Необходимое или достаточное условие? Применяем комплаенс от Регулятора

Необходимое или достаточное условие? Применяем комплаенс от Регулятора

Необходимое или достаточное условие? Применяем комплаенс от Регулятора

Для экспертного сообщества не остался незамеченным выход в конце 2022 года Методического документа ФСТЭК России «Рекомендации по безопасной настройке операционных систем Linux», областью применения которого обозначены несертифицированные по требованиям безопасности информации ОС Linux (в том числе иностранной разработки), применяемые в государственных информационных системах и на объектах критической информационной инфраструктуры Российской Федерации.

Без внимания не оставила эти Рекомендации и компания АЛТЭКС-СОФТ - разработчик сертифицированного средства анализа защищенности RedCheck, оперативно добавившая этот комплаенс в библиотеку конфигураций безопасности, поставляемую в составе сканера.

Документ содержит предельно чёткие и понятные настройки для обеспечения минимально допустимого уровня безопасности, удовлетворяющего требованиям Регулятора к защищённым ИС. Настройки сгруппированы по следующим разделам:

  • настройка авторизации в операционной системе;
  • ограничение механизмов получения привилегий;
  • настройка прав доступа к объектам файловой системы;
  • настройка механизмов защиты ядра Linux;
  • уменьшение периметра атаки ядра Linux;
  • настройка средств защиты пользовательского пространства со стороны ядра Linux.

Однако, администраторы ИБ или пользователи специализированных сканеров безопасности с функцией Compliance (аудит конфигураций), заметят, что количество контролируемых параметров в конфигурации Регулятора меньше, чем в комлаенсах от вендоров ОС или экспертных организаций, например, CIS Benchmarks. При этом конфигурация универсальна, её применение возможно на любой ОС Linux, включая устаревшие дистрибутивы.

Так в итоге, какой комплаенс применять если вам необходимо обеспечить безопасное и легитимное функционирование несертифицированных ОС Linux - комплаенс от ФСТЭК России или конфигурацию параметров безопасности для конкретных ОС Linux? Ответ специалистов АЛТЭКС-СОФТ – в первую очередь конфигурацию по рекомендации Регулятора, во вторую, конфигурацию безопасности для конкретной ОС. И в этом нет никаких противоречий или избыточности. Дело в том, что конфигурации безопасности, учитывают уникальные настройки каждого семейства операционных систем и благодаря этому отлично дополняют базовые параметры безопасности, приведенные в Рекомендациях.

Поэтому, если у вас есть сканер безопасности RedCheck или альтернативное средство, осуществляйте контроль настроек в два этапа:

  1. Сначала проведите проверку на соответствие Методическому документу ФСТЭК России. Универсальность этой конфигурации позволит вам оценить базовые настройки безопасности Linux в рамках одной задачи, охватив контролируемые хосты максимально широко.
  2. Убедившись, что ваши контролируемые активы с Linux ОС, соответствуют требованиям документа ФСТЭК России, произведите оценку соответствия специализированной конфигурации из числа предложенных сканером для соответствующей ОС.

Периодичность контроля на соответствие Рекомендациям в виду критичности параметров должна быть чаще, чем периодичность расширенных комплаенс-проверок.

Таким образом, предложенная в методическом документе конфигурация является минимально необходимой, но возможно недостаточной и для вашей системы требуется применение более широких конфигураций параметров безопасности. Помните, что за инциденты безопасности ответственность несёт оператор ИС!

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru