Selectel подтвердил уровень защиты своей облачной платформы до УЗ-1

Selectel подтвердил уровень защиты своей облачной платформы до УЗ-1

Российский провайдер ИТ-инфраструктуры Selectel подтвердил соответствие своей облачной платформы наивысшему уровню защиты персональных данных. Такая оценка нужна для хранения самых чувствительных ПДн от 100 тысяч субъектов данных.

По результатам оценки, облачная платформа Selectel соответствует мерам по обеспечению безопасности хранения и обработки персональных данных до первого уровня защищенности (УЗ-1), говорится в сообщении оператора.

Теперь клиенты могут размещать персональные данные всех категорий при использовании облачных решений провайдера – облачных серверов, объектного хранилища S3, кластеров Kubernetes и облачных баз данных.

Эта мера необходима для обработки и хранения специальных категорий персональных данных, если количество субъектов персональных данных превышает 100 тысяч человек.

В этом случае заказчик освобождается от необходимости оценки потенциальных угроз со стороны провайдера, так как Selectel проводит эту процедуру самостоятельно и предоставляет клиенту выписку из модели угроз (в соответствии с нормами ФСТЭК).

Обязанности по обеспечению безопасности и соответствия требованиям законодательства разделяются между провайдером и клиентом.

Selectel гарантирует выполнение всех требований 21 приказа ФСТЭК на уровне аппаратного и программного обеспечения, среды виртуализации и средств управления.

Также Selectel обеспечивает безопасность инфраструктуры на физическом уровне в дата-центрах, говорится в сообщении оператора. В центрах устанавливают системы контроля и управления доступом, видеонаблюдения, резервирования инженерных систем, охранной и пожарной сигнализаций.

Заказчик при этом берет на себя ответственность за создание, управление и построение системы защиты своего проекта, включая объекты внутри него.

Подтверждение соответствия УЗ-1 — закономерный шаг для Selectel, комментирует новость директор по клиентской безопасности Selectel Денис Полянский.

”Мы уделяем первостепенное внимание вопросам информационной безопасности. Такой подход полностью соответствует запросам заказчиков – учитывая возросший интерес к облакам”, — говорит Полянский.

Selectel — провайдер облачной инфраструктуры и услуг дата-центров. У компании шесть центров в Москве, Санкт-Петербурге и Ленинградской области. Среди клиентов Selectel — ПИК, X5Group и Amediateka.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Android устранили дыру, фигурирующую в атаках шпионов с декабря 2022-го

Google выпустила очередные ежемесячные обновления для мобильной операционной системы Android. В этот раз разработчики устранили 56 уязвимостей, пять из которых признаны критическими, а одна используется в кибератаках с декабря 2022 года.

Набор обновлений под номером 2023-06-05 содержит патч для бреши под идентификатором CVE-2022-22706. Она затрагивает драйвер уровня ядра Mali GPU и используется в реальных атаках кибершпионов.

«Мы видим признаки эксплуатации CVE-2022-22706 в кибератаках», — говорится в примечаниях Google к выпуску патчей. Кроме того, CISA также отмечало опасность CVE-2022-22706 ещё в марте.

По шкале CVSS уязвимость получила 7,8 балла из 10. Она позволяет пользователю с низкими правами получить доступ на запись к тем страницам памяти, которые предназначены только для чтения (read-only).

Как отметили в Arm, проблема актуальна для следующих версий драйвера уровня ядра:

  • Midgard GPU Kernel Driver: все версии с r26p0 по r31p0
  • Bifrost GPU Kernel Driver: все версии с r0p0 по r35p0
  • Valhall GPU Kernel Driver: все версии с r19p0 по r35p0

Arm устранила уязвимость в Bifrost и Valhall GPU Kernel Driver r36p0, а также в Midgard Kernel Driver r32p0, однако патчи дошли до стабильной версии Android только сейчас. Например, Samsung избавилась от CVE-2022-22706 с майскими патчами.

Что касается других критических брешей в Android, информация по ним такая:

  1. CVE-2023-21127 — возможность удалённого выполнения кода в Android Framework. Затрагивает Android 11, 12 и 13.
  2. CVE-2023-21108 — возможность удалённого выполнения кода в Android System. Затрагивает Android 11, 12 и 13.
  3. CVE-2023-21130 — также возможность удалённого выполнения кода в Android System, но затрагивает только Android 13.
  4. CVE-2022-33257 — критическая брешь неустановленного типа, затрагивающая компоненты Qualcomm с закрытым исходным кодом.
  5. CVE-2022-40529 — также критический баг, затрагивающий компоненты Qualcomm с закрытым исходным кодом.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru