудит #ципр #стратегия #стратегия_развития

Почему топ менеджеры выбирали SAP, но не выбирали 1С, а теперь они тусуются на ЦИПР?

Маркетинг при продажах крупным корпорациям это не классические продажи B2B, это целая спецоперация и пропаганда. А еще использование мягкой силы на государственном уровне. Не верите? Тогда читайте непридуманные истории. Истина где то тут

https://habr.com/ru/articles/927022/

#1с #sap #аудит #импортозамещение #ципр

Прощайте, Excel-пароли; привет, прозрачный аудит! Внедряем в инфраструктуру PAM-инструмент

Если в компании налажен контроль доступа к внутренним ИТ-ресурсам, хорошо не только спецам по ИБ, но и многим другим. Например, лидам, которые отвечают за доступы к базам данных в своих командах. И новым сотрудникам, избавленным от необходимости вручную собирать логины-пароли, а затем где-то их самостоятельно хранить. В Сравни больше 300 технических спецов, и в силу тематики наших продуктов зачастую они работают с чувствительными данными. Нам требовалось решение, которое поможет не просто централизованно управлять политиками доступов, но и проводить полноценный аудит всех действий в системе (предыдущий процесс логирования явно нуждался в модернизации). Под обе эти задачи заточены так называемые PAM-инструменты (Privileged Access Management). Под катом рассказываем, как мы обеспечили контроль доступов и аудит инфраструктуры с помощью одного из них. В том числе об особенностях его внедрения, возможностях и некоторых ограничениях, выявленных на практике.

https://habr.com/ru/companies/sravni/articles/924308/

#pam #кибербезопасность #иб #контроль_доступа #аудит #privileged_access_management #управление_доступом_к_данным #access_control #бастион

Прощайте, Excel-пароли; привет, прозрачный аудит! Внедряем в инфраструктуру PAM-инструмент

Если в компании налажен контроль доступа к внутренним ИТ-ресурсам, хорошо не только спецам по ИБ, но и многим другим. Например, лидам, которые отвечают за доступы к базам данных в своих командах. И новым сотрудникам, избавленным от необходимости вручную собирать логины-пароли, а затем где-то их самостоятельно хранить. В Сравни больше 300 технических спецов, и в силу тематики наших продуктов зачастую они работают с чувствительными данными. Нам требовалось решение, которое поможет не просто централизованно управлять политиками доступов, но и проводить полноценный аудит всех действий в системе (предыдущий процесс логирования явно нуждался в модернизации). Под обе эти задачи заточены так называемые PAM-инструменты (Privileged Access Management). Под катом рассказываем, как мы обеспечили контроль доступов и аудит инфраструктуры с помощью одного из них. В том числе об особенностях его внедрения, возможностях и некоторых ограничениях, выявленных на практике.

https://habr.com/ru/companies/sravni/articles/924308/

#pam #кибербезопасность #иб #контроль_доступа #аудит #privileged_access_management #управление_доступом_к_данным #access_control #бастион

Прощайте, Excel-пароли; привет, прозрачный аудит! Внедряем в инфраструктуру PAM-инструмент

Если в компании налажен контроль доступа к внутренним ИТ-ресурсам, хорошо не только спецам по ИБ, но и многим другим. Например, лидам, которые отвечают за доступы к базам данных в своих командах. И новым сотрудникам, избавленным от необходимости вручную собирать логины-пароли, а затем где-то их самостоятельно хранить. В Сравни больше 300 технических спецов, и в силу тематики наших продуктов зачастую они работают с чувствительными данными. Нам требовалось решение, которое поможет не просто централизованно управлять политиками доступов, но и проводить полноценный аудит всех действий в системе (предыдущий процесс логирования явно нуждался в модернизации). Под обе эти задачи заточены так называемые PAM-инструменты (Privileged Access Management). Под катом рассказываем, как мы обеспечили контроль доступов и аудит инфраструктуры с помощью одного из них. В том числе об особенностях его внедрения, возможностях и некоторых ограничениях, выявленных на практике.

https://habr.com/ru/companies/sravni/articles/924308/

#pam #кибербезопасность #иб #контроль_доступа #аудит #privileged_access_management #управление_доступом_к_данным #access_control #бастион

Прощайте, Excel-пароли; привет, прозрачный аудит! Внедряем в инфраструктуру PAM-инструмент

Если в компании налажен контроль доступа к внутренним ИТ-ресурсам, хорошо не только спецам по ИБ, но и многим другим. Например, лидам, которые отвечают за доступы к базам данных в своих командах. И новым сотрудникам, избавленным от необходимости вручную собирать логины-пароли, а затем где-то их самостоятельно хранить. В Сравни больше 300 технических спецов, и в силу тематики наших продуктов зачастую они работают с чувствительными данными. Нам требовалось решение, которое поможет не просто централизованно управлять политиками доступов, но и проводить полноценный аудит всех действий в системе (предыдущий процесс логирования явно нуждался в модернизации). Под обе эти задачи заточены так называемые PAM-инструменты (Privileged Access Management). Под катом рассказываем, как мы обеспечили контроль доступов и аудит инфраструктуры с помощью одного из них. В том числе об особенностях его внедрения, возможностях и некоторых ограничениях, выявленных на практике.

https://habr.com/ru/companies/sravni/articles/924308/

#pam #кибербезопасность #иб #контроль_доступа #аудит #privileged_access_management #управление_доступом_к_данным #access_control #бастион

Повышение эффективности аналитических баз данных: кейс «Комус» и Arenadata

Хабр, привет! Современные высоконагруженные системы требуют точной настройки и регулярного мониторинга, чтобы обеспечить стабильную производительность в условиях постоянно растущих объёмов данных. Когда речь идёт о крупной аналитической базе данных, развёрнутой в облачной среде, оптимизация её работы становится критически важной задачей. В прошлой статье мы уже рассказывали о типичных ошибках при работе с Arenadata DB (ADB), о том, как их избежать и значительно повысить производительность кластера. Сегодня же поделимся реальным опытом на примере компании «Комус» — лидера в области B2B-ритейла, которая обратилась к Arenadata за проведением комплексного аудита своего кластера ADB. В этой статье мы детально разобрали, как с помощью анализа и оптимизации удалось выявить точки роста, подготовить кластер к текущим и будущим нагрузкам и предложить план улучшений. Мы рассмотрим технические детали аудита, проблемы, с которыми пришлось столкнуться, и эффективные практики, позволившие повысить производительность аналитической базы данных. Что там с нагрузкой на кластер?

https://habr.com/ru/companies/arenadata/articles/887792/

#arenadata_db #оптимизация_базы_данных #etl #высоконагруженные_системы #highload #партиционирование #аудит #data_analysis #базы_данных #аналитические_базы_данных

Аудит Shadow IT

Теневые ИТ (Shadow IT) — это те ИТ, которые появляются в компании, минуя ИТ департамент, в том числе самописки, сложные системы макросов, граберры, сторонние ноутбуки, флешки, смартфоны. Большой новый класс Shadow IT – это ИИ помощники, используемые без санкций ИТ департамента.

https://habr.com/ru/articles/874770/

#аудит #теневые_ит #shadow_it #ит_безопасность #аудит_безопасности

Аудит Shadow IT

Теневые ИТ (Shadow IT) — это те ИТ, которые появляются в компании, минуя ИТ департамент, в том числе самописки, сложные системы макросов, граберры, сторонние ноутбуки, флешки, смартфоны. Большой новый класс Shadow IT – это ИИ помощники, используемые без санкций ИТ департамента.

https://habr.com/ru/articles/874770/

#аудит #теневые_ит #shadow_it #ит_безопасность #аудит_безопасности

Аудит Shadow IT

Теневые ИТ (Shadow IT) — это те ИТ, которые появляются в компании, минуя ИТ департамент, в том числе самописки, сложные системы макросов, граберры, сторонние ноутбуки, флешки, смартфоны. Большой новый класс Shadow IT – это ИИ помощники, используемые без санкций ИТ департамента.

https://habr.com/ru/articles/874770/

#аудит #теневые_ит #shadow_it #ит_безопасность #аудит_безопасности

Аудит Shadow IT

Теневые ИТ (Shadow IT) — это те ИТ, которые появляются в компании, минуя ИТ департамент, в том числе самописки, сложные системы макросов, граберры, сторонние ноутбуки, флешки, смартфоны. Большой новый класс Shadow IT – это ИИ помощники, используемые без санкций ИТ департамента.

https://habr.com/ru/articles/874770/

#аудит #теневые_ит #shadow_it #ит_безопасность #аудит_безопасности

Методика проведения аудита информационной безопасности информационных систем

Аудит информационной безопасности информационных систем - это процесс оценки системы защиты информации на предмет соответствия стандартам и требованиям безопасности, а также выявления уязвимостей и возможных угроз безопасности.

https://habr.com/ru/articles/864036/

#аудит #аудит_безопасности #информационная_безопасность #информационные_системы #информационные_технологии #информационная_среда

[Перевод] Модель зрелости инфраструктуры как кода

В аналитических отчётах для клиентов DevOps-инженеры «Экспресс 42» нередко ссылаются на Модель зрелости инфраструктуры как кода, описанную Гэри Стаффордом ещё в далёком 2016 году. Она помогает определить, на каком уровне сейчас находятся инфраструктурные практики компании, и организовать их систематическое развитие. Несмотря на то, что статья не нова, она по-прежнему полезна и применима, ведь ключевые концепции инфраструктуры как кода за это время не изменились. Мы перевели материал для внутренних целей, но подумали, что он может быть интересен сообществу.

https://habr.com/ru/companies/flant/articles/860318/

#devops #методология #iac #continuous_delivery #continuous_deployment #непрерывная_поставка #инфраструктура_как_код #infrastructureasacode #аудит #экспресс_42

Легко и просто: как автоматизация упрощает работу с ГОСТ 57580.1

ГОСТ 57580.1 — это национальный стандарт безопасности банковских и финансовых операций. Стандарт был введен в действие 1 января 2018 года и стал обязательным для всех кредитных и некредитных финансовых организаций. А теперь давайте разберемся, что это за стандарт, как он помогает и почему его автоматизированная оценка и отчётность – это не только полезно, но и выгодно. ГОСТ 57580.1: Введение ГОСТ 57580.1 – это стандарт, который определяет требования к защите персональных данных в информационных системах. Если бы у ваших данных были страховки, ГОСТ 57580 был бы самым надёжным страховым агентом. Он устанавливает правила, которые помогают избежать неприятных инцидентов и обеспечивают сохранность информации. Отчётность: Зачем и как? Теперь перейдем к отчетности. Представьте, что вы пришли на ежегодный осмотр к врачу. Он измеряет ваш вес, рост, проверяет сердце и другие важные показатели. Отчётность в рамках ГОСТ 57580 – это такой же осмотр, но для вашей системы информационной безопасности. Почему это важно? 1. Прозрачность. Отчеты показывают, где вы находитесь на пути к соответствию стандарту. 2. Контроль и улучшение. На основании отчетов можно вносить улучшения. 3. Документирование . Если вдруг появится необходимость доказать, что вы соответствуете стандарту, отчеты станут вашими доказательствами. Как это работает? Автоматизированная оценка соответствия – это как тренажерный зал для вашей безопасности. Она проверяет, соответствуют ли ваши системы требованиям ГОСТ 57580, и подсказывает, где нужно подтянуться. Ваши системы проходят через серию тестов и проверок, чтобы убедиться, что они в отличной форме и готовы к любым вызовам.

https://habr.com/ru/articles/835684/

#гост #compliance #sgrc #excel #аудит #57580

Критерии оценки документации

Привет! Меня зовут Илья и я занимаюсь систематизацией информационных ресурсов [1] . К сожалению, многие компании этим пренебрегают, уповая на достаточную эрудицию своих сотрудников. С таким же успехом можно было бы сказать: «Делайте хорошо, плохо не делайте»...

https://habr.com/ru/articles/830584/

#документация #аудит #оценка #knowledge_management #управление_знаниями

От логов к аудиту

Статья родилась, как водится, из рабочей задачи — нужно было внедрить аудит-логирование в некоторые микросервисы на Java и Spring.

https://habr.com/ru/articles/822923/

#Java #логирование #аудит #gdpr #микросервисы #rsyslog #logback

Спектр: контроль Active Directory

В этом материале мы рассмотрим возможность аудита домена Active Directory на практических сценариях сначала при помощи штатных средств мониторинга событий операционной системы Windows Server 2016, а затем сравним их с возможностями системы «Спектр»

https://habr.com/ru/companies/tssolution/articles/796319/

#спектр #active_directory #контроль #windows #windows_server_2016 #аудит #операционная_система #обзор

Как не провалить аудит в новых условиях?

Время от времени компании проводят аудит. Это комплексный взгляд на ИТ-инфраструктуру и варианты ее развития. Когда чаще всего проводят аудит? — Непонятна картина реального состояния ИТ-инфраструктуры. Такая ситуация может возникнуть, например, при смене руководства или уходе/замене ключевых сотрудников. — Общее состояние ИТ-инфраструктуры с точки зрения бизнеса «какое-то не такое». Слишком большие расходы, частые инциденты, нарушение SLA. — Впереди большой проект (например, назревшая замена CRM) и вопросов пока больше, чем ответов (на что, как, поможет ли). Аудит должен ответить на главные вопросы: — Как выглядит реальная картина ИТ? — Какие есть проблемы и узкие места в инфраструктуре? К этим вопросам добавилась и тема перехода на российские решения. Многие существующие продукты невозможно заменить «один к одному». Важно определить, какой функционал используется, какой висит мертвым грузом, а от чего можно отказаться. В этом посте мы пройдемся по ключевым блокам, которые должны быть включены в аудит ИТ-инфраструктуры, и основным доступным сейчас инструментам.

https://habr.com/ru/companies/jetinfosystems/articles/778772/

#аудит #российское_по #виртуализация #схд #срк #инфраструктура