Новости
Куда я попал?
ФСТЭК ввел в действие новую редакцию «Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств»!
Прежняя методика, которая была утверждена ФСТЭК России еще в 2022 году больше не актуальна.
Прежняя методика, которая была утверждена ФСТЭК России еще в 2022 году больше не актуальна.
Новая методика содержит существенные изменения:
- Критичные уязвимости надо закрывать за 24 часа
- Появились два новых показателя для расчёта
- Изменились пороги критичности
Хорошая новость: мы в SECURITM уже внедрили всё в модуль VM. Вы можете работать по новым правилам прямо сейчас.
Вебинар: Контроль на 360°: как оценить защищенность от утечек и выполнить требования регулятора?
25 сентября в 11:00
Нормативные требования предписывают защищать от утечек персональные данные, коммерческую, банковскую, налоговую и иные виды тайн и другие категории данных. С задачей справляются DLP-системы.
Но как проверить, насколько эффективна защита в вашей инфраструктуре и соответствует ли она требованиям регуляторов?
На вебинаре мы совместно с «СёрчИнформ» покажем готовый инструмент - интеграцию DLP с SGRC-системой, которая позволит:
В один клик оценить защищенность компании от утечек: что под контролем, а что — нет.
Автоматизировать аудит активов.
Сопоставить «фактуру» из DLP с показателями из других систем защиты, чтобы повысить эффективность ИБ.
Сделать данные DLP частью стратегии управления рисками, чтобы «закрыть» нормативные требования.
Мы в SECURITM уверены: выстраивать ИБ-процессы должно быть доступно каждому, даже при скромном бюджете. Именно для этого 5 лет назад мы создали бесплатную Community-версию нашей системы.
Её философия проста: дать безопаснику возможность общаться с коллегами, обмениваться опытом и главное — строить систему безопасности с нуля.
И хотим поделиться кейсом от ОАО Пятигорский Завод "Импульс".
Задача: Подготовиться к проверке прокуратуры по КИИ.
Решение: Команда завода использовала нашу бесплатную Community-версию.
Результат: Компании удалось не только оперативно систематизировать все необходимые данные, но и успешно пройти проверку!
Это доказывает, что даже бесплатные инструменты, если они сделаны правильно и функционально, могут решать серьезные государственные задачи.
Приходите в Community-версии и управляйте ИБ эффективно!
- Добавлена новая операция «Управление Kaspersky Security Center» в модуле RPA, чтобы запускать проверки АВЗ, обновления ПО и т.д.
- Добавлено новое поле «Возможные последствия» к уязвимостям в модуле VM.
- Добавлен новый вариант формирования имени актива в интеграции с Active Directory.
- Создана новая опция «Баннер» в настройках безопасности, позволяющая выводить произвольные сообщения на страницу входа
- Для пользователей с ролями «Редактор» и «Аудитор» скрыт профиль команды и её участники.
Добавлены документы:
- Методика осуществления контроля соблюдения законодательства РФ области персональных данных, Методический документ Сбербанка
- Концепция кибербезопасности ("Киберщит Казахстана"), постановление Правительства Республики Казахстан № 407
Устранены баги в конструкторе документов, модулях VM, RPA.
Для команды Константина Липаткина из inSales это стало реальностью. В недавней статье для CNews он подробно рассказал, как им удалось ускорить процессы и повысить эффективность работы службы ИБ.
В статье вы найдете ответы на ключевые вопросы:
- С какими главными трудностями сталкиваются компании при построении ИБ-процессов?
- Как изменилось взаимодействие ИБ-специалистов с другими отделами в условиях гибридного формата работы?
- Как проходил процесс внедрения SGRC-инструмента — системы SECURITM?
Вот что сказал Константин о выборе SECURITM:
«Ключевым фактором стало сочетание гибкости платформы и ориентированности команды на клиента... SECURITM оказался наиболее сбалансированным по порогу входа, скорости внедрения и удобству использования».
Читайте полное интервью по ссылке.
Читайте полное интервью по ссылке.
Вебинар 11 сентября в 11:00
Как превратить информацию из сканера безопасности в реальные действия по защите вашей инфраструктуры? Мы предлагаем решение этой проблемы на вебинаре от RedCheck и SECURITM.
Сканеры безопасности выполняют важную роль в оценке защищенности, выявлении уязвимостей в программном обеспечении, сетях и инфраструктуре. Однако зачастую результаты сканирования, оформленные в виде отчетов, остаются нереализованными.
Наша цель – показать на примере интеграции SECURITM и RedCheck, как превратить хаотичный процесс устранения уязвимостей в управляемую деятельность, которая действительно повышает уровень защиты компании.
На встрече мы разберем примеры из практики:
- Как выстроить комплексный процесс устранения уязвимостей по требованию регулятора.
- Получение актуальной информации об IT-активах для принятия решений.
- Настройка автоматизированных процессов для оперативного устранения наиболее критичных уязвимостей.
- Использование данных об уязвимостях для оценки рисков и прогнозирования возможных инцидентов.
- Объединение данных сканеров RedCheck с другими системами защиты для формирования единой картины ИБ
Регистрируйтесь на вебинар и получите практические навыки, позволяющие автоматически преобразовывать список уязвимостей в конкретный план задач, сократить время реагирования и принятие решений, а также существенно снизить риски для вашего бизнеса.
Ранее мы уже говорили о нововведениях с 1 сентября в части работы с обезличенными персональными данными.
Сегодня расскажем, про еще несколько изменений в работе с персональными данными с 1 сентября 2025 года.
1. Вступают в силу существенные изменения в ч.1 ст. 9 ФЗ №152-ФЗ, которые ужесточают требования к оформлению согласий субъектов на обработку их персональных данных. Новые правила обязательны для всех операторов ПДн, вне зависимости от правовой формы.
- В отличие от уже действующих, новые правила позволят субъектам выражать свое согласие на обработку их персональных сведений осознанно и в максимально доступной форме.
- Согласно действовавшей до изменения норме, согласие на обработку персональных данных могло быть получено в любой позволяющей подтвердить факт его получения форме: например, указав его в договоре или встроив в пользовательское соглашение на сайте.
- Сейчас оно должно будет оформляться в виде отдельного документа.
- Больше не получится включить его в текст договора или пользовательское соглашение.
Важно! Согласия, полученные до 01.09.2025 года, продолжат действовать и не потребуют переоформления. Если же вы после 01 сентября не будете соблюдать новые требования к форме согласия, оно будет считаться неполученным, а вас могут оштрафовать на сумму до 700 000 рублей (ч. 2 ст. 13.11 КоАП).
2. С 1 сентября 2025 года в Федеральном законе № 152-ФЗ «О персональных данных» появилась новая статья 13.1 «Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним».
Минцифры займется формированием составов данных, которые будут группироваться по определенному признаку, но без возможности установить их принадлежность конкретному субъекту ПДн при последующей обработке. В эти составы нельзя будет включать биометрические и специальные категории ПДн — только общие. И операторы будут обязаны передавать обезличенные ПДн в государственную информационную систему.
Что еще важно учитывать:
- Минцифры сможет направлять требование о предоставлении обезличенных ПДн любому оператору ПДн. В таком случае оператор ПДн обязан обезличить их в соответствии с требованиями и методиками, которые утверждены постановлением Правительства № 1154 от 01.08.2025 и приказом Роскомнадзора № 140 от 19.06.2025. Некорректное обезличивание, оставляющее шанс на идентификацию — прямое нарушение закона.
- Доступ к работе с составами данных в ГИС получат только государственные органы, муниципальные органы, внебюджетные фонды и их подведомственные организации, а также граждане РФ и российские юридические лица, при условии внесения в реестр операторов Роскомнадзора и соответствия ряду требований: отсутствие иностранного контроля/гражданства у руководителей, недостоверных сведений из ЕГРЮЛ/, отсутствие судимостей или привлечения к уголовной ответственности в соответствии со статьями 183, 272, 273, 274.1, 283 и 283.1 Уголовного кодекса РФ.
- Запрет на запись, извлечение, передача (распространение, предоставление, доступ) составов данных из государственной информационной системы.
- Предоставление результатов обработки ПДн иностранным юридическим лицам, иностранным организациям, иностранным гражданам запрещено, кроме случаев, прямо предусмотренных российским законодательством.
В начале августа были официально опубликованы 2 ключевых документа:
- Постановление Правительства РФ от 01.08.2025 № 1154 «Об установлении требований к обезличиванию персональных данных, методов и правил обезличивания персональных данных».
- Приказ Роскомнадзора от 19.06.2025 № 140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9-1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Давайте разберем, какие изменения нас ждут с 1 сентября 2025 года:
1. Если говорить про Постановление Правительства РФ от 01.08.2025 № 1154, то данное постановление устанавливает требования к обезличиванию персональных данных, методы, которые применяются при обезличивании персональных данных и порядок их обезличивания при получении оператором или уполномоченным органом требования о предоставлении персональных данных, полученных в результате обезличивания:
1. Если говорить про Постановление Правительства РФ от 01.08.2025 № 1154, то данное постановление устанавливает требования к обезличиванию персональных данных, методы, которые применяются при обезличивании персональных данных и порядок их обезличивания при получении оператором или уполномоченным органом требования о предоставлении персональных данных, полученных в результате обезличивания:
- Указанным Постановлением Правительства определено пять методов обезличивания: метод введения идентификаторов, метод изменения состава или семантики, метод декомпозиции, метод перемешивания, метод преобразования.
- В сравнении положений Постановления Правительства с приказом Роскомнадзора от 05.09.2013 № 996, то описывается новый метод - метод преобразования.
- Также Постановление Правительства регламентирует порядок обезличивания ПДн оператором ПДн, получившим от уполномоченных органов требование о предоставлении ПДн, полученных в результате обезличивания ПДн.
2. В соответствии с новыми положениями приказа Роскомнадзора от 19.06.2025 № 140 оператор персональных данных обязан выполнять ряд новых требований при обезличивании персональных данных, в частности:
- использовать для обезличивания только информационные системы (ИС) и программное обеспечение (ПО), которые обеспечивают безопасность и конфиденциальность персональных данных;
- необходимо исключить совместное хранение массива ПДн, подлежащих обезличиванию, а также ПДн, полученных в результате обезличивания;
- обязательно вести учет осуществляемых действий по обезличиванию ПДн.
3. Новый приказ Роскомнадзора обязывает оператора разработать и принять локальные нормативные акты по обезличиванию персональных данных, исключить доступ к этим актам, к используемым для обезличивания ИС и ПО, а также другой информации по процедуре проведения обезличивания ПДн.
4. Основные методы обезличивания, указанные в новом приказе, в целом не отличаются от методов, установленных в приказе Роскомнадзора от 05.09.2013 № 996 (введение идентификаторов, изменение состава или семантики, перемешивание и декомпозиция).
5. Приказ Роскомнадзора № 140 вводит новый метод преобразования массива персональных данных, который можно использовать дополнительно к используемым ранее методам в целях исключения связи между атрибутами ПДн и субъектами ПДн.
Стоит отметить, что приказ Роскомнадзора № 140 вступает в силу уже с 1 сентября 2025 года и отменяет действие ранее действующего приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
ГОСТ Р 57580 — это непростой, но обязательный для соблюдения финансовыми организациями стандарт ИБ.
На habr.com вышла наша статья — подробное руководство по автоматизации процесса оценки соответствия этому стандарту в системе SECURITM.
В статье детально разобрали ключевые моменты работы с разделами 7, 8 и 9 ГОСТа: как правильно связывать защитные меры, устанавливать метрики для автоматизированного контроля и формировать финальные отчёты.
Дополнительно мы создали видео, наглядно демонстрирующее весь процесс внедрения стандарта в нашей системе.
Читайте статью по ссылке.
- В модуль активов добавили таблицы данных прямо в окно редактирования актива.
- Для интеграции с Kaspersky теперь доступен импорт сведений по агенту администрирования и введены дополнительные метрики для анализа.
- В фильтрах в RPA и метриках скорректировали работу фильтров для динамических типов активов, чтобы фильтрация была еще точнее.
Добавлены документы:
- Приказ Министра здравоохранения Республики Казахстан № ҚР ДСМ -30 от 14.04.2021 "Об утверждении Правил осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения".
- Постановление Правительства РФ № 1154 от 01.08.2025 "Об утверждении Требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных".
Устранены баги в модуле активов, задачах и рисках, усовершенствован функционал поиска ошибок синхронизации в модуле активов.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.