✅ Новостной дайджест короткой прошедшей недели 😉

🗣Для дропперов введут уголовную ответственность
Согласно предлагаемым изменениям, дропперам и их посредникам за мошеннические действия может быть назначен срок до шести лет со штрафом от 300 000 до 1 млн рублей.

🗣В правительстве представили перечень обезличенных персональных данных, которые могут быть собраны в исключительных случаях
Согласно постановлению, которое вступит в силу с 1 сентября 2025 года, последующая обработка таких данных не позволит определить их принадлежность конкретному субъекту ПДн.

🗣Завершился отбор вузов для подготовки специалистов в области искусственного интеллекта с 2025 по 2030 год
Обучение будет проходить вместе с крупными ИТ- и ИИ-компаниями, что позволит ориентироваться на реальные потребности индустрии и решать настоящие бизнес-кейсы в ходе обучения.

🗣Правительство представило результаты разработки промышленного ПО
Для развития данного направления были запущены 36 промышленных центров компетенций, которые способствуют совместной работе разработчиков и заказчиков.

🗣В России предложили создать единую рабочую группу, которая займётся разработкой стандартов защиты в области биометрии
По мнению экспертов, одна из главных уязвимостей — момент первичной сдачи биометрии: если злоумышленник использует поддельный документ, то получает доступ к чужой цифровой личности.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣 Вебинар «Как оценить финансовый ущерб от инцидента»

📅 21 мая
⏰ 11:00 (МСК)

По итогам 2024 года финансовые организации остаются одной из наиболее привлекательных целей для злоумышленников. Растущее число кибератак и их усложнение — факторы, заставляющие компании уделять особое внимание вопросам кибербезопасности.

Тем не менее, отсутствие четких механизмов фиксации киберинцидентов и неопределенность в оценке потенциального ущерба ставит перед руководством компаний сложные вопросы по планированию бюджета на информационную безопасность, учету расходов на восстановление данных, простою бизнеса в период атаки и устранению последствий.

📌 На вебинаре Сергей Шленский, руководитель практики по ИБ AKTIV.CONSULTING, разберет:
☁️ Как рассчитать реальную стоимость финансового ущерба от киберинцидента.
☁️ Какие методики и метрики использовать для объективной оценки потерь в компании.
☁️ Что делать для предотвращения инцидентов и минимизации возможных потерь.
☁️ Как превратить анализ ущерба в аргумент для инвестиций в ИБ через риск-ориентированный подход.

📌 Кому будет интересно: ИБ-директорам, ИТ- и ИБ-специалистам, связанным с управлением рисками.


🔗 Регистрация


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

❔ Как правильно оформить NDA, чтобы защитить коммерческую тайну

Несмотря на то, что нормативно-правовые акты, касающиеся обеспечения безопасности коммерческой тайны уже много лет остаются неизменными, вопрос ее защиты актуален для множества компаний. Одним из механизмов защиты коммерческой тайны является NDA («non-disclosure agreement») – в переводе «соглашение о неразглашении».

Сегодня мы хотим рассмотреть NDA в призме законодательства Российской Федерации.

Что такое NDA с точки зрения законодательства Российской Федерации?
☁️ NDA является гражданско-правовым договором и в первую очередь регулируется Гражданским кодексом - условия NDA не должны противоречить принципу свободы договора (ст. 421 ГК РФ).
☁️ В законодательстве Российской Федерации не установлена форма NDA – соглашение составляется в свободной форме (ст. 434 ГК РФ).


NDA в первую очередь необходимо для защиты коммерческой тайны. В случае, если соглашение было нарушено, пострадавшая сторона имеет право обратиться в суд (ст. 138 УК РФ). Чтобы подтвердить факт нарушения NDA, пострадавшая сторона в суде обязана доказать, что разглашенная информация являлась коммерческой тайной.
☁️ Обладатель информации имеет право передавать ее другим лицам по договору (п. 3, ч. 3, ст. 6 149-ФЗ).
☁️ Обладатель информации обязан применять меры защиты информации при осуществлении своих прав (п. 2, ч. 4, ст. 6 149-ФЗ).
☁️ Обладатель информации имеет право отнести ее к коммерческой тайне (ч. 1, ст. 4, 98-ФЗ).
☁️ Права обладателя информации начинаются только тогда, когда он установит режим коммерческой тайны в отношении этой информации (ч. 1, ст. 6.1 98-ФЗ).
☁️ Режим коммерческой тайны считается установленным только при соблюдении всех мер, приведенных в ст. 10 98-ФЗ.

Таким образом, в целях сохранности вашей коммерческой тайны при подписании NDA необходимо убедиться, что в отношении такой информации приняты все меры в соответствии с законодательством Российской Федерации.

#Анастасия_Калиничева


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

✅ Новостной дайджест прошедшей недели

Минцифры ужесточает требования, ИИ выходит на промышленные рельсы, бизнес обсуждает правила игры в расследовании утечек. Что ещё происходит в ИБ и цифровом регулировании — собрали в кратком дайджесте.

🗣В Роскомнадзоре призвали компании до 30 мая сообщить обо всех утечках личных данных
После этой даты в силу вступят поправки в законодательство, увеличивающие штрафы за такие инциденты.

🗣Минэнерго: около 70% предприятий ТЭК к 2027 году будут применять технологии ИИ в различных процессах
В ведомстве подчеркнули, что к концу 2024 года 58% российских компаний уже внедрили технологии ИИ, что вдвое больше, чем в 2022 году.

🗣Бизнес предлагает освободить от уголовной ответственности компании, расследующие утечки персональных данных
Предполагается, что на организации, которые ведут расследования о компрометации информации своих клиентов, не будет распространяться действие уголовной статьи за хранение незаконно полученных данных.

🗣Минцифры ужесточило требования к организациям при подключении информсистем к инфраструктуре электронного правительства
Требования направлены на усиление защиты информации, в том числе защиту персональных данных и снижение риска их неправомерной обработки.

🗣Минпромторг и Минэк проведут эксперимент по обороту промышленных данных
После его завершения планируется подготовить соответствующее нормативное регулирование отрасли.

🗣Исследование: только треть россиян знают о значениях сокращений «кибербез» и ИБ
При этом подавляющее большинство граждан хорошо знакомы с аббревиатурой IT, а также понятиями «цифровая безопасность» и «фишинг».

🗣В России хотят внедрить искусственный интеллект в региональные аналоги «Госуслуг»
По итогам эксперимента будет сформулирован перечень рисков, связанных с внедрением ИИ, и рекомендации по обеспечению информационной безопасности периметра информсистем.

🗣Почти 40% промышленных предприятий в мире считают кибербезопасность ключевой задачей цифровизации
Среди главных рисков — недостаточные меры защиты, нехватка ресурсов, сложная интеграция ИТ- и OT-систем и рост регуляторных требований.



💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🔥 Смотрите свежий второй выпуск «Безопасный выход. Новости»

🎙 Его ведущими стали Владислав Крылов и Никита Козин — консультанты по информационной безопасности AKTIV.CONSULTING.

В каждом выпуске ведущие будут обсуждать новости из мира ИТ, ИБ и ИИ, которые они не только обсудят, но и присвоят им личный рейтинг.

Смотрите новостной выпуск, и вы узнаете:
🟠Как провайдер Lovit восстановил доступ в сеть после крупной DDoS-атаки
🟠Почему «Роснефть» создает роботов для диагностики нефтехимического оборудования
🟠Зачем «1С-Битрикс» создала реестр решений сторонних разработчиков с выявленными уязвимостями
🟠Когда банковские приложения оснастят «красной кнопкой» для жертв хищений

📺 VK Видео

📺 Rutube

📺 YouTube

#подкаст #Безопасныйвыход #новости

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

⚡️ Какие шаги должны предпринять кредитные организации, чтобы соответствовать новым требованиям Положение 850

Последствия для кредитных организаций
1️⃣ Пересмотр внутренних документов
➡️ Нужно актуализировать политики управления операционными рисками и регламенты реагирования на инциденты.

2️⃣ Обновление систем мониторинга
➡️ Требуется внедрить контроль новых метрик (Сигнальные и контрольные) и обеспечить их соблюдение.

3️⃣ Повышенное внимание к аутсорсингу
➡️ Необходимо усилить контроль за поставщиками ИТ-услуг и их влиянием на критичные процессы.

4️⃣ Тестирование и аудит
➡️ Регулярное тестирование на устойчивость к кибератакам и сбоям инфраструктуры становится обязательным.

5️⃣ Подготовка отчётности
➡️ Ужесточены требования к фиксации инцидентов и передаче данных в ЦБ.

Что делать сейчас?
☁️ Провести аудит текущих процессов — Оценить соответствие новым требованиям, особенно в части критичной архитектуры. Сравнить текущие процессы с новыми требованиями.
☁️ Обновить реестр технологических процессов — включить внешние сервисы и филиалы.
☁️ Настроить мониторинг — внедрить контроль новых KPI (допустимая доля деградации, время простоя).
☁️ Провести тестирование. Организовать сценарные проверки на устойчивость к сбоям и кибератакам.
☁️ Провести обучение сотрудников — особенно по работе с инцидентами и внутренними угрозами.
☁️ Подготовиться к проверкам ЦБ — убедиться, что все изменения документально зафиксированы.

#Дмитрий_Башков


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

⚡️ Банк России опубликовал на своем сайте Положение 850 вместо Положения 787 от 12.01.2022.

Положение 850 содержит требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг, данное положение является обязательным для кредитных организаций и иностранных банков, осуществляющих деятельность на территории РФ через свои филиалы.

Дмитрий Башков, руководитель направления по работе с клиентами AKTIV.CONSULTING, кратко разобрал основные изменения, включенные в новое Положение ⬇️

Основные изменения
1️⃣ Расширение круга организаций (п. 1 850-П)
➡️ В 850-П добавлены филиалы иностранных банков, которые теперь должны соблюдать те же требования, что и российские кредитные организации.

2️⃣ Новые требования к технологическим процессам (Приложение 1)
➡️ Уточнены пороговые уровни простоя для разных типов организаций (банки с универсальной/базовой лицензией, НКО, филиалы иностранных банков).
➡️ Например, для переводов юрлиц порог простоя для значимых на рынке платежных услуг снижен до 2 часов (ранее — 4 часа).

3️⃣ Новые метрики: Сигнальные и контрольные значения деградации (Приложение 2)
➡️ Введены новые метрики для оценки операционной надежности.
➡️ Сигнальные метрики: Порог раннего предупреждения. При его достижении кредитная организация должна усилить мониторинг процесса, но критические последствия пока не наступают.
➡️ Контрольное значение: Критический порог. Его превышение означает нарушение требований Банка России и требует немедленных корректирующих мероприятий
➡️ Например, для банков с активами >= 500 млрд руб. сигнальное значение деградации процесса переводов — 0,90, контрольное — 0,80.

4️⃣ Более жесткие требования к значимым игрокам (п. 4 850-П)
➡️ Для кредитных организаций, признанных значимыми на рынке платежных услуг, установлены отдельные, более строгие пороговые значения времени простоя и деградации процессов.

5️⃣ Уточнение терминологии
➡️ "Критичная архитектура" — совокупность элементов, обеспечивающих выполнение технологических процессов (ИТ-инфраструктура, подразделения, каналы передачи данных и др.).
➡️ "Допустимая доля деградации" — отношение операций, выполненных с нарушениями, к общему количеству операций.

6️⃣ Ужесточение требований к управлению рисками (п. 7 850-П)
➡️ Добавлены требования к нейтрализации угроз со стороны внутренних нарушителей и поставщиков ИТ-услуг.
➡️ Обязательное тестирование операционной надежности и сценарный анализ рисков.

7️⃣ Учет элементов критичной архитектуры (п. 7.1 850-П)
➡️ Теперь необходимо вести реестр технологических процессов, включая те, что реализуются внешними подрядчиками.

8️⃣ Новые обязанности по информированию ЦБ (п. 13 850-П)
➡️ Кредитные организации должны оповещать ЦБ об инцидентах (если простой превышает 5 минут) и планируемых публичных коммуникациях.

#Дмитрий_Башков


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🫥 Загрузка в ИБ — рубрика, в которой специалисты AKTIV.CONSULTING делятся профессиональным опытом, рассказывают, как пришли в ИБ, с какими вызовами столкнулись и что помогает им развиваться.

Герой этой серии: Анастасия Калиничева, специалист по информационной безопасности.

В карточках профессиональный путь Анастасии от мечты о карьере в ИТ до осознанного выбора ИБ-консалтинга. Она делится тем, как развивает экспертизу в проектах и что ее вдохновляет.

Сейчас мы ищем в команду специалиста по ИБ. Подробнее о вакансии — по ссылке.
Полное интервью Анастасии читайте тут.

#Анастасия_Калиничева #работа_в_консалтинге


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🙅‍♂️ Как придать коммерческой тайне юридический статус

В первой части мы разобрали, что считается коммерческой тайной и почему ее защита важна.

Теперь — о практическом: как оформить режим КТ юридически и выстроить защиту так, чтобы она работала не только на бумаге, но и в суде.

Как придать коммерческой тайне в компании юридический статус
Чтобы защитить конфиденциальную информацию, недостаточно просто ограничить к ней доступ. Важно придать ей юридический статус, следуя требованиям законодательства. Это позволит не только предотвратить утечки, но и обеспечит правовую основу для защиты информации в случае ее неправомерного использования.

Режим коммерческой тайны устанавливается при соблюдении ряда условий (ст. 10 Закона № 98-ФЗ):
☁️ Определение перечня информации, относящейся к коммерческой тайне;
☁️ Установление порядка работы с этой информацией и механизмов контроля за ее использованием;
☁️ Разработка системы учета сотрудников и контрагентов, имеющих доступ к конфиденциальным сведениям;
☁️ Договорное регулирование вопросов, связанных с использованием и защитой информации;
☁️ Маркировка носителей информации с использованием грифа «Коммерческая тайна».

Если организация не выполняет эти требования, она не сможет ссылаться на коммерческую тайну в случае судебных разбирательств, а информация может быть признана не защищенной законом.

Почему защита коммерческой тайны важна?
Внедрение режима коммерческой тайны позволяет компании:
☁️ Предотвращать утечки и защищать конфиденциальную информацию от конкурентов и злоумышленников;
☁️ Минимизировать юридические риски, исключая возможность признания сведений незащищенными в судебных спорах;
☁️ Обеспечить контроль за доступом сотрудников и контрагентов к критически важным данным;
☁️ Соблюдать законодательные требования, избегая штрафов и других санкций.

Если ваша компания еще не внедрила меры по защите коммерческой тайны, рекомендуется начать с разработки локальных нормативных актов, внедрения ограничений доступа и обучения сотрудников правилам работы с конфиденциальной информацией. Это поможет не только защитить бизнес, но и обеспечить его устойчивое развитие в условиях рыночной конкуренции.

#Артем_Денисов


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🎮 Учиться взламывать, чтобы защищать: где белым хакерам легально прокачать скилл

Сегодня все больше растет популярность игр и симуляторов, позволяющих изучать кибербезопасность и легально практиковаться в этой сфере. Современные обучающие платформы предоставляют полноценную среду для освоения реальных инструментов и техник.

✅ Telehack
Симулятор старой школы: сеть 1980-х, 26 000 виртуальных хостов, команды Telnet и атмосфера BBS. Отличное место, чтобы прокачать командную строку и получить опыт «как раньше».

✅ OverTheWire
Серия игр для новичков и не только. Всё начинается с SSH-доступа и базовых команд, но постепенно задачи усложняются, и к концу вы уже уверенно чувствуете себя в Linux-среде.

✅ PicoCTF
Если хочется соревноваться — это сюда. Классический CTF-формат, где решаются реальные задачи: веб-взлом, форензика, криптография, бинарный анализ.

✅ Виртуальные лаборатории TryHackMe и HackTheBox
Полноценные виртуальные лаборатории. Настраиваете собственную сеть, ищете уязвимости, тестируете инструменты. Здесь нет единственного правильного решения — только вы, задача и ваша находчивость.

Такие платформы не заменят боевой практики, но создают максимально приближенные к реальности условия — и в легальном, безопасном формате. Отличный старт для тех, кто хочет больше, чем просто читать про уязвимости.

#пентест #анализ_защищенности


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

💼 Что такое коммерческая тайна и зачем она нужна?

Регулирование коммерческой тайны в России осуществляется законодательными актами, главным из которых является Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне». Этот закон определяет правовые основы защиты конфиденциальной информации и устанавливает порядок введения режима коммерческой тайны в организации.

Коммерческая тайна (КТ) — это режим конфиденциальности информации, который позволяет ее обладателю повысить доходы, избежать неоправданных расходов, сохранить конкурентное преимущество или получить иную коммерческую выгоду. Законодательство, регулирующее защиту коммерческой тайны, включает Трудовой кодекс Российской Федерации и Федеральный закон № 98-ФЗ.

Грамотно организованный режим коммерческой тайны помогает предотвратить экономические потери, вызванные утечками информации, промышленным шпионажем или недобросовестной конкуренцией. Контроль над конфиденциальными сведениями снижает инсайдерские риски и дает компании юридическую основу для защиты своих интересов в случае их нарушения.

Ключевые признаки коммерческой тайны
Информация может считаться коммерческой тайной, если она отвечает следующим критериям:
☁️ Принадлежит индивидуальному предпринимателю или юридическому лицу, занимающемуся коммерческой деятельностью;
☁️ Обладает коммерческой ценностью, то есть дает компании конкурентное преимущество или влияет на ее финансовые показатели;
☁️ Неизвестна третьим лицам, не имеющим законного доступа;
☁️ Доступ к информации ограничен определенной группой лиц;
☁️ Приняты меры для ее защиты (например, организационные, технические или правовые).

В следующем посте мы разберем, как придать коммерческой тайне юридический статус в компании и почему ее защита важна не только с точки зрения безопасности, но и критична для соблюдения законодательства и устойчивости бизнеса.

#Артем_Денисов


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

✅ Новостной дайджест прошедшей недели

🗣Минцифры подготовило правила работы по обезличиванию персональных данных
Операторам данных предложили пять методов обезличивания, которые будут проводиться только через софт министерства.

🗣Ассоциация больших данных создала методику оценки зрелости процессов по защите информации
Документ должен помочь компаниям оценить внутренние процессы работы с данными и уровень их защищенности.

🗣Банк России разрабатывает ряд инструментов для увеличения прозрачности обмена информацией
Одним из таких инструментов станет «единое окно», в котором человек сможет управлять согласиями на предоставление персональных данных.

🗣Киберпреступники начали использовать методы двойного и тройного вымогательства против компаний
Помимо шифрования данных злоумышленники крадут информацию и угрожают ее публикацией либо начинают DDoS-атаки на жертву.

🗣Минцифры рассматривает отказ от хранения любых данных с портала «Госуслуги»
Глава министерства сообщил, что это должно произойти к 2026 году.

🗣Почти половина опрошенных россиян считает недостаточной защиту умных устройств
В то же время, согласно опросу ВТБ, 10% респондентов вообще не знают, что утечка данных с таких устройств возможна.

🗣Российский суд впервые оштрафовал банк за использование иностранного мессенджера для отправки персональных данных
Сумма штрафа составила 200 тысяч рублей, сообщили в Роскомнадзоре.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🌐 Обход аутентификации в веб-приложениях

Сегодня предлагаю поговорить о критической уязвимости – обходе аутентификации в веб-приложениях, как злоумышленники находят способы получить доступ к системе без легитимных учетных данных, и к каким последствиям для организации это может привести.

↖️ Основные векторы атак:
• Манипулирование HTTP-заголовками – это внедрение собственных HTTP-заголовков и создание поддельных HTTP-ответов;
• Манипулирование cookie – это подмена, удаление и редактирование файлов cookie;
• Уязвимости в механизмах восстановления пароля – недостаточная сложность вопросов, зависимость от секретности алгоритма или метода, а также отсутствие ограничений для восстановления пароля;
• SQL-инъекции – это атака с внедрением вредоносного SQL-кода в веб-приложение, который исполняется на сервере;
• XSS-атаки – межсайтовый скриптинг, веб-атака, заключающийся во внедрении на страницу сайта или приложения вредоносного кода, который при открытии пользователем поражённой страницы, взаимодействует с удаленным сервером злоумышленника;
• Перехват и фиксация сеансов – это атаки, во время которых злоумышленник перехватывает управление сеансом пользователя или устанавливает для жертвы определённый идентификатор сеанса, что позволяет ему выполнять действия от его имени.

🔓 Какие меры стоит предпринять:
• Внедрить многофакторную аутентификацию;
• Использовать шифрование данных (версия TLS не ниже 1.2);
• Установить лимиты количества попыток входа в систему в течение короткого промежутка времени и реализовать временную блокировку;
• Ограничьте количество одновременных сессий;
• Регулярно обновлять программное обеспечение;
• Регулярно проводить работы по тестированию на проникновение.

📌 Последствия обхода аутентификации в веб-приложении злоумышленником могут привести к нежелательным последствиям – от утечки данных до полного компрометации системы.

👉 Мы рекомендуем инвестировать в безопасность на этапе разработки, а не после инцидента, ведь даже одна уязвимость в механизме аутентификации может привести к серьезным последствиям и стоить для организации очень дорого.

#Артем_Храмых


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🗣Меры по управлению рисками реализации информационных угроз и технологической зависимости

В прошлом году ЦБ РФ представил Методические рекомендации №7-МР, которые предписывают на протяжении нескольких лет осуществить внедрение требований ГОСТ Р 57580.4 по обеспечению операционной надежности (ОН).

В данном документе есть важный раздел «Процесс 4. Взаимодействие с поставщиками услуг», где описываются меры по управлению различными рисками ОН: рисками реализации информационных угроз и рисками технологической зависимости. Рассмотрим каждую из данных мер подробнее.

Меры по управлению рисками реализации информационных угроз направлены на предотвращение вторжений и компьютерных атак на ИТ-инфраструктуру заказчика из ИТ-инфраструктуры поставщика.

Тезисно данные требования можно описать следующим образом:

1️⃣ Организация защиты от компьютерных атак.

2️⃣ Меры по обеспечению безопасности цепочки поставок:
• оценка репутации и благонадежности поставщиков;
• обеспечение транспарентности и оценки уровня зрелости процессов поставщиков;
• проведение независимого аудита;
• оценка программ безопасности на этапах жизненного цикла объектов информационной инфраструктуры.

3️⃣ Обеспечение опернадежности технологических процессов, переданных на аутсорсинг:
• заключение соглашений о конфиденциальности (NDA) и уровне сервиса (SLA);
• заблаговременная проработка альтернативных поставщиков и гарантий технической поддержки.


Меры по управлению рисками технологической зависимости направлены прежде всего на диверсификацию рисков между несколькими поставщиками. Среди основных требований:

1️⃣ Диверсификация риска по государственной принадлежности.

2️⃣ Обеспечение гарантийной технической поддержки (ТП) на весь срок эксплуатации объектов информационной инфраструктуры (ОИИ).

3️⃣ Установление требований защиты информации и операционной надежности к приобретаемым ОИИ.

4️⃣Выявление ОИИ с близким сроком завершения жизненного цикла (т.н. «end-of-life»).

5️⃣Организация самостоятельной ТП применяемых ОИИ.

6️⃣ Организация технического обслуживания ОИИ прикладного и инфраструктурного уровней, а именно:
• регистрация всех событий безопасности при ТО;
• проведение ТО в соответствии с техническими требованиями;
• тестирование работоспособности ОИИ после завершения ТО.

7️⃣ Контроль удаленной ТП:
• применение многофакторной аутентификации;
• регистрация всех событий безопасности при ТП;
• гарантированное завершение сессий по завершении ТП;
• подключение через VPN с ОИИ с аналогичным уровнем защиты, что и у ОИИ заказчика.

8️⃣ Определение квалификационных требований к ТП.

❗️ Данная работа должна выстраиваться системно, начиная от установки требований по защите информации и ОН в явном виде, требований к квалификации персонала, и заканчивая усиленным контролем за действиями конкретного инженера ТП поставщика, регистрацией всех событий безопасности, контролем за его действиями.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

📣 Методические указания по категорированию ОКИИ в сфере связи ➤

Опубликованы Методические указания по категорированию объектов критической информационной инфраструктуры, принадлежащих субъектам критической информационной инфраструктуры, осуществляющим деятельность в сфере связи.
Указанные Методические указания, разработаны с учетом перечней типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере связи, и согласованы с ФСТЭК России.

Нашли созвездие A.C? Это AKTIV.CONSULTING поймал связь с космосом! 🛰

💫 Ко Дню космонавтики подготовили короткую викторину о космосе и технологиях.
Проверьте, насколько вы ближе к звездам.

«Поехали!»


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

✅ Новостной дайджест прошедшей недели

🗣В России разрабатывают проект законодательного регулирования искусственного интеллекта
Он запрещает системы с «неприемлемым уровнем риска», вводит маркировку контента и ответственность разработчиков за вред, нанесенный нейросетями.

🗣«МегаФон» предложил создать стандарт борьбы с телефонными мошенниками
Предполагается, что при соблюдении такого стандарта операторы не будут нести ответственность за нанесенный злоумышленниками ущерб.

🗣Прогноз: минимум 600 тыс. ИТ-специалистов потребуется России до 2030 года
По словам экспертов, на сегодняшний день любая компания, которая занимается бизнесом в РФ, должна иметь специалиста по ИТ-технологиям, либо нанимать на аутсорс такие услуги.

🗣В Госдуме предупредили о росте числа хакерских атак на API-интерфейсы
Злоумышленники активно ищут слабые места в неправильно настроенных API-интерфейсах, чтобы получить доступ к конфиденциальным данным онлайн-сервисов.

🗣Исследование: 46% опрошенных ИТ-специалистов доверяют российским AI-сервисам
Более 70% специалистов применяют AI-сервисы как минимум раз в неделю, а среди основных сценариев взаимодействия — работа с кодом, генерация текстов, поиск информации и анализ данных.

🗣Роскомнадзор порекомендовал использующим VPN компаниям отказаться от иностранных протоколов шифрования
В случае технической необходимости их использования нужно направить заявление в Центр мониторинга и управления сетью связи общего пользования, подведомственный РКН.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

❓ Готовы к большим изменениям в сфере КИИ?

Ранее мы уже писали о том, что Госдума приняла во втором и третьем чтениях поправки в 187-ФЗ.

Сейчас же, 7 апреля 2025 года, федеральный закон 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» был подписан.

Отныне все значимые объекты критической информационной инфраструктуры должны будут использовать только то ПО, которое внесено в реестр российского софта. Особое внимание уделяется требованиям к программно-аппаратным средствам и механизму категорирования объектов КИИ.

Ключевые изменения:
➡️индивидуальные предприниматели больше не являются субъектами КИИ и освобождены от выполнения требований по защите объектов КИИ

➡️в банковском и финансовом секторах все требования к используемым на значимых объектах критической информационной инфраструктуры программно-аппаратным средствам будут согласовываться с Банком России;

➡️ФСБ России получает расширенные полномочия: устанавливает порядок установки и эксплуатации средств защиты, разрабатывает процедуры информирования о кибератаках и инцидентах.

Настоящий федеральный закон вступает в силу с 1 сентября 2025 года.

Как вы оцениваете готовность ваших организаций к такому масштабному переходу?

#Владислав_Крылов

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

Кот ГОСТик тоже старается удержать баланс между hard и soft skills. А что прокачиваете чаще вы?

👍— hard skills
🔥— soft skills


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🧩 В современном мире руководители признают, что soft skills сотрудников не менее важны, чем hard skills. Компании стремятся нанимать специалистов с развитыми soft skills, но из-за их дефицита на рынке труда многие развивают эти навыки уже после приёма на работу.

Почему soft skills так важны для работы в команде?
Soft skills включают в себя эмоциональный интеллект, самоконтроль, эмпатию, тайм-менеджмент, умение принимать решения и чувство юмора. Эти навыки помогают сотрудникам эффективно работать в команде, управлять своим временем и профессионально расти. Они способствуют формированию благоприятного психологического климата в коллективе, что в свою очередь снижает количество конфликтов между коллегами и заказчиками.

Кроме того, развитие soft skills помогает:
☁️Выстраивать эффективные коммуникации.
☁️Успешно решать конфликты.
☁️Воспитывать лидеров внутри компании.
☁️Повышать стрессоустойчивость.
☁️Развивать творческое мышление.
☁️Увеличивать производительность работы благодаря навыкам тайм-менеджмента.

Как повысить уровень soft skills?
Процесс обычно строится по схеме «знание — умение — навык»:
☁️Руководитель или HR-отдел определяет области, требующие улучшения.
☁️Объясняют сотрудникам важность развития soft skills и приводят примеры, как эти навыки помогают в карьерном росте.

После выявления слабых мест совместно с сотрудниками подбираются инструменты, которые помогут прокачать soft skills: это могут быть книги, курсы, тренинги и т.д.

Работа, направленная на развитие soft skills, должна оцениваться и определяться в рамках системы грейдов. Для того, чтобы сотрудник понимал, как развитие определенных навыков будет помогать в его работе, поддерживания и развивая hard skills.

Приведу несколько практических примеров того, как это решено в нашей компании.
☁️Ежемесячные митапы помогают нам учиться навыкам публичных презентаций, работы с контентом и ораторскому искусству.
☁️Для будущих управленцев компания предоставляет возможность корпоративного обучения, включающего психологические аспекты командообразования, постановку целей по SMART, типы организационной культуры, приемы эффективного тайм-менеджмента и т.д.

Подытожим: развитие персональных soft skills сотрудников играют важную роль в успехе всей команды. Они помогают формировать благоприятный психологический климат, избегать конфликтов и повышать производительность.

#Сергей_Сугоняев


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

⌨️ Инструменты для пентеста

Продолжаем делиться относительно новыми утилитами для OSINT и инструментами для Blue Team, которые за последние пару лет стали частью ОС Kali Linux. Разбираемся, когда и для каких задач стоит их применять.

OSINT-инструменты:
🌙Findomain — инструмент для поиска субдоменов. Использует логи Certificate Transparency и API сервисов для быстрой разведки.
🌙H8mail — утилита, предоставляющая возможные пароли для указанного почтового ящика на основе баз данных. Может использоваться для проверки повторного использования паролей.
🌙ReconSpider — продвинутый фреймворк для OSINT. Позволяет сканировать IP-адреса, email-адреса, сайты и собирать информацию из разных источников.
🌙Autorecon — многопоточный инструмент сетевой разведки. Автоматически сканирует порты и анализирует обнаруженные сервисы.

Инструменты команды защиты (Blue Team):
🌙Chainsaw — инструмент для первичного реагирования на инциденты, позволяет быстро искать артефакты в журналах событий Windows, таблицах Master File Table и System Resource Utilization Monitor.
🌙Snort — это гибкая сетевая система предотвращения вторжений (IPS) и обнаружения вторжений (IDS) с открытым исходным кодом, совместимая с ОС Windows и Linux, которая позволяет записывать все выявленные угрозы в лог-файл.
🌙Portspoof — утилита для эмуляции TCP-портов. Показывает все порты как «открытые», создавая ложную картину уязвимостей.
🌙Hubble — распределенная платформа мониторинга сетей, сервисов и безопасности в Kubernetes и облачных нагрузках с использованием eBPF.
🌙TheHive — масштабируемая платформа реагирования на инциденты. Позволяет централизованно отслеживать и расследовать события ИБ.

⚠️ Мы рекомендуем использовать данные инструменты только в ознакомительных целях — на своих локальных сетях, серверах и сайтах, либо по договору на проведение анализа защищенности или тестирования на проникновение.

#Артем_Храмых #пентест #анализ_защищенности #OSINT


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

​​​​​​📣 Изменения в Указ № 166

Официально опубликован Указ Президента Российской Федерации от 07.04.2025 № 214 «О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

🔥 Подкаст «Безопасный выход» запускает короткий новостной формат.

🎙 Его постоянными ведущими стали Владислав Крылов и Никита Козин — консультанты по информационной безопасности AKTIV.CONSULTING.

В каждом выпуске ведущие будут обсуждать новости из мира ИТ, ИБ и ИИ, которые они не только обсудят, но и присвоят им личный рейтинг.

Смотрите наш первый новостной выпуск, и вы узнаете:
🟠Ждут ли компании возвращения ИТ-гигантов.
🟠Как в Казахстане планируют регулировать ИИ.
🟠Что такое оценка кибератак по шкале ураганов.
🟠Как один из крупнейших телеком операторов боролся с утечками.

📺 VK Видео

📺 Rutube

📺 YouTube

#подкаст #Безопасныйвыход #новости

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

✅ Новостной дайджест прошедшей недели

🗣Правительству и ЦБ поручили разработать единый системный подход к борьбе с кибермошенниками
В частности, прорабатываются следующие меры: создание механизма оперативного оповещения банков при обнаружении мошеннического телефонного вызова и компенсация клиентам средств, украденных после взлома приложений банков через вредоносное ПО.

🗣Роскомнадзор опроверг информацию о сборе данных для слежки за пользователями
Ведомство намерено собирать информацию о сетевых адресах для актуализации правил противодействия DDoS-атакам и не будет отслеживать действия пользователей запрещенных сайтов.

🗣Деятельность белых хакеров хотят узаконить подробнее
Одно из предложений — ввести две категории поиска уязвимостей: закрытую (с ограниченным числом исследователей) и открытую (с неограниченным доступом).

🗣Руководство банков будет отвечать репутацией за утечки данных
Деловая репутация замглавы банка, отвечающего за кибербезопасность, будет считаться неудовлетворительной в случае утечки персональных данных и их использования злоумышленниками.

🗣ИТ-компании просят расширить перечень мер поддержки на фоне возможного возвращения западных вендоров
Среди предложенных инициатив – государственное регулирование цен на российские продукты, а также отмена штрафов за использование иностранного ПО.

🗣Почта Mail заблокировала свыше 7,1 млрд спам- и мошеннических писем с января по март 2025 года
Благодаря развитию антиспам-решений на основе ИИ и применению «репутационных фильтров», блокирующих IP-адреса и домены с низким рейтингом, общее количество спама снизилось на 35% по сравнению с 2024 годом.


💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🫥 Загрузка в ИБ — рубрика, в которой специалисты AKTIV.CONSULTING делятся профессиональным опытом, рассказывают, как пришли в ИБ, с какими вызовами столкнулись и что помогает им развиваться.

Первый герой этой серии: Ольга Копейкина, ведущий консультант.
В карточках — путь эксперта от управления ИБ в госкорпорации до консалтинга ИБ, отличия форматов работы, честный взгляд на сложности и советы для тех, кто только планирует профессиональный переход.

Сейчас Ольга ищет в команду ведущего ИБ-консультанта. Подробнее о вакансии — по ссылке.
Полное интервью Ольги читайте тут.

#Ольга_Копейкина #работа_в_консалтинге

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

🚩 Red флаги добрались и до CISO: на что стоит обращать внимание в операционной деятельности?

Киберугрозы становятся все изощреннее, бизнес — динамичнее, а регуляторы — строже. В таких условиях, роль CISO (Chief Information Security Officer) приобретает критически важное значение. Сегодня каждая компания (будь то крупная корпорация или небольшое предприятие) нуждается в компетентном лидере, отвечающем за защиту информации, понимание рисков и минимизацию угроз.

Разберем ключевые угрозы, с которыми
сталкивается CISO🕊

📄 Рост и ужесточение регуляторных требований
По состоянию на 2024 год перечень основных документов в области защиты информации включает более 150 наименований.

⚖️ Ответственность за результат
Увеличивается личная и юридическая ответственность CISO за защиту данных. Это отражено, например, в Указе Президента РФ от 1 мая 2022 г. № 250.

📈 Расширяющийся ландшафт угроз
Увеличиваются как количество, так и сложность атак. По данным «Лаборатории Касперского», в первом полугодии 2024 года в России и СНГ количество критичных киберинцидентов выросло на 39% по сравнению с аналогичным периодом 2023 года.

🔄 Изменяющаяся бизнес-среда
Необходимо оперативно адаптировать защитные меры под изменяющиеся бизнес-требования, чтобы не тормозить развитие компании.

🤝 Риски третьих сторон
Уязвимости поставщиков и участников цепочек поставок, которые не всегда можно контролировать напрямую. Размер этого рынка в 2024 году оценивается в $11,98 млрд, а к 2029 году достигнет $21,59 млрд при среднегодовом росте 12,5%.

🤖 Безопасность и угрозы, связанные с ИИ
С одной стороны, ИИ автоматизирует рутинные задачи, с другой — развитие агентных моделей приведет к появлению новых типов угроз, когда множество ИИ-агентов будут работать автономно и во взаимодействии между собой.

🏢 Роль безопасности в организации
Безопасность часто воспринимается как исключительно технический аспект, что мешает эффективному диалогу с бизнесом и усложняет оценку эффективности ИБ.

⚙ Операционное совершенство
Необходимо поддерживать актуальный уровень защиты и уметь оперативно адаптироваться к новым угрозам и технологиям.

💸 Ограниченные ресурсы
Хроническая нехватка кадров и бюджета на фоне общего дефицита ИБ-специалистов.


Так, современный CISO должен не только внедрять технические меры, но и инвестировать в развитие себя и своей команды, выстраивать взаимодействие с бизнесом и адаптироваться к постоянно меняющейся среде.

#Сергей_Шленский

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст

Приглашаем на третью конференцию по ИБ АСУ ТП, собранную участниками сообщества RUSCADASEC

RuSCADASec conf это митап, где эксперты в области ИБ АСУТП:
- делятся экспертизой,
- обсуждают бытовые и важные вопросы,
- общаются, знакомятся я и находят решения.

📌Что еще ждет участников конференции RUSCADASEC CONF 3 апреля?

👥 Самый практический трек — Битва, под модерацией Дмитрия Даренского, руководителя практики промышленной кибербезопасности Positive Technologies.

Тут спикеры честно расскажут о реальных кейсах в словесном устном состязании.

Кто участвует:
📣 Вячеслав Логвиненко, Заместитель куратора по ИБ АСУ ТП, Норникель
📣 Евгений Гончаров, руководитель центра исследования безопасности промышленных систем, Лаборатория Касперского
📣 Александр Волошин, заведующий кафедрой РЗА МЭИ, директор Центра НТИ по распределенной и интеллектуальной энергетике

Приходите послушать и задать вопросы!

✍️ Регистрация открыта

🕘 3 апреля 2025
📍 РГУ нефти и газа (НИУ) имени И.М. Губкина

👀 Кто вы в ИБ?

1 апреля — идеальный день, чтобы это выяснить.
Выбирайте, кто вы в этой серьезной, но веселой тусовке.

P.S. Все герои вымышлены и совпадения случайны, но не исключены 😉

💬Telegram | 💙VK | 🌐Сайт | 🎼Подкаст