АНО ДПО "Международная академия современного образования"

🔥 ФСТЭК утвердил новые требования по защите информации в госорганах, ГУП и учреждениях (Приказ №117 от 11.04.2025) С 1 марта 2026 года начинают действовать новые Требования №117. Они пришли на смену старым (№17) и теперь касаются не только ГИС, но и любых информационных систем госорганов, ГУП и госучреждений. 📌 Кого касается? Всех, кто является обладателем информации, оператором или заказчиком ИС. Фактически — подавляющее большинство госорганов и подведомственных учреждений. ⚠️ Главное новшество Требования распространяются на «иные ИС» (не только на ГИС). Это значит, что защищать нужно и внутренние системы кадрового, бухгалтерского учёта, МИС в больницах и т.д. 📝 Что сделать в первую очередь (до 01.03.2026 и сразу после): 1️⃣ Назначить ответственного за защиту информации (если нет – отвечает лично руководитель). 2️⃣ Создать отдел защиты информации или возложить функции на существующее подразделение (минимум 30% сотрудников должны иметь профильное образование в области ИБ). 3️⃣ Разработать и утвердить ключевые документы: Политику защиты информации Внутренние стандарты и регламенты по защите информации Акты классификации для каждой ИС (класс защищенности К1–К3) Модель угроз (обязательно для ГИС) 4️⃣ Применять только сертифицированные СЗИ из реестра ФСТЭК. Запрещены средства из недружественных стран (Указ №250). 📊 Новая отчётность во ФСТЭК Показатель защищённости Кзи – рассчитывать не реже 1 раза в 6 месяцев. Нормированное значение = 1. Показатель уровня зрелости Пзи – не реже 1 раза в 2 года. Отчёт направлять во ФСТЭК в течение 5 рабочих дней после расчёта. В 2026 году отчёты ожидаются уже в августе и декабре! 🛡 Обязательные мероприятия (21 направление): Управление уязвимостями (критические – устранять за 24 часа, высокие – за 7 дней) Управление обновлениями ПО Защита мобильных и конечных устройств Привилегированный доступ – только по принципу минимальности прав Мониторинг ИБ (SIEM, EDR) Контроль уровня защищённости (пентест не реже 1 раза в 3 года) 🚨 Взаимодействие с ГосСОПКА – обязательно для всех! (даже если вы не субъект КИИ) Подключиться к технической инфраструктуре НКЦКИ (личный кабинет) Сообщать об инцидентах в течение 24 часов Составить «белый список» разрешённых интернет-ресурсов 🤖 Если в ИС используется ИИ Не передавать информацию ограниченного доступа разработчику модели ИИ Контролировать запросы и ответы ИИ (шаблоны или допустимые тематики) Использовать только доверенные технологии ИИ 📅 Что делать, если контракт заключён до 01.03.2026? Допускается выполнять работы по старым правилам (Приказ №17). При модернизации ранее аттестованных ГИС – провести дополнительные аттестационные испытания и переоформить аттестат. 📎 Аттестация ГИС – обязательна до начала обработки информации. Иные ИС – по решению руководителя. Аттестаты, выданные до 01.03.2026, действительны. 📢 Рекомендация: не затягивайте с разработкой политики, стандартов и регламентов – регулятор ждёт их в первоочередном порядке. Полный текст комментария (на 11 страницах) с примерами форм документов – по ссылке (добавьте вашу ссылку). #ФСТЭК #ЗащитаИнформации #Приказ117 #ГИС #ИнформационнаяБезопасность #Госорганы drive.google.com/...ing

Фейковые вакансии на hh: теперь они воруют не только время, но и паспорт Вы думаете, главная проблема фейковой вакансии — пустое собеседование? В 2026 — нет. Пока вы гоняетесь за зарплатой 250к, мошенники через подставные объявления собирают ваши: — паспортные данные — СНИЛС и ИНН — фото с паспортом в руках — доступ к Госуслугам — даже биометрию (голос/лицо) Вот 8 ИБ-красных флагов в описании вакансии, после которых откликаться нельзя 👇 1. Зарплата на 50-100% выше рынка, но в личку сразу просят «прислать паспорт для пропуска» Схема: красивая цифра + просьба «подтвердить личность до собеса». Реальные компании не запрашивают документы до оффера. 2. Требования — «всё и сразу», а в анкете просят номер карты «для зарплаты» Типа «у нас автоматическая выплата, введите реквизиты в гугл-форму». Дальше — списание денег или попытка взять микрозайм на ваши данные. 3. Тестовое задание приходит в виде .exe, .scr, .docm с макросами Это не проверка навыков — это шифровальщик или стилер паролей. Легальное ТЗ — в Google Docs, Figma, Miro, PDF или обычном Word без макросов. 4. «Для удаленного доступа установите наше приложение» Никто не ставит софт на личный комп до первого рабочего дня. Это клон AnyDesk или VNC — через 5 минут у вас украдут все пароли и банк-клиент. 5. Сайт компании — копия известного бренда, но с ошибкой в адресе Например, sber-login.ru вместо sberbank.ru. Проверяйте ИНН через ФНС и смотрите год регистрации домена (whois). Молодым сайтам (менее года) — не доверяйте. 6. Вакансия висит полгода, а «рекрутер» зовёт в Telegram-бота Схема: бот просит номер телефона, потом код из СМС «для входа в базу». На деле — угон аккаунта Telegram. Дальше рассылка «денег взаймы» вашим контактам. 7. Корпоративная почта на @gmail.com / @bk.ru / @internet.ru Крупные компании не используют бесплатные ящики. Если вам пишут с hr@[крупный_банк].@gmail.com — это фишинг. 8. Платное тестирование + просьба записать видео с паспортом «Оплатите 500₽ за тест IQ, а для подтверждения личности снимите видео с паспортом». Эту биометрию используют для входа на Госуслуги вместо вас. ✅ Как проверить любую вакансию за 10 минут (ИБ-чеклист): Посмотрите домен почты — только корпоративный. Не скачивайте никакие программы до оффера. Никогда не отправляйте скан паспорта, СНИЛС, карты в мессенджеры или гугл-формы. Попросите ссылку на сайт работодателя и пробейте ИНН через nalog.gov.ru. Включите двухфакторку на Госуслугах перед активным поиском работы. Сталкивались с таким? Пишите в комментариях — предупредите других.

Хочу в ИБ: нет опыта и профильного образования / нужен совет Цель: 👉 получить диплом для работы в ИБ / выбрать направление 👉 проходить под требования для получения лицензий ФСТЭК / ФСБ 👉 не ошибиться с выбором курсов на старте 1. Хочу в ИБ с нуля (без опыта) Шаг 1. Выбери направление — ТЗКИ (госсектор, стабильная работа) — Аудит / консалтинг (процессы, ИБ-управление) — Пентест (техническая часть, востребовано) Шаг 2. Возьми базу Стартовый курс: 👉 «Информационная безопасность» Он даёт фундамент и формально закрывает вход в профессию. Шаг 3. Дальше по траектории 👉 ТЗКИ: — «Техническая защита конфиденциальной информации» (основа) — «Защита персональных данных» (дополнительно) 👉 Аудит: — ПДн + КИИ (база регуляторики) 👉 Пентест: — ФСТЭК-курсы не обязательны — упор на практику (HTB, labs, web-security) Шаг 4. Стажировка / первый опыт Без практики вход в ИБ сложный. 👉 стартуем с любой позиции: — джун / стажёр / ассистент — важнее опыт, чем условия 2. Лицензия ФСТЭК / ФСБ (для работы в лицензиате) Шаг 1. Определи тип лицензии 👉 ФСТЭК (ТЗКИ): — защита информации — аттестация систем — ПДн 👉 ФСБ (СКЗИ / криптография): — криптографическая защита — работа с СКЗИ Шаг 2. Обучение (только согласованные программы) ФСТЭК: — ТЗКИ (основная программа) ФСБ: — криптографические методы защиты информации Шаг 3. Где проверять программы ФУМО ИБ (структура программ ДПО) 👉 фумоиб.рф/...ure — показывает, какие программы считаются корректными — структура, содержание, стандарты Перечень организаций ФСТЭК 👉 fstec.ru/...ost — только эти организации дают «согласованные» курсы Шаг 4. Важный момент про лицензии Для лицензий нужны: подготовленные специалисты согласованное обучение опыт (в рамках лицензиата) Частая ошибка Берут «любой курс по ИБ» → а он не согласован с ФСТЭК / ФСБ Итог: — деньги потрачены — для лицензирование обучение не подходит — приходится переучиваться Коротко 👉 Хочу в ИБ → база + направление + практика 👉 Хочу лицензию → только согласованные программы + опыт 👉 Проверка курсов → ФУМО ИБ + перечень с сайта ФСТЭК Чем мы можем помочь проверить твой текущий диплом или подобрать курс подобрать траекторию под цель (ИБ / лицензия / аудит / пентест) помочь, зайти в лицензионную компанию на стажировку

🔐 КАК НАЙТИ РАБОТУ В ИБ В 2026    Рынок ИБ: вакансий +24%, толковых кандидатов с опытом 3–5 лет — единицы. Зарплаты реально: Москва 200–300к, миллионники 130–180к. Почему многие сидят за 120к? Не умеют себя продавать и учат не то.    Стратегия на 7 дней: 1️⃣ Прокачать навыки (курсы с ФСТЭК): согласованные с ФСТЭК с практиками, а не теоретиками    👉 В МАСО — лучшие преподаватели: Владислав Халяпин (15 лет, ТЗКИ/КИИ/СКЗИ) Степан Мурзинцев (10+ лет, пентест, Linux) Динара Кайрова (14 лет, ТЗИ, аттестация)    Топ курсов (окупаются за 1–2 месяца): ТЗКИ (~70 900₽) → ЗП 150–250к Безопасность КИИ (~63 900₽) → от 180к ПДн (~30 900₽) → база для всех СКЗИ (~18 900₽) → дефицит, быстрый рост    2️⃣ Переписать резюме (продающее) ❌ Не пишите: обязанности, «ответственный», без цифр. ✅ Название: «Ведущий специалист по лицензированию ФСТЭК/ТЗКИ» ✅ О себе (УТП): «Эксперт по compliance. Получил 5+ лицензий. Снижаю риски штрафов.» ✅ Опыт = достижения: Внедрил DLP → снизил утечки на 40% Разработал 15 ЛНА → прошёл проверку без замечаний ✅ Навыки: ГОСТ 56939, PDCA, модели угроз.    3️⃣ Искать там, где реально находят: Telegram: «Код найма», «Вакансии в ИБ | infosec», «CISO Job» LinkedIn (ещё работает) hh.ru — но не основной    Переговоры: не бойтесь вилки «от 180к + KPI». Аргумент — дефицит ваших навыков. 📅 План на неделю День 1–2: выбрать специализацию (ТЗКИ/КИИ/СКЗИ) → записаться на курс МАСО День 3–4: переписать резюме по шаблону День 5: обновить hh.ru, подписаться на TG-каналы День 6–7: откликнуться на 10–15 вакансий с персоналкой Итог: курсы от практиков + продающее резюме + активный поиск = оффер через 3–6 недель.

🔐 25 лет легендарному Приказу ФАПСИ №152! Поздравляю всех причастных к СКЗИ и ЭП! Ровно 25 лет назад, 13 июня 2001 года, был утверждён Приказ ФАПСИ №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».    Этот нормативный акт на долгие годы стал «криптографической конституцией» для всех, кто работал: — со средствами криптографической защиты информации (СКЗИ); — с электронной подписью (ЭП); — с защищённым документооборотом.    Именно Приказ №152 определил: ✅ как организовывать криптозащиту каналов связи; ✅ как хранить и учитывать ключевую документацию; ✅ как обеспечивать безопасность обработки информации с ограниченным доступом (но без гостайны).    🎉 Поздравляем: 🔹 сотрудников ФАПСИ / ФСБ / ФСТЭК; 🔹 разработчиков и интеграторов СКЗИ; 🔹 специалистов по защите информации; 🔹 всех пользователей электронной подписи и средств криптографической защиты.    Спасибо за 25 лет порядка, стойкости и доверия к криптографии в гражданском обороте. Пусть алгоритмы не стареют, ключи не теряются, а регуляторы радуют понятными требованиями! 🔐    #ФАПСИ #Приказ152 #СКЗИ #ЭлектроннаяПодпись #Криптография #ИБ #25лет

Уважаемые коллеги, представляю вашему вниманию подборку ключевых нормативных документов по безопасности критической информационной инфраструктуры (КИИ). Документы сгруппированы по иерархическому принципу. drive.google.com/...ing

🔐 Идеальное резюме специалиста по ИБ: как продать опыт, а не перечислить задачи Рынок ИБ — конкурентный. Хороших специалистов мало, но «серых» резюме — сотни. Чтобы HR и техлид дочитали до конца — читайте ниже👇 🚫 1. О чем лучше НЕ писать ❌ «Умею настраивать Windows» — это база ❌ Списки из 50 старых сертификатов без дат ❌ Личное: политика, религия, зодиак, дети ❌ Негатив о прошлых работодателях ❌ Слово «хакер» (пишите: пентест / исследователь уязвимостей) ❌ «Знание основ» — пишите глубину ❌ В блоке «О себе»: «коммуникабельный, стрессоустойчивый» — замените на факт ✅ 2. Как подать себя выгодно (стратегия «Эксперт-боец») 1️⃣ Цифры в каждом достижении Не «проводил аудит», а «провел аудит 12 филиалов, выявил 34 критические уязвимости» 2️⃣ Название должности = уровень Не «специалист по ИБ», а «Security Analyst | Blue Team | SOC» 3️⃣ Системность «Разработал политику ИБ с нуля для 500+ сотрудников» 📱 3. Как указать блог и нестандартные места работы ✔️ Блог профильный → ссылка + цифры: «3.5k подписчиков, 12 статей» ✘ Непрофильный (рыбалка, политика) → не пишите Фриланс / волонтерство: «Проектная деятельность / Bug bounty (HackerOne, 3 уязвимости, $2000+)» Под NDA: «Участвовал в расследовании APT — сократил время простоя на 70%» ✍️ 4. Как расписать функционал ❌ Плохо: «Занимался антивирусами, проверял логи, настраивал файрволы» ✅ Хорошо: • Управление EDR (CrowdStrike), SIEM (ArcSight) • 40+ правил детектирования (снижение false-positive на 25%) • Изоляция хостов за <5 минут 💡 Совет: всегда разделяйте «регулярные задачи» и «проектные достижения» 📊 5. Как выделить успехи Было → Стало «Настроил DLP» → «За 2 месяца внедрил DLP Solar Dozor — заблокировано 7 утечек ПДн» «Провел обучение» → «Фишинг-открываемость упала с 35% до 8% за 3 месяца» «Обновил антивирус» → «Мигрировал 800+ ПК за 10 дней без простоев» 📌 6. ЧЕГО НЕ ПИСАТЬ (чек-лист) ✗ «Личные качества: ответственный, пунктуальный» ✗ «Знаю основы сетей» (если не знаете глубже) ✗ «Умею взламывать» ✗ Почта типа vasyapupkin@mail.ru ✗ Неформальное фото ✗ Ложь (ИБ-мир тесен)

Коллеги, делюсь важным! После лекции по Приказу ФСТЭК №239 (и, конечно, с оглядкой на логику №117) мы совместно с коллегами подготовили практический документ — памятку/чек-лист по подготовке к проверке. Что учли: Требования 239-го к организационной и технической защите. Логику 117-го — как именно проверяющие будут смотреть и что запросят. Типичные ошибки, которые выявляют на реальных проверках. Результат — не просто теория, а готовый алгоритм действий для вашей ИБ-службы. Документ уже помог системно подойти к «бумаге» и настройкам. Кому нужен шаблон или обсудить нюансы — пишите в комментарии/личку. Сохраняйте себе и коллегам! ✅ #ФСТЭК #Приказ239 #Приказ117 #ПодготовкаКПроверке #ИБ drive.google.com/...ing

📄 ФСТЭК утвердил новую методику поиска уязвимостей и НДВ (май 2026) 12 мая 2026 года ФСТЭК России утвердил обновленный методический документ — «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении». Документ заменит предыдущую версию от 25 декабря 2020 года. 🔐 Ключевое нововведение — 6 уровней контроля Самый низкий — 6-й, самый высокий — 1-й. Уровень определяется требованиями доверия (приказ ФСТЭК № 76 от 02.06.2020). ✅ Что теперь требуется анализировать (п. 2.3) документацию и исходный код сборочную среду и систему сборки дистрибутив перечень компонентов и образов контейнеров (CycloneDX JSON) результаты всех процессов разработки по ГОСТ Р 56939‑2024 модульные, интеграционные, регрессионные тесты и фаззинг и даже тесты, демонстрирующие выполнение функций безопасности ⚙️ Подготовка к исследованиям (Раздел 3) анализ документации (ПОД.1) подготовка стенда с контролируемой сборкой (ПОД.2) обязательный антивирусный контроль (не менее двух сертифицированных средств) контроль целостности по ГОСТ 34.11‑2012 (Стрибог) 🔬 Типы исследований (Раздел 4) КАО — анализ архитектуры (статический и динамический) САО — статический анализ исходного кода (синтаксические деревья, ручная разметка предупреждений) ДАО — динамический анализ (модульное тестирование + фаззинг) ЭКО — экспертиза кода (ручной анализ наиболее критичных участков) ⚠️ Важные требования к разметке предупреждений (п. 5.3) Каждое предупреждение анализатора должно быть прокомментировано содержательно Фразы «Не эксплуатируемо», «Не несет угроз» и т.п. — не допускаются Групповая разметка без разбора причин — тоже нарушение 📦 Форматы данных (Приложения 1 и 2) Перечень компонентов и образов контейнеров — только CycloneDX в JSON (RFC 8259). Хэши — строго по ГОСТ 34.11‑2012 (256/512 бит). 🗺 Пример анализа поверхности атаки (Приложение 3) Подробная модель на примере средства «Ромашка» — от внешних интерфейсов до подсистем и требований по уровням контроля. 🎯 Почему это важно Методика уже обязательна для сертификационных испытаний. Разработчикам рекомендуется использовать её для внутренних процессов по ГОСТ Р 56939‑2024. Объём модифицированного байт-кода более 10 000 инструкций — основание для прекращения исследований (п. 3.2, усиление 1). 💡 Вывод Новая методика существенно повышает требования к глубине анализа, прозрачности разметки результатов и контролю сборочного процесса. Особый акцент — на интерпретируемые языки, среду исполнения и минимизацию привилегий компонентов. 🔗 Документ вступает в силу с даты утверждения — 12.05.2026. Предыдущая методика (декабрь 2020) прекращает применение. #ФСТЭК #НДВ #Уязвимости #БезопасностьПО #Сертификация #CycloneDX #ГОСТ34_11 #ИнфоБез

📌 Изменения в перечень объектов КИИ: уточнили тепловые электростанции и исключили одну позицию Правительство России утвердило изменения в перечень типовых отраслевых объектов критической информационной инфраструктуры (КИИ). Соответствующее распоряжение от 27 мая 2026 г. № 1237-р подписал председатель Правительства Михаил Мишустин. Что изменилось? 🔹 Позиция 98 изложена в новой редакции Теперь в перечень включены информационные системы, АСУ и сети, предназначенные для контроля и управления технологическим оборудованием и электротехническими процессами тепловых электростанций (электроцентралей), за исключением атомных. В описание добавлены функции: управление технологическими процессами ТЭС; контроль параметров технологических и электротехнических процессов; управление аварийной и предупредительной сигнализацией и др. 🔹 Позиция 99 исключена — одна из ранее перечисленных отраслевых позиций больше не входит в перечень. Изменения внесены в перечень, утвержденный распоряжением Правительства от 26 февраля 2026 г. № 360-р. #КИИ #энергетика #критическаяинфраструктура #правительство