НКЦКИ создал алгоритм оценки рисков при обновлении заграничного софта

Татьяна Никитина 18 Апреля 2022 - 21:14

Корпорации

Государство

Соответствие требованиям регуляторов

Соответствие законодательству РФ

Импортозамещение

Санкции против России

...

НКЦКИ создал алгоритм оценки рисков при обновлении заграничного софта

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) разработал алгоритм, призванный упростить процесс принятия решения о необходимости установки апдейтов для программ иностранного производства. В конце марта российская CERT советовала в таких случаях отключить автообновление из-за возможной угрозы безопасности информационным ресурсам РФ.

Прежняя мера, по словам НКЦКИ (PDF), была краткосрочной и вынужденной: были зафиксированы случаи внедрения в зарубежный софт недокументированных возможностей (НДВ) либо механизмов блокировки работы. Поскольку в долгосрочной перспективе отказ от обновления может привести к накоплению уязвимостей, угроза потери важных данных или приостановки критичных бизнес-процессов может оказаться выше рисков, связанных с внедрением нежелательного контента.

Чтобы облегчить ИБ-службам принятие решений в столь непростой ситуации, НКЦКИ создал алгоритм, учитывающий все возможные критерии оценки. Его не рекомендуется применять для обновления софта, используемого в АСУ ТП; его также нельзя использовать в тех случаях, когда речь идет о программах для мобильных устройств.

При работе с алгоритмом необходимо учитывать следующее:

это лишь рекомендация, за ее применение отвечает исполнитель;
алгоритм не предусматривает граничные случаи, поэтому его следует использовать с учетом контекста;
перед обновлением софт надлежит проверить в тестовой среде или по контрольной выборке;
в тех случаях, когда можно предотвратить эксплойт средствами защиты, обновление лучше не производить;
если есть возможность проверить наличие НДВ в апдейтах, решение следует принимать по результатам собственного анализа, а не по алгоритму НКЦКИ.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Яков Шпунт 27 Марта 2026 - 18:15

Соответствие законодательству РФ Домашние пользователи Защита персональных данных

Жильцы вправе требовать от консьержей неразглашения данных

Первый заместитель председателя комитета Госдумы по строительству и ЖКХ Владимир Кошелев напомнил, что консьержи могут нести ответственность за разглашение информации о жильцах, вплоть до уголовной. Однако это возможно только в том случае, если требование о конфиденциальности прямо закреплено в их должностной инструкции.

Как пояснил депутат в комментарии ТАСС, жители дома могут включить такой пункт в инструкцию консьержа на общем собрании:

«Что касается беспокойства о приватности информации, которой обладает консьерж, то оно решается правилами, закрепленными в должностной инструкции, утвержденной общим собранием. В ней должен быть чётко прописан отдельный пункт о конфиденциальности — запрет на разглашение любой информации о жильцах и их гостях третьим лицам».

Если это требование будет нарушено, консьержа, как напомнил Владимир Кошелев, могут не только уволить, но и привлечь к уголовной ответственности по статье 137 УК РФ («Нарушение неприкосновенности частной жизни»).

Эта статья предусматривает штраф в размере дохода осуждённого за период до полутора лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срок. Если же противоправные действия были совершены с использованием служебного положения, ответственность становится строже.

Недавно по статье 137 УК РФ было передано в суд уголовное дело в отношении жительницы Алтайского края. По версии следствия, она пыталась собрать компрометирующую информацию на своего руководителя, установив диктофон в его служебном кабинете.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!