ФСТЭК России не рекомендовала использовать AOSP на объектах КИИ
Главная » Новости

ФСТЭК России не рекомендовала использовать AOSP на объектах КИИ

Яков Шпунт 24 Февраля 2025 - 14:13
...
ФСТЭК России не рекомендовала использовать AOSP на объектах КИИ

ФСТЭК России в ответ на запрос Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» сообщила, что мобильные операционные системы, основанные на Android Open Source Project (AOSP), несут потенциальные риски при использовании в российских госкорпорациях и на объектах критической информационной инфраструктуры (КИИ).

AOSP представляет собой версию ОС Android с открытым кодом, но без сервисов Google. На ее основе разработаны мобильные операционные системы многих вендоров, включая российские.

В частности, на базе AOSP создана kvadraOS, установленная на планшеты KVADRA_T производства холдинга KVADRA, а также Ред ОС М, код которой, как заявляли разработчики, был существенно переработан.

По мнению ФСТЭК, использование AOSP связано с рядом рисков:

  • наличие большого количества уязвимостей,
  • отсутствие технической поддержки AOSP в России,
  • потенциальные недекларированные возможности,
  • открытый исходный код проекта.

«Учитывая изложенное, использование операционных систем на базе Android Open Source Project (AOSP) на объектах критической информационной инфраструктуры и в государственных корпорациях считаем нецелесообразным», — говорится в письме, подписанном начальником 8-го управления ФСТЭК России Еленой Торбенко. Текст документа оказался в распоряжении ТАСС.

Глава комитета АРПП по развитию экосистемы российских мобильных продуктов Олег Карпицкий прокомментировал ответ ФСТЭК России:

«Российским компаниям и государственным организациям важно не только избегать уязвимых решений, но и поддерживать развитие отечественных мобильных платформ, способных обеспечить безопасность и соответствие регуляторным требованиям».

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Банк России назвал недостаточным уровень защиты аудиторских компаний
Яков Шпунт 19 Августа 2025 - 21:44
Соответствие законодательству РФ Малый и средний бизнесКорпорации Соответствие требованиям регуляторов
Банк России назвал недостаточным уровень защиты аудиторских компаний

Банк России оценил уровень защиты аудиторских компаний, проверяющих общественно значимые организации финансового рынка (ОЗО ФР), как «слишком низкий». По мнению регулятора, это повышает риски различных инцидентов, включая утечки персональных данных. В связи с этим компаниям предписано усилить меры информационной безопасности.

Такое заключение содержится в письме, которое Банк России направил аудиторам из реестра проверяющих ОЗО ФР. Документ оказался в распоряжении «Коммерсанта».

Согласно предписанию, до 1 сентября компании должны представить в Департамент информационной безопасности Банка России план мероприятий по реализации требований, которые до сих пор не были выполнены.

Речь идет о стандарте ГОСТ 57580.1-2017. Он устанавливает базовые требования к уровню защищенности информации и ориентирован на организации финансового сектора.

Эксперты, опрошенные изданием, считают требования регулятора своевременными. Аудиторские компании, в силу своей деятельности, хранят большие объемы персональных данных. Кроме того, как напомнил генеральный директор SafeTech Lab Александр Санин, в их распоряжении находятся сведения об ИТ-инфраструктуре, используемом ПО, бизнес-процессах и финансовых показателях клиентов.

По словам ведущего аналитика отдела мониторинга ИБ компании «Спикател» Алексея Козлова, значительная часть этих данных относится к налоговой, банковской или коммерческой тайне.

Утечка подобной информации представляет ценность для злоумышленников: её можно использовать для инсайдерской торговли, шантажа или атак с применением социальной инженерии.

Козлов также отметил, что количество атак на компании финансового сектора в первом полугодии 2025 года выросло на 20–30% в годовом выражении. Это обстоятельство уже требует дополнительных мер защиты.

В то же время внедрение усиленных мер безопасности требует серьёзных затрат. Как пояснила управляющий партнёр группы компаний «Мариллион» Полина Виксне, речь идёт о комплексных проектах, включающих внедрение технических решений, разработку политик и регламентов, контроль доступа, а также обучение персонала и наём новых специалистов. Стоимость таких проектов может достигать десятков, а для крупных организаций — и сотен миллионов рублей.

По оценке партнёра ДРТ Владимира Бирюкова, в полном объёме выполнить требования регулятора смогут только крупные аудиторские компании с годовым оборотом не менее 1 млрд рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
С 1 августа можно будет отказаться от массовых рассылок
Новость
С 1 августа можно будет отказаться от массовых рассылок
Кто-то запустил в контейнерные среды сетевого червя для майнинга Dero
Новость
Кто-то запустил в контейнерные среды сетевого червя для майн...
Positive Technologies запустила антивирусную лабораторию
Новость
Positive Technologies запустила антивирусную лабораторию

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.