- Вносить **несанкционированные изменения** в систему защиты
- Менять СЗИ на аналогичные без согласования
- Эксплуатировать систему при **неисправностях в СЗИ**
- Обрабатывать данные при **приостановленном аттестате**
- Игнорировать **инциденты безопасности**

**Что может случиться с аттестатом?**
- **Приостановка** (до 90 дней) если не устранили недостатки, не прислали протоколы контроля, изменили архитектуру без согласования.
- **Прекращение действия** если вовремя не устранили нарушения после приостановки.
- **Дубликат** — если оригинал утерян.

**Как связаны Приказы №17 и №21?**

- При аттестации **ГИС** проверяют соответствие **Приказу №17** → определяют **класс защищённости (К1, К2, К3)**
- При аттестации **ИСПДн** проверяют соответствие **Приказу №21** → определяют **уровень защищённости (1–4)** Чем выше класс/уровень, тем строже требования и больше мер защиты.

1. **Аттестация = подтверждение соответствия требованиям** (№17, №21 и др.)
2. **Приказ №77 главный регламент с 2021 года**
3. **Обязательна** для госсистем, ОПК, КИИ, защищённых помещений
4. Проводит **лицензированный орган** или **внутреннее подразделение госоргана**
5. Результат **Аттестат соответствия** (на весь срок эксплуатации)
6. После аттестации **контроль раз в 2 года**
7. Нарушения → **приостановка или прекращение аттестата**

👉
1. **Процедура обжалования** решения органа аттестации
2. **Компенсирующие меры** (когда нельзя реализовать требуемую меру защиты)
3. **Банк данных угроз ФСТЭК** как источник при построении модели угроз

Какие проблемы с аттестацией чаще всего встречаются? Пишите в комменты! 👇

#информационнаябезопасность #кибербезопасность #защитаданных #ФСТЭК #аттестация #инфозащита #безопасностьданных

🔥 **Что такое аттестация объектов информатизации?**

**Аттестация** — это официальная проверка, подтверждающая, что ваша система (ГИС, ИСПДн, АСУ ТП и т.п.) **соответствует требованиям по защите информации**, установленным государством. Результат — **«Аттестат соответствия»**, который выдаётся **на весь срок эксплуатации** системы.

❗ Это не сертификация!

**Сертификация** для отдельных средств защиты (антивирусов, СКЗИ).

**Аттестация** для целой системы в целом.

**Какие документы регулируют аттестацию?**

Основной документ с **1 сентября 2021 года** — **Приказ ФСТЭК № 77**. Он заменил старые правила и теперь главный. А требования, на соответствие которым проводится аттестация, зависят от типа системы:
- Для **государственных информационных систем (ГИС)** — **Приказ № 17**
- Для **систем персональных данных (ИСПДн)** — **Приказ № 21**

**Что считается объектом информатизации (ОИ)?**
Это всё, что участвует в обработке информации:
- Информационные ресурсы (базы данных, файлы)
- Техника и ПО
- Средства защиты
- Помещения (если речь о защищённых переговорах)

Примеры: портал госуслуг, система учёта сотрудников, АСУ станка с ЧПУ, комната для совещаний.

**Когда аттестация обязательна?**

**Обязательно аттестовать**, если у вас:
- Государственная или муниципальная ИС (включая ИСПДн)
- Система управления производством в ОПК (оборонка)
- Помещение для конфиденциальных переговоров
- Значимый объект КИИ (по решению владельца)

Во всех остальных случаях — **добровольно** (например, частная компания сама решила проверить свою систему).

**Кто участвует в аттестации?**
1. **Владелец ОИ** тот, кому принадлежит система (госорган, организация). Он готовит документы, устраняет недостатки, отвечает за безопасность после аттестации.
2. **Орган по аттестации** лицензированная организация или внутреннее подразделение госоргана. Проводит испытания и выдаёт аттестат.
3. **ФСТЭК России** контролирует всё: утверждает требования, ведёт реестр, может приостановить аттестат.

⚠️ Орган по аттестации **должен иметь лицензию ФСТЭК** с видом деятельности **«г»** аттестационные испытания.

**Как проходит аттестация? (по Приказу № 77)**

Этап 1. Подготовка Владелец подаёт в орган аттестации пакет документов:
- Технический паспорт ОИ
- Акт классификации (для ГИС) или категорирования (для КИИ)
- Модель угроз (Определяет, какие данные и процессы в системе нужно защищать. Выявляет возможные сценарии атак. Оценивает потенциальный ущерб от реализации угроз. Служит основой для выбора средств защиты информации (СЗИ) и организационных мер. Без качественной модели орган аттестации может отклонить документы, так как она доказывает, что вы понимаете риски и готовы их минимизировать.)
- Проектную и эксплуатационную документацию
- Организационно-распорядительные документы (план защиты, регламенты и т.д.)

Этап 2. Разработка программы и методик Орган аттестации составляет программу испытаний и согласовывает её с владельцем.

Этап 3. Проведение испытаний Создаётся **аттестационная комиссия** (руководитель + ≥2 эксперта). Эксперты **не должны участвовать** в создании системы!
Проводятся:
- Анализ документов
- Обследование на месте
- Тестирование защиты от несанкционированного доступа (НСД)
- Проверка защиты от утечки по техническим каналам (для помещений)
- Оценка знаний персонала

Этап 4. Оформление результатов Если всё в порядке выдаётся **Аттестат соответствия**.

Если есть недостатки их устраняют и повторяют проверку.

Этап 5. Регистрация Орган аттестации направляет копии документов **во ФСТЭК**, и система вносится в **единый реестр**.

**Что такое технический паспорт ОИ?**

Это **главный документ системы**, в котором:
- Описан состав техники и ПО
- Указан класс/уровень защищённости
- Зафиксированы все изменения
- Отражены результаты контроля безопасности

📌 Владелец обязан **раз в 2 года** проводить контроль защиты и направлять протоколы во ФСТЭК.

**Что нельзя делать после аттестации?**

📂 Active Directory (AD) — это информационная система, а точнее служба каталогов, разработанная Microsoft для управления сетевыми ресурсами в среде Windows.

Понять структуру можно так:

🌲 Лес — самый верхний уровень. Если в организации одна общая AD-инфраструктура и единый глобальный каталог лес один. Если сети изолированы и не имеют доверия, лесов несколько.

🌳 Дерево — определяется пространством имен. Если домены образуют цепочку с общим корнем (corp.local → hr.corp.local → it.hr.corp.local), это одно дерево. Если имя корня другое (prod.local), это уже другое дерево в том же лесу.

🏠 Домен — отдельная область администрирования. Каждый домен имеет собственных контроллеров, свои политики паролей и SID-пул. Если политики безопасности разные и репликация учеток не общая — это разные домены.

📁 OU — создаются для логической группировки. Сколько OU решает администратор. Если объекты нужно управлять по отделам или локациям, делают OU под каждую группу.

📌 Сайт — физическое представление сети, а не логическая структура. Если офисы в разных городах соединены VPN и нужна локальная аутентификация делают отдельный сайт. Если сеть одна и быстрая — сайт один.

🧐 Почему Active Directory информационная система?

💡 Информационная система - это совокупность программных, аппаратных, организационных и человеческих ресурсов, предназначенных для сбора, хранения, обработки, анализа и предоставления информации.

Active Directory соответствует этому определению:

1. Сбор и хранение информации AD хранит данные о пользователях, компьютерах, группах, принтерах, политиках безопасности и других объектах сети в иерархической структуре — каталоге.

2. Обработка и управление Позволяет администраторам управлять доступом, назначать права, применять групповые политики (GPO), аутентифицировать и авторизовывать пользователей.

3. Предоставление информации Служит источником данных для других систем: почтовых серверов, систем единого входа (SSO), систем управления доступом и т.д.

4. Интеграция и взаимодействие Работает с другими ИТ-системами (например, Exchange, SharePoint, файловыми серверами), обеспечивая централизованное управление.

🌐 Active Directory использует порты:

🧭 DNS: TCP/UDP 53 — поиск контроллеров домена.

🔑 Kerberos: TCP 88 — аутентификация пользователей и устройств.

⏱️ NTP: TCP/UDP 123 — синхронизация времени для Kerberos.

🔌 RPC: TCP/UDP 135 — управление и репликация данных.

📚 LDAP: TCP 389 — запросы к каталогу AD.

📦 SMB: TCP 445 — доступ к файлам, репликация SYSVOL.

🔒 LDAPS: TCP 636 — защищенные запросы к каталогу.

🌍 Global Catalog: TCP 3268/3269 — поиск объектов в лесу AD.

📡 Динамические RPC: TCP/UDP 49152–65535 — репликация и управление.

Вывод : > Active Directory специализированная информационная система, предназначенная для централизованного управления идентификацией, доступом и ресурсами в корпоративной сети. Она играет ключевую роль в инфраструктуре большинства предприятий, использующих Windows Server.

Если кратко — да, это информационная система, и очень важная. ✅

#информационнаябезопасность #IT #технологии #кибербезопасность #управление #сети #безопасность

🛡️ 10 вопросов для оценки руководителя отдела ИБ

Список вопросов для оценки не только технических знаний, но и стратегического мышления, управленческих навыков и понимания бизнес-процессов.

📊 Стратегия и управление рисками. Новый руководитель ИБ.

Вы пришли в компанию на позицию руководителя отдела ИБ. С чего начнете выстраивать работу? Опишите алгоритм первых 90 дней. Что будет вашим приоритетом №1?

🤝 Взаимодействие с бизнесом. Финансирование проектов ИБ

Как донести до генерального директора (не технического) необходимость финансирования дорогостоящего проекта, который «не виден» пользователям? Как обоснуете ROI (ROSI)?

👥 Управление командой. Ошибка специалиста.

Ваш сотрудник допустил ошибку в конфигурации межсетевого экрана, что привело к 12-часовому простою критического сервиса. Какие действия предпримете по отношению к сотруднику, команде и руководству?

💰 Бюджетирование. Формирование бюджета

Как вы формируете годовой бюджет на ИБ? На какие статьи его распределите (команда, техника, софт, обучение и т.д.) и от чего будет зависеть размер каждой статьи?

🔍 Сквозная задача на основе опыта. Сложный инцидент.

Опишите самый сложный инцидент ИБ, в котором участвовали. Какова была ваша роль? Какие этапы работы были от обнаружения до закрытия? Какие уроки извлекли?

🖥️ Техническая архитектура. Защита сети интернет-магазина

Как организовать защиту сети среднего интернет-магазина (онлайн-продажи, база клиентов, CRM)? Назовите 3-5 ключевых контролей и объясните, почему именно они.

📑 Регламенты и процессы. Политики и документы.

Какие ключевые политики и регламенты должны быть в любой компании для эффективной системы ИБ? Как обеспечить, чтобы документы реально использовались, а не лежали на полке?

✅ Аудит и compliance. Работа с аудитором.

К вам приходит аудитор с требованием предоставить доказательства работы средств защиты.

Как строите процесс сбора и предоставления доказательств? Что автоматизируете?

🎓 Обучение и развитие. Мотивация команды.

Как мотивировать команду на постоянное обучение и развитие в быстро меняющейся сфере ИБ?

Как оцениваете эффективность специалистов (не только по выполнению задач)?

🔮 Видение будущего. Тренды кибербезопасности.

Какие 3 главные тренда будут определять ландшафт угроз в ближайшие 2-3 года? Как готовите к ним свой отдел и компанию?

#информационнаябезопасность #кибербезопасность #управление #IT #безопасностьданных #киберзащита #тренды https://t.me/scontrols

Нет

📊 SOC под давлением: почему алерты игнорируют

🚨 Причины шума

Ложные срабатывания в SIEM доходят до 80–90%. Чаще всего это результат копирования «готовых» правил без учёта контекста.

Бессмысленно держать правило brute-force для SSH в облаке, где SSH отключён.

Похожая ситуация с Mimikatz: правило на запуск lsass.exe с ключами sekurlsa сработало 12 раз за неделю. Только одна попытка была подозрительной, остальные вызваны штатным ПО резервного копирования.

🔎 Фильтрация алертов

Поведенческие модели и SOAR помогают отделить шум от угроз:

- baseline нормальной активности снижает количество ложных тревог

- enrichment данными из EDR и Threat Intelligence позволяет быстро понимать контекст

- приоритизация по риску даёт SOC-фильтрам фокус на критичных сценариях

Но даже «легитимные» обновления и CI/CD-трафик могут маскировать атаку, если фильтрация слишком поверхностная.

⚙️ Кастомизация MITRE и OWASP

MITRE ATT\&CK и OWASP дают каркас, но правила без адаптации перегружают SOC:

- исключения для легитимных процессов при credential dumping

- настройка веб-правил, чтобы CI/CD не выглядел как SQLi

- перестройка brute-force-правил под API-ключи в облаке снижает шум на 40–50%

🧩 Готовые или свои правила?

Готовые наборы хороши для старта. Но там, где важен бизнес-контекст, нужны свои правила. Это уменьшает шум и делает реагирование осмысленным, а не механическим.

📌 SOC не тонет в алертах из-за «злых хакеров». Он тонет из-за собственных шаблонов и нежелания тратить время на кастомизацию.

#SOC #SIEM #SOAR #MITRE #OWASP #кибербезопасность #инфобез #SOC https://t.me/scontrols

Вопрос, здесь можно общаться?

#информационнаябезопасность #кибербезопасность #IT #защитаданных #технологии #безопасностьсети #киберугрозы #образование

**Почему переход из IT в ИБ не совсем переход?**

Переход из IT в информационную безопасность (ИБ) не воспринимается как радикальная смена карьеры. IT охватывает множество областей: сетевые технологии, программирование, системное администрирование, электроника. ИБ пересекается с этими дисциплинами, но акцент смещается на защиту активов, будь то данные, системы или бизнес-процессы. Со временем специалисты осознают, где их навыки приносят больше пользы. ИБ привлекает узкой специализацией: анализ угроз, управление доступом, реагирование на инциденты. Выбор направления происходит, когда понимаешь, что востребовано и где ты чувствуешь себя на своем месте.

Многие приходят в ИБ, ожидая четких инструкций, но быстро сталкиваются с необходимостью разбираться в хаотичных реальных сценариях. Это не просто выполнение задач, а постоянный анализ и адаптация. Не получится защитить все.

**Чего не хватало в начале карьеры в ИБ:**

1. Прохождение курсов, тестов, имитации и всего прочего в рамках изолированной лабораторной инфрастраструктуры - просто не может воспроизвести реальный инцидент.

2. Отсутствие единой терминологии создает путаницу. Межсетевой экран, фаервол, брандмауэр, NGFW, UTM термины вроде бы синонимичные, но их использование зависит от контекста, и новичку сложно понять различия. Это не просто слова, а отражение разных подходов и технологий, которые нужно изучить.

3. Что такое вообще "информация", есть огромное количество зацикленных определений. Которое на практике практически бесполезно - единственное что важно "Актив".

4. Мое первое высшее образование менеджмент. И там риск это неопределенность результата. Риск может быть, как положительное развитие событий, так и отрицательное.

В информационной безопасности - это только возможность недопустимого события. Сверхприбыль - недопустимое событие? Нужно перестраивать мышление. Только негатив, без позитива.

5. "Бумажная безопасность" отдельная сфера, которая в России только формируется. Это управление процессами, соответствие стандартам, работа с документацией. Она отстает от международных практик, и новичкам сложно сразу понять, как связать технические меры с бизнес-процессами.

6. Навык общения (soft skills). Кроме технической подготовки, очень не хватает умение говорить с сотрудниками, коллегами, руководством.

Попробуйте объяснить без конфликта, что завершение сеанса на офисном компьютере при 15 минут бездействия - хорошая практика и это поможет не получить штраф. Техническая подготовка не помогает, если не можешь убедить коллегу или руководство.

Главное не останавливаться и продолжать развиваться не только в какой-то узкоспециализированной сфере, а как цельной личности.

7. Системное мышление — еще один пробел. Инциденты в ИБ редко происходят из-за одной ошибки. Чаще это цепочка: устаревшее ПО, сбой мониторинга, открытая сессия. Понимание, как действия влияют на систему в целом, приходит с опытом. Простой пример: если злоумышленник может ввести пароль, проблема не в пароле, а в том, что доступ вообще возможен.

**Самыми полезными навыками оказались** ИТ бэкграунт - понимание что происходит. А не просто следование инструкциям. Это помогает разбираться в причинах и последствиях, а не просто устранять симптомы.

Для новичков в ИБ важно не только учить теорию, но и погружаться в реальные кейсы. Участие в симуляциях вроде CTF (Capture The Flag) или разбор реальных инцидентов помогает понять, как теория работает на практике. Создание сообществ, где специалисты делятся опытом, тоже усиливает интерес.

Бывает задают такие вопросы, на которые сложно сразу ответить.

Например, как пользователю на терминальном сервере сменить пароль при первом входе?

Сотрудник получил корпоративный ноутбук для командировки, но из-за сбоя драйвера сетевой карты не может подключиться к сети, а значит, удаленное подключение для передачи пароля администратора невозможно. А у пользователя не хватает прав. Как быть?

Знаете, зачем вас набирают в Телеграме или ВК незнакомые номера? 📞

Посмотрите видео выше, насколько легко узнать IP-адрес любого юзера через звонок. 🖥

Простых способов узнать о вас практически всё — сотни чего-то там, и если вы хотите соблюдать хотя бы минимум сетевой гигиены — подпишитесь на канал опытного айтишника 🧑‍💻, который расскажет вам всё об уловках хакеров/мошенников, а также поделится лайфхаками и инсайдами. 💡

Попался пост, где предполагают, что через звонок в мессенджере можно "узнать о вас всё".

Давайте разберем этот рекламный пост, отделив факты от страшилок и манипуляций. 🆘

Звонки от незнакомцев - обычная практика социальной инженерии. Мошенники любят прикидываться HR-менеджерами или "друзьями", чтобы втереться в доверие. Их цель - выудить данные, деньги 💵 или заманить на фишинговую ссылку. 🎣

Знаете, кто ещё страшнее? Агрессивные маркетологи, профессиональные продажники со своими околомошенническими, впаривающими схемами.

⚠️ Люди страдают в обоих случаях ☝️, хотя вторые действуют в рамках закона. Чаще всего они уже знают ваш номер и не пытаются по нему узнать IP-адрес.

А вот с IP-адресом не всё так просто. 🔍

Технически, если звонок идет напрямую, IP узнать можно. Например, через Wireshark🧜‍♀.

Вот только большинство мессенджеров по умолчанию перенаправляют звонки через свои серверы, особенно если звонящий не в списке ваших контактов.

Сам по себе динамический IP-адрес не так опасен, как пытаются представить, и не раскрывает личные данные. 🏠
По нему нельзя определить имя, цвет глаз 👁️ или номер квартиры.

Зачем тогда подобные посты? Чтобы вызвать тревогу ⚡️ и предложить «решение» — подписку на канал. Людям проще реагировать на «страшные слова» вроде хакеров и вашего IP, чем разбираться в деталях.

Не взаимодействуйте с незнакомыми номерами. ❌ Если звонок 🤬 кажется подозрительным, лучше его отклонить.

Мошенники часто рассчитывают на любопытство или вежливость жертвы. Так что просто игнорируйте подозрительные звонки.

➡️Ваша главная защита здравый смысл, а не паранойя по поводу IP-адреса.

Попробуйте поискать свой ник или номер в интернете 🌍 и удивитесь, сколько о вас уже известно.

#кибербезопасность #интернетбезопасность #защитаданных #конфиденциальность #инфобез #киберсоветы