#фстэк — Public Fediverse posts

Защита мобильных устройств по 117 приказу ФСТЭК России: как читать документ и не терять волю к жизни

Привет, Хабр! Мы вернулись через четыре года. Зимой мы уже отметились в блоге Samsung статьёй для тех, кто думает сделать свой MDM. Теперь решили возродить свой блог. Пока на три месяца, а дальше посмотрим. Мы всегда стараемся доходчиво объяснять сложные вещи, и поэтому начать вторую жизнь нашего блога решили с разбора свежего документа от ФСТЭК России в части защиты мобильных устройств. Из статьи вы узнаете, что теперь BYOD для госорганов – это не принеси (bring), а купи (buy) себе устройство для работы, и что MDM для мобильных устройств теперь нужен не меньше, чем антивирус. На самом деле даже больше. Почему? Давайте под кат!

https://habr.com/ru/companies/niisokb/articles/1034444/

#ФСТЭК #117_приказ #mdm #byod #защита_мобильных_устройств #управление_мобильными_устройствами #информационная_безопасность

Защита мобильных устройств по 117 приказу ФСТЭК России: как читать документ и не терять волю к жизни

Привет, Хабр! Мы вернулись через четыре года. Зимой мы уже отметились в блоге Samsung статьёй для тех, кто думает сделать свой MDM. Теперь решили возродить свой блог. Пока на три месяца, а дальше посмотрим. Мы всегда стараемся доходчиво объяснять сложные вещи, и поэтому начать вторую жизнь нашего блога решили с разбора свежего документа от ФСТЭК России в части защиты мобильных устройств. Из статьи вы узнаете, что теперь BYOD для госорганов – это не принеси (bring), а купи (buy) себе устройство для работы, и что MDM для мобильных устройств теперь нужен не меньше, чем антивирус. На самом деле даже больше. Почему? Давайте под кат!

https://habr.com/ru/companies/niisokb/articles/1034444/

#ФСТЭК #117_приказ #mdm #byod #защита_мобильных_устройств #управление_мобильными_устройствами #информационная_безопасность

Защита мобильных устройств по 117 приказу ФСТЭК России: как читать документ и не терять волю к жизни

Привет, Хабр! Мы вернулись через четыре года. Зимой мы уже отметились в блоге Samsung статьёй для тех, кто думает сделать свой MDM. Теперь решили возродить свой блог. Пока на три месяца, а дальше посмотрим. Мы всегда стараемся доходчиво объяснять сложные вещи, и поэтому начать вторую жизнь нашего блога решили с разбора свежего документа от ФСТЭК России в части защиты мобильных устройств. Из статьи вы узнаете, что теперь BYOD для госорганов – это не принеси (bring), а купи (buy) себе устройство для работы, и что MDM для мобильных устройств теперь нужен не меньше, чем антивирус. На самом деле даже больше. Почему? Давайте под кат!

https://habr.com/ru/companies/niisokb/articles/1034444/

#ФСТЭК #117_приказ #mdm #byod #защита_мобильных_устройств #управление_мобильными_устройствами #информационная_безопасность

Защита мобильных устройств по 117 приказу ФСТЭК России: как читать документ и не терять волю к жизни

Привет, Хабр! Мы вернулись через четыре года. Зимой мы уже отметились в блоге Samsung статьёй для тех, кто думает сделать свой MDM. Теперь решили возродить свой блог. Пока на три месяца, а дальше посмотрим. Мы всегда стараемся доходчиво объяснять сложные вещи, и поэтому начать вторую жизнь нашего блога решили с разбора свежего документа от ФСТЭК России в части защиты мобильных устройств. Из статьи вы узнаете, что теперь BYOD для госорганов – это не принеси (bring), а купи (buy) себе устройство для работы, и что MDM для мобильных устройств теперь нужен не меньше, чем антивирус. На самом деле даже больше. Почему? Давайте под кат!

https://habr.com/ru/companies/niisokb/articles/1034444/

#ФСТЭК #117_приказ #mdm #byod #защита_мобильных_устройств #управление_мобильными_устройствами #информационная_безопасность

Ночь с 14 на 15 апреля: мой личный ответ на отключение СМЭВ

Я узнал об отключении не из новостей. Утром мне написал знакомый из небольшого банка: «всё упало, паспорта не проверяются, онлайн встал». В то время как раз дописывал обработку ошибок в smev4-rs , Rust-крейте для работы с СМЭВ 4. Совпадение так совпадение. Первые несколько часов ушли на то, чтобы понять, что вообще происходит. Минцифры говорило что транспорт в порядке. Жалобы шли и от тех, кто на СМЭВ 3, и от тех, кто переезжал на СМЭВ 4. Значит дело было не в версии протокола.

https://habr.com/ru/articles/1033676/

#смэв #фстэк #банки #финтех #архитектура #115фз #информационная_безопасность #rust

Аврора Центр: как мы помогаем банкам собирать биометрию на отечественных устройствах

Всем привет! Меня зовут Александр Конин, я продакт-менеджер «Аврора Центр» . Платформа управляет устройствами на Авроре, Android и российских дистрибутивах Linux, но в этой статье речь пойдёт о банках и биометрии. Два банка из ТОП-5 уже собирают биометрию на устройствах с Авророй, управляемых через «Аврора Центр». Ещё в нескольких крупнейших банках идёт пилотирование. За последние годы внедрений платформы управления устройствами мы уже отработали техническую часть требований, а вот особенности, связанные с внутренними регламентами каждого банка, часто бывают новые. В этой статье я расскажу, как это выглядит на практике, с какими задачами мы столкнулись при внедрении и что из нашего опыта пригодится при выборе MDM-системы.

https://habr.com/ru/companies/rostelecom/articles/1021310/

#MDM #UEM #ОС_Аврора #Аврора_Центр #биометрия #ФСТЭК #импортозамещение #управление_мобильными_устройствами #корпоративная_мобильность #информационная_безопасность

Аврора Центр: как мы помогаем банкам собирать биометрию на отечественных устройствах

Всем привет! Меня зовут Александр Конин, я продакт-менеджер «Аврора Центр» . Платформа управляет устройствами на Авроре, Android и российских дистрибутивах Linux, но в этой статье речь пойдёт о банках и биометрии. Два банка из ТОП-5 уже собирают биометрию на устройствах с Авророй, управляемых через «Аврора Центр». Ещё в нескольких крупнейших банках идёт пилотирование. За последние годы внедрений платформы управления устройствами мы уже отработали техническую часть требований, а вот особенности, связанные с внутренними регламентами каждого банка, часто бывают новые. В этой статье я расскажу, как это выглядит на практике, с какими задачами мы столкнулись при внедрении и что из нашего опыта пригодится при выборе MDM-системы.

https://habr.com/ru/companies/rostelecom/articles/1021310/

#MDM #UEM #ОС_Аврора #Аврора_Центр #биометрия #ФСТЭК #импортозамещение #управление_мобильными_устройствами #корпоративная_мобильность #информационная_безопасность

Аврора Центр: как мы помогаем банкам собирать биометрию на отечественных устройствах

Всем привет! Меня зовут Александр Конин, я продакт-менеджер «Аврора Центр» . Платформа управляет устройствами на Авроре, Android и российских дистрибутивах Linux, но в этой статье речь пойдёт о банках и биометрии. Два банка из ТОП-5 уже собирают биометрию на устройствах с Авророй, управляемых через «Аврора Центр». Ещё в нескольких крупнейших банках идёт пилотирование. За последние годы внедрений платформы управления устройствами мы уже отработали техническую часть требований, а вот особенности, связанные с внутренними регламентами каждого банка, часто бывают новые. В этой статье я расскажу, как это выглядит на практике, с какими задачами мы столкнулись при внедрении и что из нашего опыта пригодится при выборе MDM-системы.

https://habr.com/ru/companies/rostelecom/articles/1021310/

#MDM #UEM #ОС_Аврора #Аврора_Центр #биометрия #ФСТЭК #импортозамещение #управление_мобильными_устройствами #корпоративная_мобильность #информационная_безопасность

Аврора Центр: как мы помогаем банкам собирать биометрию на отечественных устройствах

Всем привет! Меня зовут Александр Конин, я продакт-менеджер «Аврора Центр» . Платформа управляет устройствами на Авроре, Android и российских дистрибутивах Linux, но в этой статье речь пойдёт о банках и биометрии. Два банка из ТОП-5 уже собирают биометрию на устройствах с Авророй, управляемых через «Аврора Центр». Ещё в нескольких крупнейших банках идёт пилотирование. За последние годы внедрений платформы управления устройствами мы уже отработали техническую часть требований, а вот особенности, связанные с внутренними регламентами каждого банка, часто бывают новые. В этой статье я расскажу, как это выглядит на практике, с какими задачами мы столкнулись при внедрении и что из нашего опыта пригодится при выборе MDM-системы.

https://habr.com/ru/companies/rostelecom/articles/1021310/

#MDM #UEM #ОС_Аврора #Аврора_Центр #биометрия #ФСТЭК #импортозамещение #управление_мобильными_устройствами #корпоративная_мобильность #информационная_безопасность

Как получить реальные данные с прода для тестирования, не сесть в тюрьму и не получить по шапке от службы безопасности

Меня зовут Семён Ремезов, я Senior QA в компании «Гринатом» (мы пишем софт для «Росатома»). Про такие вещи обычно говорят шёпотом в курилках либо громко обсуждают, только когда уже «прилетело». Можно, конечно, наклепать синтетических моков, но в сложных системах это мало что даст. У нас в «Гринатоме» крутятся огромные системы. Это не просто «магазин с корзиной». Это продукты с чудовищным уровнем вложенности, тоннами информации и зависимостями, которые переплетаются между собой, как корни столетнего дуба. Данные пересекаются везде и всюду. Синтетика — это стерильная лаборатория. Моковые данные — это то, как разработчик представляет себе данные. А их реальный массив — это то, как пользователи на самом деле кошмарят систему. Мы внедрили у себя security-лейблы в Postgres Pro Enterprise для анонимизации, и этот путь был, мягко говоря, тернистым. Если вы думаете, что анонимизация — это просто скрипт UPDATE users SET name = 'Ivan', то у меня для вас плохие новости. Давайте разберём, как мы построили процесс, почему отказались от дорогих «коробочных» решений и как заставили Postgres 15-й версии работать нормально.

https://habr.com/ru/companies/greenatom/articles/1014942/

#Postgres_Pro_Enterprise #маскирование_данных #анонимизация_данных #персональные_данные #тестирование_ПО #QA #SQL #Security_Labels #ФСТЭК

ИИ-агент сказал «сделано». Но сделал ли он на самом деле?

На прошлой неделе Хабр опубликовал материал о том, как компании платят до 300 000 рублей в месяц за «скрытый аутсорс» задач в ChatGPT. История получила резонанс — но обсуждение ушло не туда. Говорили о доверии, об этике, о трудовом договоре. Никто не спросил о главном: а как вы вообще проверяете, что задача была выполнена — агентом или человеком? И была ли она выполнена вообще? В открытом демо-пайплайне dcl-eval-pipeline-demo я показала, как аудировать поведение агентов на практике. Теперь разберём, почему это критично и как построить полноценный слой верификации — вплоть до готового инструмента, который можно скачать и запустить прямо сейчас. Это не риторический вопрос. Это архитектурная дыра, которая сейчас присутствует практически в каждой агентной системе. Называется она fabricated execution — ситуация, когда агент возвращает результат, не выполнив задачи, или выполнив что-то принципиально другое, оформив под видом запрошенного. Что такое DCL?

https://habr.com/ru/articles/1007990/

#искусственный_интеллект #информационная_безопасность #программирование #аудит #фстэк #фстэк_17_новые_требования #агенты_ии #галлюцинации_нейросетей

Приказ ФСТЭК России № 117: что меняется в мире защиты информации в России уже на этой неделе

Уже на этой неделе (с 1 марта 2026 года) вступает в свою законную силу и начинает действовать Приказ ФСТЭК России № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Новый приказ отменяет существовавший более 10 лет приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», а также все его последующие редакции и дополнения. Об этом уже много говорили с момента выхода этого приказа, и продолжают говорить до сих пор. И мы решили сделать «мастер-статью», в которой мы будем размещать максимум полезной информации, о том, как всем нам жить «по-новому» - ведь не исключено, что 117 приказ останется на довольно продолжительное время с нами.

https://habr.com/ru/articles/1003660/

#фстэк #фстэк_россии #информационная_безопасность #приказ_фстэк #приказ_фстэк_117 #уязвимости #кии #гис

Приказ ФСТЭК России № 117: что меняется в мире защиты информации в России уже на этой неделе

Уже на этой неделе (с 1 марта 2026 года) вступает в свою законную силу и начинает действовать Приказ ФСТЭК России № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Новый приказ отменяет существовавший более 10 лет приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», а также все его последующие редакции и дополнения. Об этом уже много говорили с момента выхода этого приказа, и продолжают говорить до сих пор. И мы решили сделать «мастер-статью», в которой мы будем размещать максимум полезной информации, о том, как всем нам жить «по-новому» - ведь не исключено, что 117 приказ останется на довольно продолжительное время с нами.

https://habr.com/ru/articles/1003660/

#фстэк #фстэк_россии #информационная_безопасность #приказ_фстэк #приказ_фстэк_117 #уязвимости #кии #гис

Приказ ФСТЭК России № 117: что меняется в мире защиты информации в России уже на этой неделе

Уже на этой неделе (с 1 марта 2026 года) вступает в свою законную силу и начинает действовать Приказ ФСТЭК России № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Новый приказ отменяет существовавший более 10 лет приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», а также все его последующие редакции и дополнения. Об этом уже много говорили с момента выхода этого приказа, и продолжают говорить до сих пор. И мы решили сделать «мастер-статью», в которой мы будем размещать максимум полезной информации, о том, как всем нам жить «по-новому» - ведь не исключено, что 117 приказ останется на довольно продолжительное время с нами.

https://habr.com/ru/articles/1003660/

#фстэк #фстэк_россии #информационная_безопасность #приказ_фстэк #приказ_фстэк_117 #уязвимости #кии #гис

Приказ ФСТЭК России № 117: что меняется в мире защиты информации в России уже на этой неделе

Уже на этой неделе (с 1 марта 2026 года) вступает в свою законную силу и начинает действовать Приказ ФСТЭК России № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Новый приказ отменяет существовавший более 10 лет приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», а также все его последующие редакции и дополнения. Об этом уже много говорили с момента выхода этого приказа, и продолжают говорить до сих пор. И мы решили сделать «мастер-статью», в которой мы будем размещать максимум полезной информации, о том, как всем нам жить «по-новому» - ведь не исключено, что 117 приказ останется на довольно продолжительное время с нами.

https://habr.com/ru/articles/1003660/

#фстэк #фстэк_россии #информационная_безопасность #приказ_фстэк #приказ_фстэк_117 #уязвимости #кии #гис

Дайджест ИБ-регулирования: чем закончился 2025?

Продолжаем серию обзоров правовых инициатив, проектов законов и постановлений, новых актов регулирования, касающихся вопросов информационной безопасности. В этом дайджесте – о том, что изменилось в ИБ-регулировании в 4 квартале 2025 года.

https://habr.com/ru/companies/searchinform/articles/985514/

#дайджест_ибрегулирования_si #фстэк #нкцки #госсопка #dlp #кии

СПРУТ 1 = TAP + DD

Такая вот незатейливая формула. Спрут 1 – это Test Access Point и Data Diode в одном флаконе. КДПВ перед Вами.

https://habr.com/ru/companies/centin/articles/969868/

#data_diode #инфобезопасность #инфобез #tap #span #фстэк #плис

СПРУТ 1 = TAP + DD

Такая вот незатейливая формула. Спрут 1 – это Test Access Point и Data Diode в одном флаконе. КДПВ перед Вами.

https://habr.com/ru/companies/centin/articles/969868/

#data_diode #инфобезопасность #инфобез #tap #span #фстэк #плис

СПРУТ 1 = TAP + DD

Такая вот незатейливая формула. Спрут 1 – это Test Access Point и Data Diode в одном флаконе. КДПВ перед Вами.

https://habr.com/ru/companies/centin/articles/969868/

#data_diode #инфобезопасность #инфобез #tap #span #фстэк #плис

СПРУТ 1 = TAP + DD

Такая вот незатейливая формула. Спрут 1 – это Test Access Point и Data Diode в одном флаконе. КДПВ перед Вами.

https://habr.com/ru/companies/centin/articles/969868/

#data_diode #инфобезопасность #инфобез #tap #span #фстэк #плис

Аутсорсинг и приказ ФСТЭК №117, теория РБПО, инструменты

Этот текст для компаний, занимающихся аутсорсом и аутстаффингом. Продвигая статический анализ кода в целом и инструмент PVS-Studio в частности, мы отдельно не выделяем компании этой направленности. Сейчас, в связи с вступлением в силу 1 марта 2026 года приказа №117, всё немного по-другому.

https://habr.com/ru/companies/pvs-studio/articles/967928/

#гост_р_56939 #гост_р_569392024 #фстэк #фстэк_россии #рбпо #аутсорсинг #аутсорсинг_разработки #аутстаффинг #pvsstudio #разработка_приложений

Категорирование КИИ. Проходим проверку, не теряя здравый смысл

Категорирование объектов критической информационной инфраструктуры (КИИ) — вещь, о которой многие компании вспоминают, когда уже пришло письмо из ФСТЭК. А ведь по сути это не просто "обязаловка ради галочки", а инструмент, который помогает самому бизнесу понять: какие системы держат компанию «на плаву», а где можно позволить себе пару часов простоя без последствий. После 2022 года внимание к КИИ выросло в разы. Проверки стали регулярными, требования — конкретными, а ответственность — вполне ощутимой. Особенно это почувствовали банки, энергетика, транспорт и связь — у этих сфер теперь нет права на «бумажную безопасность». Закон — это основа, но не инструкция по выживанию Формально всё держится на трех документах:

https://habr.com/ru/articles/957494/

#кии #категорирование_данных #фстэк #187фз #методика_оценки #информационная_безопасность #модель_угроз #аудит_иб

Анализ ключевых изменений в требованиях к защите информации согласно Приказу ФСТЭК № 117

11 апреля 2025 года ФСТЭК России утвердил Приказ № 117, устанавливающий обновленные Требования к защите информации в государственных информационных системах. Новый документ, который заменит собой действующий Приказ № 17, разработан для приведения мер защиты в соответствие с современными технологиями и актуальными киберугрозами. Приказ № 117 вступает в силу с 1 марта 2026 года. В обзоре рассказываем о новых требованиях, о том, каких организаций коснутся изменения и как к ним подготовиться

https://habr.com/ru/companies/ussc/articles/939640/

#фстэк #фстэк_17 #фстэк_17_что_изменилось #кии #приказ_фстэк

Анализ ключевых изменений в требованиях к защите информации согласно Приказу ФСТЭК № 117

11 апреля 2025 года ФСТЭК России утвердил Приказ № 117, устанавливающий обновленные Требования к защите информации в государственных информационных системах. Новый документ, который заменит собой действующий Приказ № 17, разработан для приведения мер защиты в соответствие с современными технологиями и актуальными киберугрозами. Приказ № 117 вступает в силу с 1 марта 2026 года. В обзоре рассказываем о новых требованиях, о том, каких организаций коснутся изменения и как к ним подготовиться

https://habr.com/ru/companies/ussc/articles/939640/

#фстэк #фстэк_17 #фстэк_17_что_изменилось #кии #приказ_фстэк

Анализ ключевых изменений в требованиях к защите информации согласно Приказу ФСТЭК № 117

11 апреля 2025 года ФСТЭК России утвердил Приказ № 117, устанавливающий обновленные Требования к защите информации в государственных информационных системах. Новый документ, который заменит собой действующий Приказ № 17, разработан для приведения мер защиты в соответствие с современными технологиями и актуальными киберугрозами. Приказ № 117 вступает в силу с 1 марта 2026 года. В обзоре рассказываем о новых требованиях, о том, каких организаций коснутся изменения и как к ним подготовиться

https://habr.com/ru/companies/ussc/articles/939640/

#фстэк #фстэк_17 #фстэк_17_что_изменилось #кии #приказ_фстэк

Анализ ключевых изменений в требованиях к защите информации согласно Приказу ФСТЭК № 117

11 апреля 2025 года ФСТЭК России утвердил Приказ № 117, устанавливающий обновленные Требования к защите информации в государственных информационных системах. Новый документ, который заменит собой действующий Приказ № 17, разработан для приведения мер защиты в соответствие с современными технологиями и актуальными киберугрозами. Приказ № 117 вступает в силу с 1 марта 2026 года. В обзоре рассказываем о новых требованиях, о том, каких организаций коснутся изменения и как к ним подготовиться

https://habr.com/ru/companies/ussc/articles/939640/

#фстэк #фстэк_17 #фстэк_17_что_изменилось #кии #приказ_фстэк

Новый приказ ФСТЭК: что нужно знать разработчикам Al-сервисов для госсектора

Привет! Меня зовут Андрей, я руковожу отделом продуктов клиентской безопасности

https://habr.com/ru/companies/selectel/articles/935258/

#selectel #иб #llm #информационная_безопасность #фстэк #регуляторика

Какой российский SIEM выбрать для КИИ? Разбираем наших игроков без галстуков и маркетинга

Выбираете SIEM для КИИ? По закону нужен наш софт. Разбираем трех российских гигантов: RuSIEM, MaxPatrol SIEM и Security Vision. Честный обзор без маркетинга, который поможет понять, кто из них подходит именно вашей команде.

https://habr.com/ru/articles/934218/

#positive technologies #siem #security_vision #ит_инфраструктура #itинфраструктура #it_безопасность #мониторинг_безопасности #фстэк #требования_регуляторов #требования_по_иб

Безопасность КИИ: 5 фатальных ошибок, которые стоят компаниям миллионов. Опыт реальных проверок

Я занимаюсь внедрением требований 187-ФЗ с момента его появления. За это время я прошел путь от инженера до консультанта и видел десятки проектов изнутри. Сегодня я расскажу про ключевые ошибки в обеспечении безопасности КИИ, которые я наблюдал лично и которые регулярно приводят к проваленным проверкам ФСТЭК и огромным финансовым потерям. Семь лет назад, когда 187-ФЗ только вступил в силу, рынок напоминал дикий запад. Все действовали интуитивно, пытаясь нащупать правильный путь. Казалось, время всё расставит по местам. Но мой опыт показывает, что фундаментальные ошибки, которые совершались тогда, до сих пор кочуют из проекта в проект, лишь меняя масштаб последствий. Ниже — мой личный рейтинг просчетов, основанный на реальных проектах и их последующих аудитах.

https://habr.com/ru/articles/933934/

#иб #187фз #категоризация #фстэк #кии

Киберразведка по-русски: как развивается отечественный Threat Intelligence

Киберразведка по-русски: как развивается отечественный Threat Intelligence Сфера CTI — киберразведки — в России активно развивается, но разобраться в отечественных решениях бывает непросто. Как инженер-исследователь и энтузиаст этой темы, я изучил 10 ключевых TI-продуктов: от Kaspersky и PT ESC до R-Vision и Garda TI. В статье — функциональное сравнение, советы по выбору, особенности для КИИ, а также взгляд в будущее: отраслевые центры, обмен разведданными, роль AI. Рекомендации, интеллект-карта, наглядные таблицы — всё для того, чтобы TI в России стал ближе и понятнее.

https://habr.com/ru/articles/933642/

#cti #киберразведка #ioc #apt #фиды #кии #цифровой_суверенитет #threat_intelligence #фстэк #187фз

Эффективная защита Linux: использование Ansible для соблюдения рекомендаций ФСТЭК России

25 декабря 2022 года ФСТЭК России выпустила рекомендации по безопасной настройке операционных систем Linux. Сейчас эти рекомендации являются обязательными для государственных информационных систем и критической информационной инфраструктуры (КИИ), работающих на Linux. Для упрощения соблюдения этих рекомендаций и автоматизации настройки систем можно использовать Ansible. Этот инструмент позволяет массово развертывать конфигурации, что значительно снижает вероятность ошибок при ручном вводе. В статье рассмотрим готовые плейбуки на основе Ansible для RHEL-подобных систем, а также способы их адаптации для других ОС.

https://habr.com/ru/companies/ussc/articles/905368/

#ansible #автоматизация_иб #фстэк #настройка_linux #кии #yaml #информационные_системы #киберугрозы #плейбук #rhel

Сертификация ФСТЭК: как мы перестали бояться и полюбили процесс

Знаете, как обычно проходит первая встреча с сертификацией ФСТЭК? Примерно как встреча с медведем в лесу. Все знают, что он где-то есть, все слышали истории о том, как другие его видели, но пока не столкнешься сам — не поймешь масштаба. В какой-то момент нам стало понятно: либо научимся проходить сертификацию и последующие проверки красиво, либо увязнем в бесконечном марафоне. Спойлер: мы научились.

https://habr.com/ru/companies/basis/articles/899470/

#сертификация #фстэк #devsecops #безопасная_разработка #базис #инспекция_кода

Как мы ускорили ванильную FreeIPA в 20 раз!!! (почти)

В статье речь пойдет об ALD Pro (Astra Linux Domain Pro). Один заказчик попросил предоставить инструмент нагрузки LDAP-запросов, да не простой, а с GUI и графиками. Наша команда в своей работе активно использует open source инструмент нагрузочного тестирования Locust (англ. Саранча). Сам по себе Locust является ядром нагрузки с минимальным функционалом из коробки, но этот функционал расширяется за счет использования Locustfiles, которые пишутся на чистом Python, что позволяет не ограничиваться набором инструкций, как, например, в Dockerfile/Containerfile/Vagrantfile, а писать отдельные Python-модули. На создании инструмента нагрузки ничего не закончилось, а все только началось. Мы нагрузили ALD Pro, получили графики и...обнаружили катастрофу.

https://habr.com/ru/companies/astralinux/articles/891064/

#Группа_Астра #ald_pro #locust #ldap #opensource #astralinux #внедрение #freeipa #rust #фстэк

Новые интересные диагностики в PVS-Studio 7.35

С релизом PVS-Studio 7.35 в анализаторе появилось много новых диагностических правил. Вас ждёт: много MISRA для C, новые Unity-диагностики для C# и покрытие OWASP Top 10 для Java и многое другое! Подробности вы сможете узнать в этой заметке. Читать далее >>>

https://habr.com/ru/companies/pvs-studio/articles/886662/

#sast #статический_анализ #c# #net #c++ #java #гост_712072024 #фстэк #гост

В преддверии испытаний статических анализаторов под руководством ФСТЭК России

В 2024 году вышел ГОСТ Р 71207 — Статический анализ программного обеспечения. Однако пользователям анализаторов сложно определять, насколько тот или иной инструмент соответствует критериям, изложенным в стандарте. Поэтому ФСТЭК России в 2025 году организует испытания статических анализаторов, результаты которых будут опубликованы в конце года. Ближайший этап — это выработка критериев оценки, и я решил предварительно изложить некоторые мысли по этой теме, которые, возможно, будут интересны жюри и участникам.

https://habr.com/ru/companies/pvs-studio/articles/883556/

#pvsstudio #статический_анализ_кода #анализатор_кода #SAST #static_code_analysis #фстэк #фстэк_россии #гост_р_712072024 #ГОСТ #си #си++ #c #cpp #csharp #java #критическая_ошибка

ФСТЭК рассмотрит вопрос безопасности Android-систем в критической инфраструктуре

src: https://www.securitylab.ru/news/554309.php

#SecurityLab #ФСТЭК #ru #rf #рф #андроид #android #security #безопасность

От сирен до SIEM: разбираем архитектуру и защиту локальных систем оповещения

9 марта 2023 года в российском теле- и радиоэфире прозвучало объявление о воздушной тревоге. Пугающий знак радиационной опасности, звук сирены на заднем фоне, напряженный синтетический голос, призывающий спрятаться в укрытии… Спустя несколько часов в МЧС отчитались о том, что тревога была ложной: трансляцию запустили хакеры, взломавшие сервера нескольких радиостанций и телеканалов. Ситуация, прямо скажем, не из приятных. Еще более неприятным может оказаться взлом ЛСО — локальных систем оповещения на предприятиях. В этом сценарии атаки есть все, что может сделать больно бизнесу: репутационные и финансовые потери, риск лишиться лицензии на дальнейшую деятельность, угроза жизни и здоровью людей. В статье расскажу функциях ЛСО и о том, как спроектировать защиту подобной системы на производстве.

https://habr.com/ru/companies/bastion/articles/838562/

#система_оповещения #критическая_инфраструктура #критически_важные_системы #катастрофоустойчивость #чрезвычайные_ситуации #локальная_система #гражданская_оборона #фстэк #сирены #проектирование_систем_безопасности

Не дать угнать за 60 секунд: автоматизируем базовую настройку облачного сервера

Если вы когда-нибудь анализировали содержимое журналов нового облачного сервера, то наверняка замечали подозрительную активность с первых же секунд его сетевой жизни. Кто эти незнакомцы, сканирующие порты? Чем грозит такой интерес? Привет! Меня зовут Марк, я методолог

https://habr.com/ru/companies/selectel/articles/836960/

#selectel #настройка_облачного_сервера #защита_облачных_сред #ФСТЭК #защита_персональных_данных #wbarticle

Грубый подсчёт. Или как мне стало обидно, когда от вендоров требуют качественных приложений

Недавно был на сходке телеграм-канала, который посвящён безопасности мобильных приложений. Было много уязвимостей и лёгких подколок разработчиков мобильных приложений, которые пропускают сырые приложения в релиз (сырые с точки зрения безопасности).

https://habr.com/ru/articles/831736/

#Статистика #информационная_безопасность #бюджетирование #фстэк #багбаунти #вендоры

Тонкости импортозамещения CMS. Собираем Bug Bounty и БДУ по реестру отечественного ПО

Привет, Хабр! Меня зовут Дмитрий Прохоров, я cпециалист по тестированию на проникновение из команды CyberOK. Исследуя просторы Рунета и собирая фингерпринты для различных CMS, я заметил, что присутствует большое множество различных веб-сайтов на CMS отечественной разработки. И да, это не Битрикс! Тут и родилась идея пополнить базу БДУ новыми уязвимостями и найти заветное bounty. Но как трудно найти уязвимость в CMS, имеющей столь серьезный статус? Спустя две недели стало понятно, что это практически невозможно, если ты ни разу не играл в студенческий CTF. В противном случае есть нюансы...

https://habr.com/ru/companies/cyberok/articles/820217/

#cms #whitebox #фстэк #nuclei #blackbox #burpsuite #уязвимость #bugbounty

Быстрый способ оценить защиту КИИ по методике ФСТЭК

ФСТЭК разработала методику оценки текущего состояния защиты информации (обеспечения безопасности объектов КИИ) в государственных органах, органах местного самоуправления, организациях, в том числе субъектах критической информационной инфраструктуры. Методика утверждена Приказом ФСТЭК от 02.05.2024г. В качестве показателя, характеризующего текущее состояние защиты информации используется показатель текущего состояния защищенности - Кзи. По методике показатель показатель должен стремиться к 1 (единице). Предложенные ФСТЭК градации защищенности следующие: Калькулятор

https://habr.com/ru/articles/815845/

#кии #фстэк #оценка