ФСТЭК России выставит оценки госам и объектам КИИ
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

ФСТЭК России выставит оценки госам и объектам КИИ

Олеся Афанасьева 23 Ноября 2022 - 18:06
...
ФСТЭК России выставит оценки госам и объектам КИИ

Госорганы, корпорации, банки, сотовые операторы и другие объекты КИИ могут обязать проводить анализ киберзащищенности своих сетей. Методику разрабатывает ФСТЭК. Шкала оценки — от низкой до высокой. Инициатива вряд ли повысит защищенность, полагают эксперты, но поможет планировать бюджеты.

О новой методике ФСТЭК пишет “Ъ”. Речь об оценке степени информационной безопасности госорганов, организаций с госучастием и объектов КИИ (банки, операторы связи, организации ТЭКа и так далее).

Сначала оценка будет носить рекомендательный характер, но в будущем объекты КИИ могут обязать “сдавать предмет”.

Цель — формирование единых подходов оценки защищенности информации в организациях, объясняют во ФСТЭК.

Ведомство предлагает выделить четыре уровня защищенности: высокий, базовый повышенный, базовый и низкий.

Результат будет складываться из трех основных показателей:

  • организация и управление защитой информации,
  • внедрение мер защиты;
  • поддержка уровня защиты (например, мониторинг и реагирование компании на инцидент, управление уязвимостями).

Также будет учитываться обучение персонала и его осведомленность в вопросах кибербезопасности.

Такой подход должен стать опорным и для заказчиков, и для разработчиков, полагает руководитель исследований ГК “Астра” Роман Мылицын. По его мнению, методика будет уточняться и отрабатываться на реальных проблемах.

Сама по себе методика не повысит защищенность организации, но может быть важной для планирования работы подразделений по защите информации или внешних подрядчиков, считает руководитель аналитического центра компании Zecurion Владимир Ульянов.

Новых клиентов компаниям в области информационной безопасности методика не принесет, но структурирует их и даст им обоснование, полагает независимый эксперт по информационной безопасности Рустэм Хайретдинов.

На рынке ИБ также допускают, что поставщики решений для безопасности смогут использовать методику для формирования цен на свои продукты.

Новая методика ФСТЭК похожа на оценку “цифровой зрелости” организаций, которую аппарат вице-премьера Дмитрия Чернышенко применил к федеральным органам исполнительной власти (ФОИВ). В нее входит оценка внедрения ФОИВами технологий искусственного интеллекта, обработки больших данных и интернета вещей, а также применение российской радиоэлектронной продукции: систем хранения данных и серверов.

По словам источника в правительстве, методика необходима властям, поскольку “сейчас собрать картину кибербезопасности в КИИ очень сложно”.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость 0-click в декодере MonkeyAudio грозила RCE телефонам Samsung
Татьяна Никитина 10 Января 2025 - 19:57
Android ЭксплойтыУязвимости программ Домашние пользователи
Уязвимость 0-click в декодере MonkeyAudio грозила RCE телефонам Samsung

Участники Google Project Zero раскрыли детали уязвимости удаленного выполнения кода, обнаруженной в Samsung Galaxy в прошлом году. Патч для нее вендор выпустил в составе декабрьского набора обновлений для мобильных устройств.

Уязвимость CVE-2024-49415 (8,1 балла CVSS) связана с возможностью записи за границами буфера, которая может возникнуть при декодировании аудиофайлов формата MonkeyAudio (APE). Подобные ошибки позволяют удаленно выполнить произвольный код в системе.

Виновником появления проблемы является библиотека libsaped.so, а точнее, функция saped_rec. Эксплойт, по словам автора находки, не требует взаимодействия с пользователем (0-click), но возможен лишь в том случае, когда на целевом устройстве включены RCS-чаты (дефолтная конфигурация Galaxy S23 и S24).

Атаку можно провести, к примеру, через Google Messages, отправив намеченной жертве специально созданное аудиосообщение. Согласно бюллетеню Samsung, уязвимости подвержены ее устройства на базе Android 12, 13 и 14.

Декабрьский пакет обновлений Samsung закрывает еще одну опасную дыру — CVE-2024-49413 в приложении SmartSwitch (некорректная верификация криптографической подписи, 7,1 балла CVSS). При наличии локального доступа данная уязвимость позволяет установить вредоносное приложение на телефон.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Мошенники рассылают открытки со ссылками на зловреды-шпионы
Новость
Мошенники рассылают открытки со ссылками на зловреды-шпионы
В WhatsApp со второго раза устранили баг обода View Once
Новость
В WhatsApp со второго раза устранили баг обода View Once
Мошенники вынуждают своих жертв атаковать инфраструктуру
Новость
Мошенники вынуждают своих жертв атаковать инфраструктуру

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.