Средства защиты данных InterSystems Ensemble сертифицированы ФСТЭК

Александр Панасенко 23 Января 2015 - 15:28

Корпорации

Linux

Windows

Системы защиты от утечек конфиденциальной информации (DLP)

Сертификаты ФСТЭК

Уязвимости

...

Филиал корпорации InterSystems в России, странах СНГ и Балтии объявила о получении сертификата Федеральной службы по техническому и экспортному контролю (ФСТЭК) РФ на комплекс средств защиты информации интеграционной платформы InterSystems Ensemble 2014.1.

Как сообщили в InterSystems, полученный сертификат соответствия №3300 от 18 декабря 2014 г. удостоверяет, что комплекс средств защиты информации платформы InterSystems Ensemble 2014.1, функционирующей в операционных системах Microsoft Windows и Red Hat Linux, успешно прошел испытания на соответствие требованиям: руководящего документа ФСТЭК России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля; технических условий (ТУ), прилагаемых к сертификатам, сообщает safe.cnews.ru .

В свою очередь, требования ТУ разработаны на основе следующих документов ФСТЭК: приказ № 17 от 11.02.2013 г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»; приказ № 21 от 18.02.2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Согласно сертификату, комплекс средств защиты платформы интеграции приложений InterSystems Ensemble 2014.1 является программным средством защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. В целом решение предлагает следующие функции: идентификация и аутентификация субъектов доступа к объектам доступа; управление доступом субъектов доступа к объектам доступа; регистрация событий безопасности; контроль (анализ) защищенности информации; обеспечение доступности информации; обеспечение целостности информационной системы и информации; защита информационной системы, ее средств, систем связи и передачи данных.

InterSystems Ensemble 2014.1 можно использовать в государственных информационных системах, аттестуемых вплоть до 1-го класса защищенности, а также в информационных системах персональных данных, аттестуемых вплоть до 1-го уровня защищенности.

По информации компании, на сегодняшний день все основные продукты корпорации InterSystems — платформа данных Caché, интеграционная платформа Ensemble и медицинская информационная платформа HealthShare — сертифицированы ФСТЭК.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 26 Апреля 2024 - 15:38

Атаки на сайты Уязвимости сайтов Взлом сайтов Заражение веб-сайта Домашние пользователи

Критическая дыра в WordPress-плагине WP-Automatic используется в атаках

Киберпреступники пытаются использовать в атаках критическую уязвимость в плагине WP‑Automatic для сайтов на WordPress. В случае успешной эксплуатации брешь позволяет получить полный контроль над целевым веб-ресурсом.

Проблему, о которой идёт речь, отслеживают под идентификатором CVE-2024-27956. По шкале CVSS ей присвоили почти максимальный балл — 9,9.

«Уязвимость представляет собой возможность SQL-инъекции и создаёт серьёзные риски для владельцев веб-сайтов, поскольку злоумышленники могут получить несанкционированный доступ», — пишут специалисты WPScan в официальном уведомлении.

«Например, атакующие создают аккаунты с правами администратора, загружают вредоносные файлы и получают полный контроль над ресурсом».

По словам исследователей, проблема кроется в механизме аутентификации, реализованном в плагине WP-Automatic. Условный злоумышленник может обойти его с помощью SQL-запросов к базе данных.

В тех атаках, которые удалось отследить экспертам, CVE-2024-27956 используется для отправки несанкционированных запросов к БД и создания учётных записей уровня администратора (имена обычно начинаются на «xtw»).

После этого злоумышленники могут менять код и загружать любые файлы. В данных кампаниях атакующие устанавливают бэкдор и обфусцируют вредоносный код.

С 13 марта 2024 года команда Patchstack отследила уже 5,5 млн попыток эксплуатации CVE-2024-27956.