При майнинге криптовалют выполняются криптографические операции: хеширование и цифровые подписи (асимметричные криптоалгоритмы), поэтому оборудование для майнинга относится к шифровальному оборудованию. На все ввозимые/вывозимые в/из РФ средства, которые реализуют криптографические функции, требуется нотификация ФСБ России.
Также исходя из ранее заданного вопроса, хотели бы обратить внимание, что сертификация СрЗИ и нотификация ФСБ России на ввоз/вывоз шифровальных средств – это разные процедуры. Сертификации подлежат СрЗИ (не только шифровальные) при использовании на территории РФ, без привязки к их импорту/экспорту. Нотификация ФСБ России – процедура, касающаяся разрешения на экспорт/импорт шифровальных средств.
Зависит от того, какие данные планируете шифровать. В соответствии с постановлением Правительства РФ от 26.06.1995 № 608 «О сертификации средств защиты информации» обязательной сертификации подлежат технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Дополнительно в постановлении Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП-1119) есть требование, которое гласит, что для обеспечения необходимого уровня защищенности персональных данных при их обработке в информационных системах обязательно использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, если применение таких средств необходимо для нейтрализации актуальных угроз.
Таким образом, если ваши данные не составляют государственную тайну и для вас неактуально требование ПП-1119, то сертификация для вас не является обязательной, так как для средств криптографической защиты, осуществляющих шифрование другой информации, обязательство по сертификации законом не установлено.
Да, конечно, неоднозначно. Такие инциденты, как с CrowdStrike, хоть и редко, но происходят. И тут лишний раз добавим про правила обновлений для компаний, которые помогут минимизировать риск ошибок и сбоев: тестируйте обновление в песочнице, отключайте автоматические обновления ПО, проверяйте обновление на совместимость и наличие уязвимостей, проверяйте производительность и функциональность. В случае с пользовательскими устройствами тоже такое случается. В феврале 2024 года у гаджетов Xiaomi, включая бренды Poco и Redmi, произошел масштабный сбой в операционной системе после ее обновления. У пользователей было два решения: либо полностью сбросить все настройки устройства, либо сдать его в сервисный центр. Чтобы избежать сюрпризов при обновлении программного обеспечения на личных устройствах, рекомендуется придерживаться похожих правил: регулярно создавать резервные копии данных, отключать автоматическое обновление ПО, прочитать отзывы и комментарии к обновлению.
Спасибо за обратную связь! На самом деле, в новости описали две разные истории. Уязвимости BAS-IP обнаружили в ходе работы над проектом, подробно устройство не изучали. В случае PDU ATEN заметили необычное поведение в веб-интерфейсе, запросили образец устройства у партнёра и изучили внимательнее. Посмотрели, какие есть функции веб-интерфейса, как выглядят запросы и ответы, сформулировали ряд гипотез и проверили их. В процессе использовали в основном Burp Suite. Всю техническую информацию по обоим случаям опубликовали на GitHub: https://github.com/setersora/pe6208, https://github.com/DrieVlad/BAS-IP-vulnerabilities.
При майнинге криптовалют выполняются криптографические операции: хеширование и цифровые подписи (асимметричные криптоалгоритмы), поэтому оборудование для майнинга относится к шифровальному оборудованию. На все ввозимые/вывозимые в/из РФ средства, которые реализуют криптографические функции, требуется нотификация ФСБ России.
Также исходя из ранее заданного вопроса, хотели бы обратить внимание, что сертификация СрЗИ и нотификация ФСБ России на ввоз/вывоз шифровальных средств – это разные процедуры. Сертификации подлежат СрЗИ (не только шифровальные) при использовании на территории РФ, без привязки к их импорту/экспорту. Нотификация ФСБ России – процедура, касающаяся разрешения на экспорт/импорт шифровальных средств.
Добрый день!
Зависит от того, какие данные планируете шифровать. В соответствии с постановлением Правительства РФ от 26.06.1995 № 608 «О сертификации средств защиты информации» обязательной сертификации подлежат технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Дополнительно в постановлении Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП-1119) есть требование, которое гласит, что для обеспечения необходимого уровня защищенности персональных данных при их обработке в информационных системах обязательно использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, если применение таких средств необходимо для нейтрализации актуальных угроз.
Таким образом, если ваши данные не составляют государственную тайну и для вас неактуально требование ПП-1119, то сертификация для вас не является обязательной, так как для средств криптографической защиты, осуществляющих шифрование другой информации, обязательство по сертификации законом не установлено.
Добрый день!
Кейсы экспертов опубликуем в ближайшее время! :)
Да, конечно, неоднозначно. Такие инциденты, как с CrowdStrike, хоть и редко, но происходят. И тут лишний раз добавим про правила обновлений для компаний, которые помогут минимизировать риск ошибок и сбоев: тестируйте обновление в песочнице, отключайте автоматические обновления ПО, проверяйте обновление на совместимость и наличие уязвимостей, проверяйте производительность и функциональность. В случае с пользовательскими устройствами тоже такое случается. В феврале 2024 года у гаджетов Xiaomi, включая бренды Poco и Redmi, произошел масштабный сбой в операционной системе после ее обновления. У пользователей было два решения: либо полностью сбросить все настройки устройства, либо сдать его в сервисный центр. Чтобы избежать сюрпризов при обновлении программного обеспечения на личных устройствах, рекомендуется придерживаться похожих правил: регулярно создавать резервные копии данных, отключать автоматическое обновление ПО, прочитать отзывы и комментарии к обновлению.
Специально не сидят) Бывает, что в ходе реализации проекта эксперты замечают что-то интересное - иногда получается это раскрутить.
Спасибо за обратную связь! На самом деле, в новости описали две разные истории. Уязвимости BAS-IP обнаружили в ходе работы над проектом, подробно устройство не изучали. В случае PDU ATEN заметили необычное поведение в веб-интерфейсе, запросили образец устройства у партнёра и изучили внимательнее. Посмотрели, какие есть функции веб-интерфейса, как выглядят запросы и ответы, сформулировали ряд гипотез и проверили их. В процессе использовали в основном Burp Suite. Всю техническую информацию по обоим случаям опубликовали на GitHub: https://github.com/setersora/pe6208, https://github.com/DrieVlad/BAS-IP-vulnerabilities.
Спасибо большое, исправили! 9 июля вебинар.