ИНФОРМЗАЩИТА

Требования о защите информации, утвержденные приказом №117 ФСТЭК от 11 апреля 2025 года, существенно расширяют требования к защите информационных систем госсектора. Документ пришел на смену приказу №17 и меняет привычную логику работы только с ГИС: теперь в контур требований попадают информационные системы государственных органов, организаций, предприятий и учреждений, включая решения, которые раньше могли оставаться за пределами прежнего регулирования. Речь идет не только о системах, обеспечивающих государственные функции или предоставление государственных услуг...

В марте 2026 года ФСТЭК предупредил об обнаружении критической уязвимости CVE-2026-27896 в библиотеке MCP Go SDK. На первый взгляд речь идет о технической ошибке в обработке JSON-сообщений. Однако для организаций, внедряющих искусственный интеллект в корпоративные процессы, значение этой проблемы гораздо шире. За последние два года компании активно внедряют ИИ-агентов и интеллектуальных ассистентов для автоматизации внутренних процессов: обработки заявок, анализа документов, поддержки пользователей, работы с клиентскими данными...

2025-2026 годы стали переломным этапом в развитии регулирования КИИ (критической информационной инфраструктуры) в России. После нескольких лет формирования нормативной базы государство переходит к более жесткой фазе контроля за субъектами КИИ. Изменения затрагивают не только формальные процедуры, но и управленческую ответственность руководителей организаций, эксплуатирующих критические информационные системы. В статье рассмотрим ключевые изменения регулирования КИИ: корректировки законодательства, новые правила категорирования и рост регуляторного контроля...

Для финансового рынка «фрод» и «мошенничество» - это уже давно не точечные инциденты, а постоянный операционный риск: банки, ритейл, маркетплейсы и финтех ежедневно отбиваются от кибермошенничества в дистанционных каналах. Резкий рост фишинга, усложнение сценариев социальной инженерии и появление ИИ-фрода (deepfake-звонки, нейросетевые боты, таргетированные атаки на основе данных из соцсетей) превратили антифрод из технической системы в одну из ключевых финансовых составляющих банка, напрямую влияющую на P&L и операционные показатели...

В условиях стремительного роста киберугроз и усиления регуляторного контроля требования к защите информации в финансовом секторе продолжают ужесточаться. Регулятор последовательно повышает стандарты информационной безопасности, стремясь обеспечить устойчивость рынка и защиту интересов клиентов. Очередной шаг в этом направлении сделал Банк России, обновив требования к некредитным финансовым организациям и расширив круг участников, на которых распространяются обязательные меры по защите информации...

Содержание: Стандарт PCI DSS (Payment Card Industry Data Security Standard) – это международный стандарт безопасности данных, предназначенный для защиты информации держателей платежных карт и предотвращения мошенничества. Он объединяет технические, организационные и процедурные меры, обязательные для всех компаний, которые хранят, обрабатывают или передают данные карт. Созданный в 2004–2006 годах платежными системами Visa, MasterCard, American Express, Discover и JCB, стандарт быстро стал глобальным ориентиром в области безопасности электронных платежей...

Безопасность программного обеспечения давно перестала быть задачей исключительно специалистов по кибербезопасности. Сегодня каждый разработчик несет ответственность за качество и защищенность кода. Один из ключевых инструментов, помогающих выявлять уязвимости еще до запуска приложения, – это SAST (Static Application Security Testing). В этой статье разберем, что такое SAST, как встроить его в CI/CD и какие инструменты лучше подходят для ваших задач. Что такое SAST и зачем он нужен SAST (Static Application Security Testing) – это метод анализа безопасности исходного кода без его выполнения...

С 1 сентября 2025 года вступили в силу изменения в Федеральный закон №187-ФЗ. Чтобы разобраться, как меняется жизнь субъектов критической информационной инфраструктуры (КИИ), мы пообщались со старшим консультантом Центра промышленной безопасности «Информзащиты» Елизаветой Австрийской. Изменения значительные. Я бы выделила несколько ключевых моментов. Во-первых, это поправки, касающиеся категорирования объектов КИИ. Теперь обязательно будет ориентироваться на перечни типовых отраслевых объектов КИИ,...

В современном мире скорость вывода программного продукта на рынок напрямую влияет на конкурентоспособность компании - производителя. Однако, высокая скорость разработки сопряжена с различными рисками. Один из ключевых – это риск получить работающий, но небезопасный продукт: уязвимости в коде решения могут привести к утечкам данных, финансовым потерям и ущербу для репутации компании, эксплуатирующей такой продукт. Именно поэтому на смену классическому DevOps приходит DevSecOps - подход, который объединяет...

Вайб-кодинг — это стиль разработки, в котором на первый план выходят скорость, ощущение продукта и визуальная составляющая. Такой подход особенно востребован на ранних стадиях: для быстрых прототипов, демонстраций и проверки идей в реальных условиях. Но когда прототип превращается в сервис с реальными пользователями и данными, вайб-кодинг часто оборачивается техническим долгом и уязвимостями, которые проявляются тогда, когда исправление становится особенно затратным. Причина почти всегда одна - решения,...

В России стартует новый этап цифровой идентификации: граждане смогут использовать QR-код из сервиса «Госдоки» наравне с паспортом. На первом этапе такой код будет можно предъявлять в магазинах при покупке товаров с ограничением по возрасту, в кино и музеях, при проходе в офисные центры, а также при отправке и получении посылок. В перспективе его применение расширится на финансовые организации, салоны связи, частные клиники и даже гостиницы. Правительство заверяет, что технология безопасна, а использование - сугубо добровольное...

Второй пакет антифрод-мер предлагает расширить запреты в законе об информации так, чтобы под них попадали материалы, пригодные для несанкционированного уничтожения, блокирования, изменения или копирования данных, а также сведения о доступе к программам для таких действий. В тексте нет явных исключений для обучения, исследований, CTF и ответственного раскрытия уязвимостей. В результате под подозрением оказываются разборы атак, учебные стенды, примеры эксплуатации и методички, которые сегодня составляют основу практической подготовки специалистов-пентестеров...