Pull to refresh
  • by relevance
  • by date
  • by rating

Российский регулятор требует от разработчиков антивирусного ПО открыть исходный код продукта

Information Security *Antivirus protection *Legislation in IT

Фото: Дмитрий Коротаев / Коммерсантъ

Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердила обновленные требования к программному обеспечению из сферы информационной безопасности. Так, разработчики и производители антивирусов, файерволлов и другого ПО должны до конца года провести испытания по выявлению уязвимостей и недекларированных возможностей.

Участники рынка считают, что эти меры приведут к повышению затрат на прохождение сертификации и к дальнейшему сокращению числа иностранных поставщиков в российском госсекторе.
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views 13K
Comments 31

ФСТЭК разработала требования безопасности к оборудованию для удаленной работы

Information Security *Legislation in IT Remote work


По информации издания «Ведомости», федеральная служба по техническому и экспортному контролю (ФСТЭК) России разработала требования безопасности к оборудованию и программному обеспечению для удаленной работы.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 8.5K
Comments 12

Дистрибутив ALT Linux Desktop Professional получил сертификат ФСТЭК

Configuring Linux *
Дистрибутив ALT Linux Desktop Professional получил сертификат ФСТЭК, признающий отсутствие в системе недекларированных возможностей и наличие у нее необходимой защиты от несанкционированного доступа. Это единственный на сегодня случай в России, когда Linux-дистрибутив для рабочих станций сертифицирован для работы с государственной конфиденциальной информацией.
Читать дальше →
Total votes 2: ↑1 and ↓1 0
Views 1.9K
Comments 104

Эпопея в области персональных данных продолжается

Lumber room
Федеральная служба по техническому и экспортному контролю неожиданно снова активизировалась и провела большую работу по федеральному закону №152-ФЗ «О защите персональных данных». 5 марта были отменены два документа, которые раньше вставали любому IT-шнику как кость в горле. Это «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (Пруфлинк)
Что же это дает?
Во-первых, теперь операторам ПД не обязательно иметь лицензию на проведение технической защиты персональных данных.
Во-вторых, теперь софт сертифицироваться будет только на категорию К1, которую еще нужно заслужить.
Что не может не радовать.

UPD. На сайте ФСТЭК документы сейчас эти посмотреть Вы не сможете, ибо
image

UPD. Пока писал топик — сайт восстановили
Total votes 10: ↑9 and ↓1 +8
Views 376
Comments 10

Размышления о государственной сертификации антивирусов

Information Security *
С каждым годом от IT-специалистов наши доблестные регуляторы (ФСБ и ФСТЭК в первую очередь) требуют все больше различного рода лицензий, разрешений, сертификатов и тому подобных бумажек. ФСБ навязывает использования своих «фирменных» алгоритмов шифрования, взамен малопонятных им общемировых. ФСТЭК норовит сунуть нос поглубже в код программных продуктов, в своих поисках недекларированных возможностей, «заботясь» о безопасности нашей с вами информации.
А есть ли вообще смысл в подобных исследованиях применительно к современным антивирусам?
Читать дальше →
Total votes 42: ↑39 and ↓3 +36
Views 12K
Comments 64

Дистрибутив Альт Линукс получил сертификат ФСТЭК

Configuring Linux *
Альт Линукс СПТ 6.0 ФСТЭК

Компания «Альт Линукс» сертифицировала новый дистрибутив. 18 апреля 2011 года дистрибутив Альт Линукс СПТ 6.0 получил сертификат ФСТЭК № 2317.

В отличии от других сертифицированных версий (Альт Линукс выпускает сертифицированные версии с 2002 года), Альт Линукс СПТ 6.0 может использоваться для систем защиты персональных данных всех типов, а также гостайны.

Альт Линукс СПТ 6.0 имеет:
  • 4 класс защиты средств вычислительной техники от несанкционированного доступа
  • 3 уровень контроля отсутствия недекларированных возможностей.

Может быть использован для разработки:
  • автоматизированных систем с классом защищенности по 1В включительно
  • систем защиты персональных данных по К1 включительно.

Читать дальше →
Total votes 64: ↑48 and ↓16 +32
Views 9.7K
Comments 88

Защита в виртуальной среде: чеклист угроз

КРОК corporate blog

Защита данных в виртуальной среде — это «дивный новый мир», означающий серьёзное изменение мировоззрения в отношении понимания угроз.

Я работаю с защитой персональных данных, у меня и коллег собралась огромная таблица возможных угроз безопасности, по которой можно проверять, что не так на конкретных объектах.
Читать дальше →
Total votes 37: ↑30 and ↓7 +23
Views 44K
Comments 22

«Простой бизнес» получил новые бессрочные лицензии от ФСБ и ФСТЭК

Prostoy business corporate blog
Получение следующих лицензий ФСБ и ФСТЭК дает возможность «Простому бизнесу» расширить работу в сфере защиты данных, проектирования систем информатизации:

• лицензия на разработку, производство, распространение шифровальных средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных средств (выдана Центром по лицензированию, сертификации и защите государственной тайны ФСБ России);
• лицензия на деятельность по технической защите конфиденциальной информации (выдана Федеральной службой по техническому и экспортному контролю);
• лицензия на деятельность по разработке и производству средств защиты конфиденциальной информации (выдана Федеральной службой по техническому и экспортному контролю).
Читать дальше →
Total votes 7: ↑1 and ↓6 -5
Views 2.2K
Comments 0

Краудсорсинг при разработке государственных стандартов

Deiteriy corporate blog Information Security *
Ни для кого не секрет, что многие действующие российские государственные стандарты (ГОСТ) по информационной безопасности на текущий момент морально устарели. Это очевидно по той причине, что большинство их них разрабатывались в 80–90 годы, когда большая часть современных информационных технологий не применялась так широко, как сейчас, или просто не существовала.

С недавнего времени российские государственные регуляторы начали обновлять нормативную базу, что само по себе не может не радовать. На этом пути было и есть много подводных камней, ярким примером служит эпопея с Федеральным Законом № 152-ФЗ «О персональных данных» и сопровождающими его приказами ФСТЭК и ФСБ. Много копий было сломано, несколько итераций приказов ФСТЭК были приняты, а затем заменены новыми версиями. И вот на днях, а именно 14 мая 2013 года Министерством Юстиции был зарегистрирован свежий приказ ФСТЭК № 21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», который профессиональное сообщество приняло в целом с одобрением. Стоит отдельно сказать, что при разработке этого документа регулятор обращался в том числе к независимым экспертам отрасли.

Положительной тенденцией ФСТЭК стало то, что теперь при разработке новых норм регулятор спрашивает общество его мнение относительно разрабатываемых документов. И самым свежим примером являются недавно пришедшие к нам запросы.

Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 4.5K
Comments 3

Защищаем персональные данные по новому приказу ФСТЭК. Больше ответов или вопросов?

Information Security *
15 мая 2013 года Минюст наконец-то зарегистрировал приказ ФСТЭК № 21 от 18 февраля 2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Почему же «долгожданный»? Да потому, что с момента выхода постановления Правительства РФ № 1119 (1 ноября 2012 года) любые вопросы по технической защите персональных данных оказались в неопределенно-подвешенном состоянии. Получилось так: новым постановлением отменены старые классы информационных систем персональных данных (ИСПДн) и введено понятие «Уровни защищенности ИСПДн», но как и чем защищаться в каждом конкретном случае как раз и должен был нам рассказать новый приказ ФСТЭК, который мы ждали «каких-то» полгода.

Сразу после опубликования нового приказа по Интернету прокатилась волна восторженных отзывов о новом документе. Мол, это огромный шаг вперед в сфере законодательства по защите персональных данных. В какой-то мере это действительно так (учитывая то, что предыдущие документы выходили сразу морально устаревшими и не учитывали многих нюансов функционирования современных информационных систем — мобильные платформы, виртуализация и тд), но, лично у меня к новому документу есть масса претензий.

В этой статье я постараюсь простым языком проанализировать новый документ ФСТЭК России, взвесить его плюсы и минусы, а также постараться ответить на вопрос «что же теперь делать операторам персональных данных?».

Читать дальше →
Total votes 22: ↑18 and ↓4 +14
Views 70K
Comments 16

Истекание сертификатов на Windows XP и Office 2003 как причина грядущего роста продаж продуктов Microsoft?

Development for Windows *
Recovery mode
Попалась мне на глаза рассылка для партнеров 1С, в которой, в частности, говорится:

Компания “Microsoft” предоставила в наше распоряжение официальный циркуляр ФГУП «Предприятие по поставкам продукции Управления делами Президента Российской Федерации» (ФГУП ППП), адресованный руководителям государственных и коммерческих организаций.

В данном циркуляре, ФГУП ППП рекомендует перейти на новые версии продуктов Microsoft, так как в связи с окончанием выпуска обновлений для Windows XP и Office 2003 сертификаты на эти продукты уже не будут удовлетворять требованиям ФСТЭК.

Подчеркиваем, что циркуляр адресован не только государственным, но и коммерческим структурам любого размера, т.к. сертифицированные продукты используются в том числе для защиты персональных данных в небольших компаниях.

Используя этот циркуляр, и принимая во внимание октябрьское повышение цен на продукты Microsoft, Вам будет проще обосновать заказчикам необходимость закупки новых версий продуктов Microsoft!

Читать дальше →
Total votes 22: ↑14 and ↓8 +6
Views 18K
Comments 39

Уязвимости гипервизора – угроза виртуальной инфраструктуре и облаку

Код Безопасности corporate blog
При переходе от физической инфраструктуры к виртуальной возникает множество новых угроз. При расширении виртуализации до облака их список расширяется, а возможный ущерб от их эксплуатации многократно возрастает. В этой статье хотелось бы поговорить про одну из основных «новых» угроз в виртуальной среде – уязвимости гипервизора.
Рассмотрим основные классы уязвимостей гипервизоров на примере VMware vSphere и возможные пути защиты от их эксплуатации.
Читать дальше →
Total votes 12: ↑7 and ↓5 +2
Views 14K
Comments 10

Криптографию — ФСТЭКу!

Information Security *

Пролог


Добрый день, хабраюзер,

Автор данного поста убежден, что движение к совершенству есть череда последовательных небольших шагов. Добиваясь изменения причин происходящих сегодня в отрасли ИБ событий, у нас есть возможность построить такую информационную безопасность с преферансом и барышнями с конкуренцией и инновациями, которую мы все хотим.
Поэтому если вам лень читать дальше, то зайдите на РОИ и проголосуйте. Если не лень — добро пожаловать под кат!
Читать дальше →
Total votes 37: ↑27 and ↓10 +17
Views 22K
Comments 41

Защита АСУ ТП в России: исследуем новые требования ФСТЭК

Positive Technologies corporate blog Information Security *
image

О кибератаках на АСУ ТП и промышленных диверсиях «в один клик» к 2014 году слышали, кажется, уже даже дети. Тут и havex, и «самый страшный поисковик» Shodan (где, кстати, недавно опубликовали карту АСУ ТП), и десяток инцидентов, описанных в последнем отчете Novetta.

Российские организации, ответственные за регулирование в области безопасности, до поры до времени не уделяли внимания уязвимостям промышленных систем, однако приказ ФСТЭК № 31 от 14 марта 2014 года обещает коренным образом изменить ситуацию.
Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Views 31K
Comments 13

Новый ФСТЭК сертификат для Kerio Control Appliance 8.2

Kerio Technologies corporate blog
Уважаемые коллеги!

На прошлой неделе наш орган по сертификации передал во ФСТЭК комплект документации для получения сертификата на продукт Kerio Control 8.2.
Решение Kerio Control 8.2 доступно в виде программного комплекса и не требует для своего функционирования отдельной операционной системы.
Данный продукт сертифицируется по 3-му классу защищённости как межсетевой экран. Контроль недекларируемых возможностей проводится по 4-му классу. Мы ожидаем получить соответствующий сертификат ФСТЭК в конце декабря 2014 года, либо в начале января 2015 года.

Сертифицированный продукт Kerio Control 8.2 уже доступен для заказа. Сам продукт можно приобрести прямо сейчас, а сертифицированный дистрибутив можно будет приобрести начиная с января 2015 года.

Пожалуйста, со всеми вопросами пишите сюда или в наш отдел продаж по адресу
Total votes 1: ↑1 and ↓0 +1
Views 2.3K
Comments 0

Kerio Control 8.2 получил сертификат ФСТЭК России

Kerio Technologies corporate blog
Kerio Technologies cообщает о получении сертификата соответствия ФСТЭК для версии Kerio Control 8.2 сроком на три года.

Полученный сертификат удостоверят, что межсетовой экран Kerio Control 8.2. является программным средством защиты информации от несанкционированного доступа из внешних вычислительных сетей и систем, и соответствует требованиям руководящих документов.

Kerio Control 8.2 получил сертификацию по 3-му классу защищённости как межсетевой экран. Контроль недекларируемых возможностей был проведен по 4-му классу.

Сертификат соответствия предоставляет возможность использования продукта Kerio Control 8.2 в государственных, образовательных, медицинских и любых других учреждениях, в которых требуется использование сертифицированных продуктов.

Решение Kerio Control 8.2 доступно в виде программного комплекса и не требует для своего функционирования отдельной операционной системы. Сертифицированный продукт Kerio Control 8.2 уже доступен для заказа, а сертифицированный дистрибутив можно скачать на нашем веб-сайте.

Подробнее с сертификатом вы можете ознакомиться здесь.

Зарегистрируйтесь на вебинар, на котором мы рассмотрим:

  • Особенности сертифицированной версии
  • Особенности сертификации
  • Лицензирование перехода со старой версии Kerio Control 7.2.3 на Kerio Control 8.2.3
  • Возможные шаги миграции
Читать дальше →
Total votes 18: ↑11 and ↓7 +4
Views 7.4K
Comments 5

Запись вебинара «Сертифицированная ФСТЭК версия Kerio Control 8.2»

Kerio Technologies corporate blog
image

Дорогие друзья!

Cегодня мы провели вебинар, на котором рассказали о сертифицированной ФСТЭК версии Kerio Control 8.2.

Что обсудили:

  • Особенности сертифицированной версии
  • Особенности сертификации
  • Лицензирование перехода со старой версии Kerio Control 7.2.3 на Kerio Control 8.2.3
  • Возможные шаги миграции

Если вы не смогли поучаствовать в нашем вебинаре, cмотрите запись.

Актуальную сертифицированную версию Kerio Control 8.2 можно скачать на нашем веб-сайте.
Total votes 4: ↑3 and ↓1 +2
Views 1.5K
Comments 0

Интернет в российских школах: работа над ошибками

Smart-Soft corporate blog Information Security *IT Standards *
Recovery mode
Привет всем! Сегодня я хочу рассказать о моем опыте организации Интернет-доступа в школе и обеспечении информзащиты.
 

 
Не так давно был Cyber Security Forum 2015, где на секции «Информационная безопасность в образовании» меня увлек доклад Юрия Кантемирова из Роскомнадзора. Он говорил о строгости проверок, осуществляемых под его управлением и посетовал на нерадивость некоторых школ, которых не особо парит защита от сетевых и информационных угроз. После доклада от участника форума прилетел интересный и довольно простой вопрос: «А где же собственно те стандарты, соблюдать которые нас призывают?» После короткой дискуссии выяснилось: «Проверки есть, а вот стандартов… нет».
Читать дальше →
Total votes 24: ↑15 and ↓9 +6
Views 37K
Comments 79

Документ, который ждали

Information Security *
Майские праздники подарили нам не только весьма спорный проект Постановления Правительства от Роскомнадзора, но и документ, которого специалисты ждали очень давно. ФСТЭК России опубликовала на своем сайте проект документа «Методика определения угроз безопасности информации в ИС» и соответствующее ему информационное сообщение.

Документ после доработки и утверждения станет обязательным для исполнения государственными и муниципальными органами. Именно для них документ описывает методику определения угроз, актуальных для конкретной организации. Практика показывает, что в большинстве случаев изменения в документе не будут принципиальными, поэтому ознакомиться с ним нужно заранее. Теоретически для остальных организаций, включая и операторов ПДн, данная методика не является обязательной, но поскольку на практике альтернатив (которые к тому же нужно будет обосновывать Роскомнадзору) не будет, то использовать придется именно ее.
Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 51K
Comments 4

Рабочие места «в облаке»: Odin VDI и IBS

IBS corporate blog IT Infrastructure *Virtualization *Cloud computing *


IBS достаточно давно занимается разработкой ИТ-решений высокой готовности для корпоративного сектора. В свое время нас заинтересовала технология контейнерной виртуализации Parallels Containers for Windows (сегодня подразделение Parallels, которое её разработало, работает под брендом Odin). На её базе вместе с командой Odin мы создали совместный продукт: Odin VDI – решение для виртуализации рабочих мест пользователей. В этом посте мы расскажем историю создания этого решения, опишем его функциональные возможности и преимущества, а также отдельно остановимся на сертификации Odin VDI во ФСТЭК.

Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 13K
Comments 15