УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Контейнерный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Ссылка на сайт дистанционной оценки соответствия
    • Преимущества
    • Лицензии
    • Опыт (примеры реализации проектов)
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Контейнерный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Ссылка на сайт дистанционной оценки соответствия
            • Преимущества
            • Лицензии
            • Опыт (примеры реализации проектов)
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Обзор изменений в законодательстве за март 2015

        Обзор изменений в законодательстве за март 2015

        1 апреля 2015
        Новости

        Банк данных угроз безопасности информации

        В соответствии с информационным сообщением ФСТЭК России 11 марта был открыт доступ к информационному ресурсу www.bdu.fstec.ru, содержащему банк данных угроз безопасности информации.

        Банк данных включает в себя базу данных уязвимостей ПО, а также перечень и описание угроз безопасности информации, наиболее характерных для государственных информационных систем, ИСПДн и АСУ ТП. Сейчас в базе 162 угрозы и 10299 уязвимостей, однако их количество будет увеличиваться, так как база продолжает пополняться. Принять участие в ее расширении может любой желающий, сообщив о новой уязвимости или угрозе через специальную форму.

        База данных уязвимостей ПО включает:

        • краткую характеристику уязвимости;
        • название, версию и вендора ПО;
        • класс уязвимости (уязвимость кода, уязвимость архитектуры, уязвимость многофакторная);
        • наименование ОС и тип аппаратной платформы;
        • базовый вектор CVSS;
        • уровень опасности уязвимости;
        • возможные меры по устранению;
        • статус уязвимости (подтверждена в ходе исследований, подтверждена производителем, потенциальная уязвимость);
        • наличие эксплойта;
        • описание и тип ошибки CWE.

        Среди различных типов ПО в отдельную группу выделено ПО АСУ ТП, для которого на данный момент в базе имеется 20 уязвимостей.

        Описание угроз в базе содержит следующую информацию:

        • краткое описание угрозы, включая условия ее реализации с точки зрения возможностей нарушителей и наличия уязвимостей в системах и технологиях;
        • объект воздействия;
        • источник угрозы (внутренний или внешний нарушитель) с указанием уровня потенциала (высокий, средний, низкий), упоминание о котором было ранее в приказах ФСТЭК России №17 и №21;
        • последствия реализации угрозы (нарушение конфиденциальности, целостности, доступности).

        Среди всех угроз безопасности можно выделить специфические угрозы, определенные для конкретного типа систем или технологии. Так, например, банк данных содержит угрозы для:

        • грид-систем;
        • облачных технологий;
        • технологии виртуализации;
        • суперкомпьютера;
        • беспроводных сетей;
        • BIOS.

        Отдельных групп угроз для ГИС, ИСПДн и АСУ ТП в банке данных не выделено, что, безусловно, вызывает вопросы в части согласованности данного перечня с другими нормативными документами, например, Базовой моделью угроз безопасности ПДн. Однако по информации, полученной от представителей ФСТЭК России, представленную базу данных следует использовать только в качестве дополнительного источника информации.

        Среди перечня объектов воздействия, рассматриваемых при описании угроз, встречаются некоторые расхождения и несоответствия в терминологии. Кроме того, присутствует сомнение и в полноте списка объектов воздействия. Например, защищаемая информация, как объект воздействия, встречается в базе дважды, что не может не показаться странным.

        Несмотря на ряд недостатков, нельзя не отметить удобство созданного ресурса, предусматривающего, помимо прочего, инструменты фильтрации по всем основным параметрам описания угроз и уязвимостей, а также полезные разделы, содержащие основные термины со ссылками на нормативные документы и даже калькулятор CVSS.

        Защита информации по ГОСТ Р 51583-2014

        C сентября прошлого года на смену одному из основополагающих стандартов в области защиты информации, ГОСТ 51583-2000, был введен в действие новый стандарт ГОСТ 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».

        Концептуального различия между данными документами нет, за исключением появления одного нового раздела, регламентирующего защиту информации о создаваемой автоматизированной системе в защищенном исполнении (АСЗИ). Сравнение структуры документов приведено ниже.

        Регуляторы отчитались о работе

        Роскомнадзор (РКН) и ФСТЭК России опубликовали отчеты о своей деятельности за 2014 год.

        Доклад РКН об осуществлении государственного контроля (надзора) содержит, в том числе, данные по деятельности, связанной с осуществлением контроля и надзора в сфере ПДн:

        • количество плановых и внеплановых проверок, проведенных РКН в 2014 году составило 743 и 184 соответственно;
        • количество предписаний, выданных по результатам проверок: 684.
        • количество принятых обращений со стороны субъектов ПДн и юридических лиц: 20132. Интересно, что лишь в 10% от общего числа обращений граждан, содержащих жалобы, приведенные доводы были признаны действительными.

        К наиболее популярным нарушениям требований по обработке ПДн, выявленным в ходе проверок, относятся:

        • непринятие мер или несоблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ;
        • обработка ПДн без согласия субъекта (либо содержание согласия не соответствует требованиям);
        • нарушение требований конфиденциальности при обработке ПДн;
        • обработка ПДн по достижении цели обработки;
        • неуведомление РКН об осуществлении обработки ПДн.

        Из доклада ФСТЭК России можно узнать такие интересные показатели, как:

        • среднюю стоимость проверки, проводимой регулятором, она равна 63,08 тысяч рублей;
        • среднее время участия одного работника в проверках — 50,24 дней
          и другие.

        Всего за 2014 год сотрудниками ФСТЭК России проведено 144 проверки, а общая сумма наложенных штрафов составила 2802 тыс. руб.

        Взгляд NIST на безопасность мобильных приложений

        В начале этого года NIST опубликовал новый документ в области безопасности мобильных приложений — NIST Special Publication 800-163. Vetting the Security of Mobile Applications.

        Данный документ призван разъяснить процесс проверки безопасности мобильных приложений и предложить порядок его проведения, обобщив существующие требования к безопасности таких приложений. Кроме того, данные рекомендации содержат описание различных типов уязвимостей мобильных приложений для Android и iOS и методов тестирования, используемых для их выявления.

        ISACA расследует инциденты ИБ

        ISACA разработала новый документ по цифровой криминалистике Overview of Digital Forensics, описывающий процесс проведения экспертизы в рамках расследования инцидентов ИБ. В данном случае понятие цифровой криминалистики обобщает такие виды исследований, как компьютерная и сетевая криминалистика, а также экспертиза мобильных устройств.

        В рамках документа проблема компьютерных преступлений рассматривается с двух сторон: в случае, если компьютер является непосредственной целью злоумышленника, либо когда компьютер используется в качестве основного средства при реализации преступлений. Документ содержит краткую информацию по истории развития данного направления начиная с 1970 года, а также включает вопросы законодательства в этой сфере.

        Рекомендации по реализации процесса расследования приводятся авторами на 3 основных этапах, включая сбор данных, их анализ и оформление результатов. При этом отмечается, что в процессе расследования должны использоваться научные методы, доказывающие или опровергающие сформулированные гипотезы.

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2022 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы