RTM Group
239
подписчиков
Объединяем IT, право и безопасность
Переработка чужого ПО: вы новый автор или нарушитель?
Ничто не ново в этом мире: многие программы являются переработкой созданного ранее ПО. На основе имеющегося, в том числе в открытых источниках, материала делают модули к основной программе, адаптируют версии ПО и т.д. Будет ли переработка старого произведения считаться новым? Как не перейти тонкую грань между правомерным изменением и незаконным использованием чужого продукта? На эти и другие вопросы в своей авторской колонке отвечает юрисконсульт в области ИТ RTM Group Татьяна Сергеева. Эти понятия непосредственно связаны с внесением изменений в ПО и правовыми последствиями таких действий...
Защитникам цифрового фронта – об основных трендах ИБ
В последние годы индустрия ИБ столкнулась со множеством сложностей. Кадровый голод, новые законодательные требования, внимание со стороны контролирующих органов и, конечно же, стремительный рост числа атак, главными целями которых является крупный бизнес и государственный сектор. В данном материале Артем Православский, ведущий консультант по ИБ RTM Group, рассмотрит основные тренды отрасли, актуальные во втором квартале 2024 года, и проведет их общий анализ, который наверняка пригодится при планировании развития системы безопасности...
Спам-звонки: что нового в правовом регулировании
Звонки с незнакомых номеров сейчас — это настоящий стресс: ждешь важного обращения по работе, а на другом конце очередной спам. Практически каждый день мы сталкиваемся с такой непрошенной рекламой. Это подтверждается и статистикой: в 2023 году, например, число спам-звонков достигло восьми миллиардов. Существуют сервисы, которые предупреждают о возможном спаме, однако они не всегда справляются. Назойливые обращения по телефону становятся все более изощренными и обходят проверки. Урегулирован ли спам...
Оценка качества данных информационных систем банка: практический эффект
Оценка качества данных в информационных системах (далее – ИС) позволяет выявить системные недостатки и ошибки, которые служат фундаментом для разработки мероприятий по повышению эффективности функционирования процессов. Тот факт, что регулятор разработал и предлагает четкие требования к тому, как это должно делаться, свидетельствует о значимости данной темы. Однако, при оценке качества данных можно столкнуться со сложностями, которые специалистам не всегда удается корректно решить. В этой статье...
Нарушение авторских прав на ПО при тестировании защищенности информационных систем
Сейчас в Госдуме рассматривается законопроект о внесении изменений в Гражданский кодекс РФ, которые позволят исключить нарушения авторских прав на ПО во время тестирования защищенности, или пентестов информационных систем (ИС). По словам авторов законопроекта, это первый из пакета законопроектов на тему легализации «белых хакеров». Следующие поправки должны исключить риски привлечения к уголовной ответственности пентестеров и закрепить возможность оператора ИС привлекать «белых хакеров» для выявления уязвимостей ИС...
Главные ошибки категорирования и что с ними делать
Из более чем 500 тыс. субъектов КИИ (Критической информационной инфраструктуры) примерно половина до сих пор не провела категорирование. И это при том, что согласно Постановлению Правительства РФ №127, до конца этого года его необходимо пройти всем организациям, принадлежащим к КИИ. Причина низкой активности – не только в сложностях реализации процесса, но и в различных ошибках, которые совершают субъекты. В данном материале Федор Музалевский, директор технического департамента RTM Group, расскажет об основных из них, а также разъяснит, как провести категорирование грамотно...
Значимость образования в сфере безопасности КИИ
Безопасность критической информационной инфраструктуры (КИИ) включает в себя комплекс мер и механизмов, направленных на обеспечение защиты от киберугроз, в том числе от хакерских атак, вирусов, вредоносного ПО и других. Под безопасностью КИИ понимается также защита информационных систем и сетей от несанкционированного доступа, утечек конфиденциальной информации и других видов киберпреступности. Данное направление включает в себя целый ряд технологий, политик, процедур и практик, направленных на обеспечение надежности, конфиденциальности и доступности информации...
Как ранжировать уязвимости по уровню опасности
Уязвимости, обнаруживаемые в информационных системах, необходимо не только своевременно обнаруживать, но и ранжировать. Это позволит сразу понять, насколько серьёзна проблема, нужно ли решать её незамедлительно или можно отложить. Рассказываем, как это делать правильно. Введение Информация о новых уязвимостях появляется практически ежедневно. Только в январе 2024 года в базе данных общеизвестных уязвимостей Common Vulnerabilities and Exposures (CVE) зарегистрировано почти пять тысяч новых записей, часть из которых уже подтверждены...
Внутренний нарушитель: найти и обезвредить
Ежегодно компании теряют миллионы рублей из-за инцидентов, связанных с внутренними нарушителями. Имеют место как халатность, случайные утечки данных, так и атаки, спланированные с участием сотрудников организации-жертвы. По данным RTM Group, на инциденты с участием внутренних нарушителей приходится сегодня не менее трети всех инцидентов ИБ. Как защитить данные от тех людей, которым доступ к ним предоставлен по служебной необходимости? Что недобросовестные сотрудники используют для «слива» конфиденциальных...
Ибэшников на всех не хватает! Спасет ли аутсорсинг?
Аутсорсинг информационной безопасности набирает популярность, особенно в последнее время, когда иллюзии защищенности данных развеивает беспощадная статистика, а квалифицированных специалистов по ИБ на всех не хватает. Только за прошедший год количествокибератак на российские компании увеличилось в 2 раза (Ростелеком-Солар), а числоинцидентов — почти на 21% (Positive Technologies). Кому и когда пора идти за аутсорсом? Стоит ли доверять «арендованному» персоналу и как не ошибиться с выбором подрядчика?...
Как организовать систему обработки персональных данных работников компании
Безусловным трендом последних лет является ужесточение ответственности за нарушение законодательства в области персональных данных (далее – ПДн). Об этом свидетельствуют принятые законы и обсуждаемые законопроекты, например, введение оборотных штрафов за утечки ПДн, возможность внеплановых проверок регулятора и т.д. Учитывая это, компаниям необходимо организовать систему обработки ПДн работников компании не с формальной точки зрения, а с целью реальной защиты данных. О том, как это сделать, расскажет в данной статье Карине Маргарян, юрисконсульт по информационной безопасности RTM Group...
Что такое хороший отчет по пентесту и зачем он нужен
Проведение тестирования на проникновение (пентеста) направлено на предотвращение утраты активов, связанной с кражей и утечкой данных в результате хакерских атак. Рынок пентеста на территории РФ, по различным оценкам, в 2022 году составил от 1,5 до 2,5 млрд рублей, и продолжает расти. Анализ результатов пентестов, проведенный экспертами компании RTM Group в 2022 году, показал, что 83% протестированных компаний имели в своих информационных системах уязвимости среднего уровня, 69% - высокого и 46% -...