Архив метки: VMprocess

Подумалось, что это очень VM-ная тема, когда руководству трудно и даже невозможно представить себе на чём держится инфраструктура организации

Подумалось, что это очень VM-ная тема, когда руководству трудно и даже невозможно представить себе на чём держится инфраструктура организации

Подумалось, что это очень VM-ная тема, когда руководству трудно и даже невозможно представить себе на чём держится инфраструктура организации. Схема проста:

🔹 Предоставленные сами себе подразделения организации решают стоящие перед ними задачи наиболее простым, быстрым и привычным образом. В идеале бесплатным! 😊 Что Вася для дома для семьи когда-то использовал, то и идёт в дело. Требования и политики организации (если они вообще есть) игнорируются. 👌 Что не контролируется, то и не выполняется. 😏 В результате откровенно чудовищные, неподдерживаемые и уязвимые решения внедряются и становятся фактическим стандартом организации. 🤷‍♂️ "А чё такова? Исторически сложилось! Зато работает! Это ж прямщаз для ДЕЛА нужно!"

🔹 В результате руководство, не контролирующее реальное положение дел (и не стремящееся к этому 🙄), принимает управленческие решения, которые, по идее, никак не должны зааффектить критические процессы в организации…

Но оказывается, что они аффектят и ещё как! 😱😉

Вчера ФСТЭК выложили в открытый доступ проект документа "Мероприятия и меры по защите информации, содержащейся в информационных системах"

Вчера ФСТЭК выложили в открытый доступ проект документа Мероприятия и меры по защите информации, содержащейся в информационных системах

Вчера ФСТЭК выложили в открытый доступ проект документа "Мероприятия и меры по защите информации, содержащейся в информационных системах". ФСТЭК предлагает "специалистам в области защиты информации заинтересованных государственных органов власти и организаций" рассмотреть документ и направить предложения по установленной форме на otd22@fstec.ru до 19 февраля.

❗️ Согласно пункту 1.3, "методический документ детализирует мероприятия (процессы)" по защите информации (ЗИ) и "определяет содержание мер" по ЗИ в соответствии с требованиями из 117-го приказа ФСТЭК.

Документ объёмный, 185 страниц.

Структура документа:

1️⃣ Общие положения
2️⃣ Факторы, влияющие на ЗИ
3️⃣ Мероприятия по ЗИ (45 страниц) -❗️ Среди них 3.3. Управление Уязвимостями (рассмотрю содержание подробно в последующих постах)
4️⃣ Меры по ЗИ (129 страниц)

Слово "уязвимость" в различных формах встречается по тексту 104 раза в разных частях документа. 🕵️‍♂️ Будет что пообсуждать. 😉😇

Коллеги из КИТ выложили сегодня "Аналитический отчёт по ключевым изменениям в законодательстве за 2025 год", в котором есть раздел про Управление Уязвимостями

Коллеги из КИТ выложили сегодня Аналитический отчёт по ключевым изменениям в законодательстве за 2025 год, в котором есть раздел про Управление Уязвимостями

Коллеги из КИТ выложили сегодня "Аналитический отчёт по ключевым изменениям в законодательстве за 2025 год", в котором есть раздел про Управление Уязвимостями. Основная идея: "общий сдвиг надзорной логики от формальной проверки наличия мер к оценке реальной способности организаций выявлять, приоритизировать и устранять технические риски".

В отчёте упоминаются следующие документы ФСТЭК, выпущенные в прошлом году:

🔹 Методика оценки критичности уязвимостей (30.06.2025). Указана как ключевой элемент трансформации, т.к. формирует необходимость выстраивания логики обработки уязвимостей.
🔹 Методика проведения пентестов (08.09.2025). ДСП. 🤫
🔹 Методика анализа защищенности ИС (25.11.2025). Единый подход к выявлению уязвимостей.
🔹 Методика оценки показателя состояния технической защиты информации (11.11.2025). Для расчёта КЗИ.
🔹 Порядок проведения сертификации процессов безопасной разработки ПО (18.09.2025). Необходимо демонстрировать "повышение уровня защищенности в динамике".

Алексей Владимирович Иванов, зам

Алексей Владимирович Иванов, зам

Алексей Владимирович Иванов, зам. директора НКЦКИ, поделился на Инфофоруме 2026 свежими примерами успешных атак на инфраструктуры отечественных компаний, в т.ч. с эксплуатацией уязвимостей на периметре.

"Крупная нефтяная компания. Злоумышленники выявили уязвимость в иностранном телекоммуникационном оборудовании, функционирующем на границе сети Интернет и корпоративной сети компании. Проэксплуатировали уязвимость, оказались внутри сети, стали проводить разведку и выявили некорректные настройки межсетевого экрана уже на границе корпоративной сети и технологического сегмента. Проникли внутрь технологического сегмента, перепрошили ряд контроллеров и нанесли серьёзный ущерб производственным процессам."

Классика. 👌 Внутрянку толком не защищают, ведь она "ЗА ПЕРИМЕТРОМ". 🤡 Сетевую связность не контролируют, инфру не харденят. А на периметре продолжает торчать западное легаси, даже VM-процессом не покрытое. 🤦‍♂️ В итоге нарушения конвертируются в инциденты. 🤷‍♂️

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации

Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации. Там в основном про SIEM, но про Asset Management и VM тоже есть. Написано очень живенько. 👍 Рефреном идёт мысль, что главная сложность - работа с реальными людьми (которые могут вам всё засаботировать 😏).

Особо понравилось про безусловный патчинг:

"Бонус-трек: Начните, наконец, обновлять операционные системы и используемые приложения. У вас никогда, повторюсь, НИКОГДА не будет достаточно ресурсов, чтобы доказать применимость каждой уязвимости в конкретных условиях вашего окружения. Нет другого решения для большинства компаний, кроме как начать регулярно проводить обновления для ВСЕХ ОС и для всех приложений. Позднее вы, вероятно, начнёте категорировать ваши активы по критичности и управлять приоритетами обновления, но для начала ̶п̶р̶о̶с̶т̶о̶ ̶д̶о̶б̶а̶в̶ь̶ ̶в̶о̶д̶ы̶ примените патчи."

ППКС. Всеми силами внедряйте безусловный патчинг, не играйте в докажи-покажи. 😉

У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме

У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме

У Елены Борисовны Торбенко, начальника управления ФСТЭК, был сегодня интересный доклад на Инфофоруме. В 2025 году было проверено более 700 значимых объектов КИИ, выявлено 1200 нарушений и недостатков обеспечения безопасности, из которых 80% являются типовыми. Заведено >600 дел по 13.12.1 и 19.7.15 КоАП.

Среди типовых недостатков указали "непроведение мероприятий по выявлению и анализу уязвимостей на значимых объектах КИИ, наличие уязвимого ПО на значимых объектах КИИ".

Имхо, формулировать это в терминах VM-процесса (нарушение сроков по детектированию, SLA на устранение и т.п.) было бы лучше, но внимание к теме в любом случае радует. 👍😇

Отдельно подчеркнули VM-ные проблемы:

🔻 Отсутствие процесса инвентаризации сведений о ЗОКИИ → лишнее ПО, создающее угрозы ИБ.
🔻 Использование зарубежного ПО без поддержки вендором.
🔻 Недооценка уязвимостей в соответствии с руководством ФСТЭК по организации VM-процесса.
🔻 Низкая периодичность выявления уязвимостей ("1 раз в год").

Продолжу тему о критериях успеха в работах по Анализу Защищённости (АЗ)

Продолжу тему о критериях успеха в работах по Анализу Защищённости (АЗ)

Продолжу тему о критериях успеха в работах по Анализу Защищённости (АЗ). Если провести детектирование уязвимостей в любой достаточно большой организации, неизбежно обнаружатся критические уязвимости. И это абсолютно нормально, ЕСЛИ для всех обнаруженных уязвимостей выполняются следующие условия:

🔹 В организации уже знали про уязвимость на активе, т.е. обнаруживали её с помощью собственных средств детектирования.
🔹 Уязвимость уже была оценена и ей была присвоена степень критичности.
🔹 Для устранения уязвимости уже была заведена задача на конкретного исполнителя с зафиксированным сроком выполнения (в соответствии с принятым SLA) и этот срок ещё не вышел.

Это значит, что VM-процесс в организации успешно функционирует (по БОСПУУ 😉), и АЗ успешно пройден. 🥇👏

Но если в ходе АЗ были обнаружены уязвимости, для которых перечисленные условия НЕ выполняются, это вызывает вопросы к средствам детектирования уязвимостей, используемым в организации, и к практикам их использования. 😏