ИНФОРМЗАЩИТА

Содержание: Стандарт PCI DSS (Payment Card Industry Data Security Standard) – это международный стандарт безопасности данных, предназначенный для защиты информации держателей платежных карт и предотвращения мошенничества. Он объединяет технические, организационные и процедурные меры, обязательные для всех компаний, которые хранят, обрабатывают или передают данные карт. Созданный в 2004–2006 годах платежными системами Visa, MasterCard, American Express, Discover и JCB, стандарт быстро стал глобальным ориентиром в области безопасности электронных платежей...

Безопасность программного обеспечения давно перестала быть задачей исключительно специалистов по кибербезопасности. Сегодня каждый разработчик несет ответственность за качество и защищенность кода. Один из ключевых инструментов, помогающих выявлять уязвимости еще до запуска приложения, – это SAST (Static Application Security Testing). В этой статье разберем, что такое SAST, как встроить его в CI/CD и какие инструменты лучше подходят для ваших задач. Что такое SAST и зачем он нужен SAST (Static Application Security Testing) – это метод анализа безопасности исходного кода без его выполнения...

С 1 сентября 2025 года вступили в силу изменения в Федеральный закон №187-ФЗ. Чтобы разобраться, как меняется жизнь субъектов критической информационной инфраструктуры (КИИ), мы пообщались со старшим консультантом Центра промышленной безопасности «Информзащиты» Елизаветой Австрийской. Изменения значительные. Я бы выделила несколько ключевых моментов. Во-первых, это поправки, касающиеся категорирования объектов КИИ. Теперь обязательно будет ориентироваться на перечни типовых отраслевых объектов КИИ,...

В современном мире скорость вывода программного продукта на рынок напрямую влияет на конкурентоспособность компании - производителя. Однако, высокая скорость разработки сопряжена с различными рисками. Один из ключевых – это риск получить работающий, но небезопасный продукт: уязвимости в коде решения могут привести к утечкам данных, финансовым потерям и ущербу для репутации компании, эксплуатирующей такой продукт. Именно поэтому на смену классическому DevOps приходит DevSecOps - подход, который объединяет...

Вайб-кодинг — это стиль разработки, в котором на первый план выходят скорость, ощущение продукта и визуальная составляющая. Такой подход особенно востребован на ранних стадиях: для быстрых прототипов, демонстраций и проверки идей в реальных условиях. Но когда прототип превращается в сервис с реальными пользователями и данными, вайб-кодинг часто оборачивается техническим долгом и уязвимостями, которые проявляются тогда, когда исправление становится особенно затратным. Причина почти всегда одна - решения,...

В России стартует новый этап цифровой идентификации: граждане смогут использовать QR-код из сервиса «Госдоки» наравне с паспортом. На первом этапе такой код будет можно предъявлять в магазинах при покупке товаров с ограничением по возрасту, в кино и музеях, при проходе в офисные центры, а также при отправке и получении посылок. В перспективе его применение расширится на финансовые организации, салоны связи, частные клиники и даже гостиницы. Правительство заверяет, что технология безопасна, а использование - сугубо добровольное...

Второй пакет антифрод-мер предлагает расширить запреты в законе об информации так, чтобы под них попадали материалы, пригодные для несанкционированного уничтожения, блокирования, изменения или копирования данных, а также сведения о доступе к программам для таких действий. В тексте нет явных исключений для обучения, исследований, CTF и ответственного раскрытия уязвимостей. В результате под подозрением оказываются разборы атак, учебные стенды, примеры эксплуатации и методички, которые сегодня составляют основу практической подготовки специалистов-пентестеров...

Слежка за пользователями через мессенджер МАХ — одна из самых популярных тем последнего времени в контексте информационной безопасности. Якобы каждые 5–10 минут десктопный клиент сам активирует веб-камеру, а Android-версия нашпигована «шпионскими» модулями. В качестве «доказательств» приводят всплывающие предупреждения защитного ПО и длинный список разрешений в Android-манифесте. Специалисты направления анализа защищённости Центра мониторинга и противодействия кибератакам IZ:SOC взялись разобраться,...

Компании на протяжении последних нескольких лет наращивают инвестиции в информационную безопасность. Создание комплексных систем защиты, внедрение современных решений, импортозамещение – все эти процессы безусловно усиливают кибербезопасность компаний. Однако главной уязвимостью остается человеческий фактор. По данным исследователей «Информзащиты» более 80% киберинцидентов так или иначе связаны с человеческим фактором: ошибками, невнимательностью или недостаточным пониманием угроз. Компании осознают: банальное повышение осведомленности сотрудников уже недостаточно...