Публикации

В данном разделе публикуются статьи по безопасности и защите бизнеса в России. Все статьи пишутся на основании интервью с экспертами, профессионалами в области безопасности. Здесь вы найдете публикации статей по технологиям безопасности бизнеса, а также все, что связано с защитой бизнеса в России.

Защита КИИ В ближайшие 3 года организациям, относящимся к ФЗ №187 от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации», необходимо спроектировать систему информационной безопасности и внедрить средства защиты значимых объектов КИИ в соответствии с требованиями ФСТЭК. Нарушение правил эксплуатации, согласно ст. 241 УК РФ, влечет за собой уголовную ответственность. Тайм-менеджмент в проекте по созданию системы защиты КИИ В ближайшие 3 года организациям, относящимся к ФЗ №187 от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации», необходимо спроектировать систему информационной безопасности и внедрить средства защиты значимых объектов КИИ в соответствии с требованиями ФСТЭК. Нарушение правил эксплуатации, согласно ст. 241 УК РФ, влечет за собой уголовную ответственность. Успешность реализации проекта зависит от глубокого планирования на всех стадиях – необходима строгая этапность и последовательность реализации. Эксперт Digital Design по информационной безопасности и защите КИИ Дмитрий Цветков разбил основные этапы проекта по тайм-лайну: проанализируйте, на каком этапе сейчас находитесь вы, что следует учесть и что делать дальше.   До конца 2018 года провести аудит и сформировать требования к защите КИИ Цель этого этапа – анализ текущего состояния ИС. За текущий год все более-менее с этим разобрались, но, напомним ключевые моменты из чек-листа. Прежде всего необходимо назначить ответственного и создать комиссию по КИИ, которая и определяет перечень информационных систем, обеспечивающих непрерывное функционирование критических процессов, – эти ИС и будут являться объектами критической информационной инфраструктуры (ОКИИ), согласно Постановлению Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ». Полученный перечень передается в ФСТЭК и согласовывается в течение пяти дней. После чего организации отведен один год на категорирование объектов. В течение года организациям, утвердившим перечень КИИ, необходимо установить категорию значимости для каждого объекта. Категория устанавливается на основе оценки возможных последствий вывода ИС из строя и актуальных угроз для ОКИИ. Результаты категорирования и методические указания также необходимо направить в ФСТЭК. ФСТЭК России формирует реестр значимых объектов на основании тех данных, которые предоставили организации. Любые сведения об изменении категории организации должны своевременно сообщать в ФСТЭК и раз в 5 лет организациям нужно будет повторять процесс категорирования и также сообщать об изменениях в ФСТЭК. Несмотря, на то, что в ПП 127 сроки на утверждение перечня объектов КИИ не установлены, есть решение Коллегии ФСТЭК России от 24.04.2018 №59, в котором озвучены сроки. Они в свою очередь доносятся на заседаниях по защите информации во всех субъектах РФ. Так, срок проведения категорирования объектов КИИ истекает 1 января 2019 г. Главной задачей 2019 года будет проектирование средств защиты С нового года организациям рекомендуется приступить к разработке концепции создания системы защиты инфраструктуры, и здесь также важна последовательность. Чтобы предотвратить кибератаки (напомним, что за нарушение правил эксплуатации КИИ грозит лишение свободы на срок от 2 до 10 лет), необходимо тщательно продумать комплекс мер по защите КИИ.     Порядок действий: 1. Рассматриваем существующие на рынке технические средства, которые могут войти в состав системы защиты КИИ: ●        Защита КИИ и АСУ ТП (Positive Technologies ISIM, Kaspersky Industrial CyberSecurity) ●        Защита периметра сети (РКСС, Alltel) ●        Защита веб-приложений, государственных и коммерческих порталов (Positive Technologies WAF) ●        Мониторинг и управление событиями ИБ (Positive Technologies SIEM) ●        Защита от утечек и несанкционированного доступа (SecretNet, Dallas Lock) ●        Защита приложений и систем (Positive Technologies, Код безопасности, Infowatch) ●        Защита платформ виртуализации (vGate, Dallas Lock) А также: ●        Многофакторная и усиленная аутентификация ●        Электронная цифровая подпись Важно: для создания системы необходимо использовать отечественное ПО и оборудование, прошедшие проверку в форме испытаний (ПиМИ) и сертифицированные средства защиты. 2. Разрабатываем концепцию и проводим оценку стоимости создания системы. Поскольку не все технические меры защиты можно реализовать, важно правильно расставить приоритеты – вначале защищаем периметр сети и готовим инфраструктуру (серверы, СХД, сетевые устройства, ПО, необходимые для последующего развёртывания СЗИ). 3. Разрабатываем частное техническое задание на создание системы. Если вы тщательно продумали концепцию создания системы защиты КИИ и учли непрерывное взаимодействия с ГосСОПКА, то на третьем этапе не должно возникнуть проблем. Лейтмотив 2020 года – эксплуатация СЗИ и подключение к ГосСОПКА На этом этапе необходимо: 1.       Разработать ОРД и пакет рабочих эксплуатационных документов. 2.       Развернуть средства защиты информации. 3.       Проанализировать уязвимости (как минимум на отсутствие угроз в БДУ ФСТЭК). 4.       Провести предварительные испытания СЗИ. 5.       Ввести в опытную эксплуатацию, согласно Приказу ФСТЭК от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ». 6.       По результатам внедрения необходимо дополнительно провести аудит соответствия существующих мер защиты на предмет отсутствия угроз информационной безопасности и полноты реализованных технических и организационных мер и передать систему в промышленную эксплуатацию. 7.       Подключить к ГосСОПКА. Начиная с 2022 – поддержка и развитие системы защиты КИИ  В рамках эксплуатации систем информационной безопасности инфраструктуры организации предлагается сформировать план график мероприятий, направленных на: ●        совершенствование и развитие систем информационной безопасности; ●        выполнение плановых проверок (аудитов) реализованных мер защиты с внесением изменений в параметры настройки, рабочую и эксплуатационную документацию; ●        пересмотр критических для обеспечения деятельности предприятия процессов и объектов КИИ; ●        архивирование и уничтожение информации о средствах защиты вышедших из эксплуатации систем.

Видео-фиксация для системы контроля в АСУ «Зерно» Цель проекта: Распознавание автономеров с применением собственного ПО в системе АСУ весовой; Видеофиксация наличия или отсутствия груза в кузове автотранспорта в процессе взвешивания; Видеофиксация проботбора внутри кузова автотранспорта; Предоставление кадров для фото фиксации автотранспорта и автоматического распознавания гос.номеров, с интеграцией в 1С.Информацию прислал bobrovabeward

О проекте ТелПоиск ТелПоиск (Телефон-Поиск) - это услуга по сбору и анализу сведений о номерах телефонов, полученных из общедоступных источников информации, с целью установления вероятного пользователя телефона, а также его примерного местоположения, перемещений, используемых онлайн-сервисов, дополнительных контактов и мобильных телефонов, находящихся поблизости.Информацию прислал exspy

РИСКИ ДЛЯ КРИПТОБИЗНЕСА Риск №1. Обман при покупке криптовалюты. Это один из самых распространенных рисков для начинающих криптобизнесменов. Людям предлагают купить биткоины или любую другую криптовалюту, а ее даже нет. Злоумышленники обещают, что покупатели получат 50% прибыль в короткое время. Мошенничество работает потому что большая часть людей ничего не знает о криптовалютах и тем более о том, как обезопасить себя при совершении криптосделок. Интерес к криптовалюте у населения настолько велик, что им пользуются даже уличные кидалы, которые продают на улицах некие монеты - "физические эквиваленты биткоина".Информацию прислал exspy

Как вычислить номинального директора? Номинальный директор предприятия - формальный руководитель, в то время как истинным владельцем и руководителем фирмы является другое лицо. В российском законодательстве официальное определение и статус номинального руководителя отсутствуют. Тем не менее использование "номиналов" в целях мошенничества, отмывания и обналичивания денежных средств, а также сокрытия налогов ежегодно обходится казне и бизнесу в миллиарды рублей убытков.Информацию прислал exspy

О давлении на Телеграм. Мысли вслух. Сегодня много говорят о возможной блокировке мессенджера Телеграм в России. Мотивируют необходимость такой блокировки нежеланием его владельца Павла Дурова идти на диалог с властью, указывают на нейтральное отношение Дурова к использованию его мессенджера террористами.Информацию прислал exspy

Любителям схемы "бросать фирму с долгами": лафа закончилась. 28 июня 2017 года вступит в силу ФЗ-488 "О внесении изменений в отдельные законодательные акты РФ". Этот закон внесёт серьёзные изменения в закон от 08.02.1998 года № 14-ФЗ "Об обществах с ограниченной ответственность", также в закон от 08.08.2001 года N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" и в закон от 26.10.2002 года N 127-ФЗ "О несостоятельности (банкротстве)".Информацию прислал exspy

ЗАБЛОКИРУЮТ ЛИ VPN И TOR В РОССИИ? Законопроект о запрете VPN-сервисов и анонимайзеров – постановка и закрытие ворот в чистом поле?Информацию прислал exspy

Почему назрели изменения в системе оценки контрагентов? На сегодняшний день в России работает около 30-ти онлайн-сервисов, предназначенных для проверки субъектов предпринимательства. Они обслуживают большинство действующих предприятий, ежедневно поставляя им информацию о потенциальных и действующих контрагентах. И тем не менее, использование их не дает бизнесу надежной защиты. Разберемся почему.Информацию прислал exspy

«Инфосистемы Джет» усовершенствовали контроль доступа к корпоративным ресурсам компании «Юнипро» Энергетическая компания «Юнипро» и компания «Инфосистемы Джет» запустили в эксплуатацию новую систему управления идентификацией и контроля прав доступа пользователей (Identity and Access Managemnt – IAM). Ускорились процессы согласования заявок на доступ сотрудников к информационным ресурсам. Контроль правомерности предоставляемых прав доступа стал более полным, благодаря чему снизились риски информационной безопасности. Сохранение информации о согласованных, предоставленных и отозванных правах упрощает расследование случаев нарушения правил информационной безопасности.Информацию прислал jet

Информационные войны конца 2016 Хотите знать, что объединило в 2016 году такие бренды, как "Сбербанк" и "Вимм Билль Данн"? Они оба приняли участие в информационном противодействии, в результате которого понесли значительный материальный и репутационный ущерб.Информацию прислал exspy

Проверка персонала - мнение HR Все мы неоднократно сталкивались с проверкой при приеме на работу. Это нормальная бизнес-процедура, призванная оградить предприятие и остальных сотрудников от внутренних угроз, которые может нести нанимаемый сотрудник. Однако, не все понимают суть такой проверки однозначно. Именно поэтому мы провели специальную фокус-группу среди сотрудников отделов кадров и кадровых агентств. Мы спросили их: "А как относятся к проверке персонала у вас?"Информацию прислал exspy

Два месяца с PRISM Прошло уже достаточно времени с начала нашего бета-тестирования онлайн-сервиса PRISM. Настало время поделиться первыми впечатлениями и выводами. Самый главный вывод — система очень крутая и она имеет все шансы, после выхода на рынок, изменить баланс в услугах проверки персонала от частных детективов и служб безопасности к автоматике. И это очень важно, т. к., по сути, мы присутствуем сейчас на становлении новой эпохи в кадровой безопасности предприятий.Информацию прислал exspy

Инфосистемы Джет выполнили комплексное оснащение нового офиса газеты «Известия» Газета «Известия» и компания «Инфосистемы Джет» завершили работы по комплексному оснащению нового офиса редакции. В кратчайший срок - всего за 1 месяц - помещение нового офиса было оснащено рабочими местами, необходимой инженерной и телекоммуникационной инфраструктурой.Информацию прислал jet

Рынок обнала ждут пертурбации В ближайшее время рынок незаконного обналичивания денежных средств ждут пертурбации. В первую очередь стоит сказать об изменении самой стоимости данного вида финансовых услуг. Цена обналички вырастет и установится на сумме не менее 10% от обналичиваемой суммы денег. Каковы причины?Информацию прислал exspy

Статьи журнала "Директор по безопасности"

Финансовая служба и экономическая безопасность предприятия Можно считать, что финансовая служба в силу обычно осуществляемых ею функций фактически задействован...	Берегись: непонятный и непредсказуемый пожарный инспектор Кого касается пожарная безопасность? Законодательством установлен круг лиц, ответственных за соблюд...
Действия при прибытии налоговой инспекции Инвентаризация имущества налогоплательщикаИнвентаризация имущества налогоплательщика, как отмечалось...	Должна ли распределяться ответственность за управление информационными рисками в организации Что такое информационные риски Использование новых технологий, вхождение в сферу облачных вычислени...