Cloud.ru подтвердил соответствие ГОСТ Р 57580 для работы с финсистемами

Екатерина Быстрова 16 Марта 2026 - 19:23

...

Cloud.ru подтвердил соответствие ГОСТ Р 57580 для работы с финсистемами

Облачная платформа Cloud.ru подтвердила соответствие требованиям ГОСТ Р 57580.1-2017 для усиленного уровня защиты информации. Этот стандарт задаёт базовые правила по ИБ для организаций, которые работают на финансовом рынке по лицензии Банка России.

На практике это означает, что клиенты Cloud.ru теперь могут размещать в облаке системы, связанные с банковской тайной и финансовыми операциями.

Проверку проводил лицензированный аудитор. В ходе оценки он изучил документацию, провёл интервью с сотрудниками компании и протестировал технические меры защиты. Всего проверка охватила более 400 требований — от организации защиты информации до управления доступом, инфраструктуры и мониторинга инцидентов.

В зону оценки вошли сервисы платформы Cloud.ru Evolution. Речь идёт об инфраструктурных и платформенных решениях, которые можно использовать для размещения банковских систем, обработки транзакций, персональных данных, а также сервисов аналитики, управления данными и контейнерами. В этот же контур вошла Evolution Data Platform.

Сам стандарт ГОСТ Р 57580.1-2017 распространяется на банки, страховые компании, клиринговые организации, другие финансовые структуры и финтех-компании. Поэтому подтверждение соответствия важно прежде всего для тех заказчиков, которым нужно использовать облачную инфраструктуру с учётом требований регулятора.

Кроме того, Cloud.ru напомнил, что ранее уже проходил аудит по другим требованиям и стандартам. В их числе — PCI DSS, требования 152-ФЗ по персональным данным для УЗ-1, а также стандарты ISO/IEC 27001, 27017, 27018 и 27701. Также провайдер заявляет о соответствии требованиям для размещения государственных информационных систем и объектов критической информационной инфраструктуры.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Марта 2026 - 19:15

Уязвимости программ GenAI (генеративный искусственный интеллект) Малый и средний бизнес Корпорации Средства поиска уязвимостей ГК «Солар»

ChatGPT и DeepSeek пропускают до 50% уязвимостей в софте на Java и Python

Группа компаний «Солар» проверила, насколько хорошо большие языковые модели справляются с двумя самыми трудоёмкими задачами в безопасной разработке — триажем уязвимостей и их исправлением в коде. Итог исследования получился довольно показательный: популярные общедоступные модели ускоряют работу, но пока слишком часто ошибаются, чтобы полностью на них полагаться.

Эксперты Solar appScreener протестировали шесть LLM на 20 крупных приложениях на Java и Python, каждое объёмом более 100 тысяч строк кода. Для анализа использовали как облачные модели — GigaChat 3 PRO, ChatGPT 5.2 и DeepSeek 3.2, так и локальные решения on-premise, включая ChatGPT OSS, Mistral и специализированные модели DerTriage и DerCodeFix.

Сначала с помощью SAST-анализа в проектах нашли около 12 тысяч уникальных срабатываний, из которых почти 20% пришлись на уязвимости высокой критичности. После этого все модели получили одинаковый промпт с описанием уязвимости, фрагментом кода, трассой достижимости и идентификаторами CWE.

На этапе триажа результаты оказались неровными. В Java-проектах среди облачных моделей лучше всех выступил ChatGPT с точностью 60,9%, а DeepSeek показал лишь 50%. В Python-коде картина поменялась: DeepSeek добрался до 80%+, а ChatGPT показал 52,7%. Но лучший результат среди локальных решений продемонстрировала DerTriage — более 80% точности и для Java, и для Python.

С кодфиксом ситуация похожая. Для Java ChatGPT показал 61,8% точности, DeepSeek — 45,5%. В Python их показатели составили 46,6% и 44,8% соответственно. Локальная модель DerCodeFix снова оказалась впереди: 78,2% точности на Java и 83,1% на Python.

Главный вывод исследования простой: LLM действительно экономят время, но на самых ответственных этапах безопасной разработки универсальные модели пока не дают нужной надёжности. Если команда безоговорочно доверится таким инструментам, есть риск пропустить критичные уязвимости.

В «Соларе» также напоминают ещё об одной проблеме: использование облачных моделей может стать каналом утечки исходного кода. Поэтому для задач безопасной разработки компания рекомендует смотреть в сторону локальных моделей on-premise, которые работают в закрытом контуре и всё равно требуют проверки со стороны AppSec-инженера.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!