У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме. В 2025 году было проверено более 700 значимых объектов КИИ, выявлено 1200 нарушений и недостатков обеспечения безопасности, из которых 80% являются типовыми. Заведено >600 дел по 13.12.1 и 19.7.15 КоАП.
Среди типовых недостатков указали "непроведение мероприятий по выявлению и анализу уязвимостей на значимых объектах КИИ, наличие уязвимого ПО на значимых объектах КИИ".
Имхо, формулировать это в терминах VM-процесса (нарушение сроков по детектированию, SLA на устранение и т.п.) было бы лучше, но внимание к теме в любом случае радует. 👍😇
Отдельно подчеркнули VM-ные проблемы:
🔻 Отсутствие процесса инвентаризации сведений о ЗОКИИ → лишнее ПО, создающее угрозы ИБ.
🔻 Использование зарубежного ПО без поддержки вендором.
🔻 Недооценка уязвимостей в соответствии с руководством ФСТЭК по организации VM-процесса.
🔻 Низкая периодичность выявления уязвимостей ("1 раз в год").
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.