⚡️Возрождение ГОСТ Р 57580.1: практический гайд по внедрению. Часть I

Мы привыкли думать, что ГОСТ 57580.1 это старый стандарт, который все, кому надо, уже реализовали. Спешим вас удивить — скоро ГОСТ получит свое второе дыхание!

Банк России последовательно возвращает этот стандарт в активную зону. Причем теперь он касается не только финансовых организаций, но и тех, кто с ними работает — ИТ и ИБ подрядчиков, интеграторов, провайдеров, SOC и иных поставщиков услуг.

В новой статье Алексей Сторож, ведущий консультант AKTIV.CONSULTING, рассказывает как подходить к внедрению мер ГОСТ в 2026 году.

В первой части автор разбирает:
🟠кого и как затронут новые требования,
🟠цикл PDCA «по версии ЦБ»,
🟠а также все защитные меры.

Во второй части статьи, которая выйдет через неделю🔔, автор разберет уже практические аспекты внедрения требований и подготовку к внешнему аудиту.

‼️ Читать статью на Хабре

#Алексей_Сторож


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

🛫 Делимся разбором от нашего коллеги, специалиста по анализу защищенности. Он разобрал нововведения в C&C фреймворке Sliver 1.6 и сделал обзор ключевых улучшений с их практической ценностью для Red Team.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

🔔Новостной дайджест прошедшей недели

🧩ФСТЭК России выявила свыше 1,2 тыс. нарушений по итогам проверки 700 значимых объектов КИИ
При этом минимальный уровень киберзащиты достигнут лишь у 36% организаций. В числе ключевых причин — системное отстранение ИБ-специалистов от бизнес-процессов и отсутствие полного учета ИТ-активов.

🧩В России планируется создание Центра проведения сравнительного анализа средств защиты информации на базе МГТУ им. Н.Э. Баумана
Цель центра заключается в снижении барьеров для внедрения ИБ-решений заказчиками.

🧩Госдума в первом чтении приняла два законопроекта, которые меняют систему ответственности за инциденты в сфере КИИ
За технические ошибки и нарушения правил эксплуатации, не приведшие к уничтожению или утечке данных, грозят только административные штрафы.

🧩Ассоциация «Руссофт» представила технологические тренды ИТ-отрасли на 2026 год
Тренды названы в сферах искусственного интеллекта, импортозамещения, квантовых вычислениях и информационной безопасности.

🧩В Совбезе раскрыли детали новой доктрины информационной безопасности
В проекте доктрины указывается, что вопросы защиты информации должны быть встроены с самого начала в процессы создания и эксплуатации любых цифровых систем, в том числе на основе ИИ.

🧩В 2025 году сократилось количество телефонных звонков от злоумышленников
Эксперты отмечают, что мошенникам становится сложнее и дороже дозваниваться до потенциальных жертв, поэтому они стремятся повысить эффективность атак.

🧩ЕС инициировал реформу в ИБ-сфере Законом о кибербезопасности 2.0
Среди основных изменений — введение новой надёжной системы обеспечения безопасности цепочки поставок ИКT, а также расширение роли ENISA, которая получит больше полномочий, ресурсов и обязанностей.

🧩«Почта Mail»: почти половина россиян сталкивалась с утечками персональных данных
Наиболее распространенными мерами защиты респонденты назвали ограничение объема личной информации в соцсетях, осторожность при переходе по ссылкам, использование 2FA и антивирусных решений.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

🗣 Делимся записью вебинара «Процесс 24. Поиск уязвимостей в программном обеспечении при эксплуатации»

Эксперты разобрали вопросы о поиске уязвимостей в программном обеспечении при эксплуатации.

Вебинар был организован УЦ "МАСКОМ" и PVS Studio, при поддержке приглашенных экспертов — Артёма Храмых (AKTIV.CONSULTING), Алексея Морозова (ecom.tech) и Алины Ким (ГК «Эшелон»).

💡Бонус! Заполните анкету, если хотите получить памятку с инструментами по анализу защищённости.

📺 VK Видео

📺 Rutube

📺 YouTube


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

📣 Вебинар. Какова зрелость информационной безопасности в отечественных компаниях

📅 19 февраля
⏰ 11:00 (МСК)

Наши эксперты провели анонимное исследование оценки уровня зрелости информационной безопасности в отечественных компаниях и готовы презентовать полученные результаты⬆️

В программе вебинара:
☁️Почему «Базовая ИТ- и ИБ-гигиена» и «Комплаенс» получили наивысшие оценки
☁️Какие направления наиболее актуальны для небольших, средних и крупных компаний
☁️Является ли функция ИБ в крупных компаниях наиболее зрелой по сравнению со средними и небольшими компаниями
☁️Как проводить оценку уровня зрелости с помощью бесплатного инструмента для самооценки, разработанного AKTIV.CONSULTING
☁️Как использовать полученные данные и рекомендации для дальнейшего развития функции ИБ в вашей организации.

В качестве бонуса все участники вебинара смогут получить аналитический отчет «Оценка уровня зрелости 2026»

🎙Спикеры:
Ольга Копейкина, руководитель отдела консалтинга по информационной безопасности,
Варвара Шубина, руководитель направления маркетинга.

🔗 Регистрация


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

🐦‍🔥Возрождение ГОСТ Р 57580.1: практический гайд по внедрению. Часть II

В первом квартале 2026 года Банк России уже начал обследование сведений об интеграторах ИТ-услуг среди самых крупных кредитных и некредитных ФО. Для минимизации рисков, связанных с деятельностью аутсорсеров, Банк России рекомендует предъявлять поставщикам услуг требования о соблюдении уровня защиты ГОСТ Р 57580.1

В ближайшем будущем для поставщиков услуг соответствие ГОСТ Р 57580.1 перестанет быть просто конкурентным преимуществом и превратится в острую необходимость.

О том как начать соответствовать ГОСТ, последовательно разбирает Алексей Сторож, ведущий консультант AKTIV.CONSULTING.

Во второй части вы узнаете:
🟠как подойти к внедрению требований,
🟠какие для этого понадобятся технические средства,
🟠и что делать после внедрения.

‼️ Читать продолжение статьи на Хабре

#Алексей_Сторож


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

📃Когда оценка зрелости ИБ упирается не в технологии

Оценка зрелости информационной безопасности часто начинается с инструментов, процессов и формальных требований. Но на практике довольно быстро становится понятно, что ключевой вопрос не в количестве мер и не в уровне комплаенса. А в том, какую роль ИБ играет в компании.

Пока ИБ остается исключительно технической функцией, она воспринимается как центр затрат и служба ограничений. В такой модели сложно говорить о зрелости, потому что решения принимаются постфактум, а безопасность живет отдельно от бизнес задач. Здесь возникает необходимость трансформации ИБ в бизнес-функцию.

ИБ как бизнес-функция — это:
🟠Стратегический партнер, чьи цели формулируются на языке бизнеса и коррелируются с генеральными целями организации.
🟠Проактивный участник всех ключевых инициатив компании — от цифровой трансформации до выхода на новые рынки.
🟠Измеримая функция с понятными KPI и метриками, демонстрирующими вклад в прибыль и устойчивость бизнеса.
🟠Акселератор роста, который не препятствует, а обеспечивает безопасное масштабирование.

Трансформация ИБ в бизнес-функцию предполагает:
🟠Укрепление интеграции ИБ с бизнес-целями. Обеспечение проактивного управления рисками и поддержка новых бизнес-направлений.
🟠Оптимизацию процессов и масштабирование. Развитие сквозных процессов, охватывающих весь жизненный цикл ИБ с фокусом на эффективность и прозрачность.
🟠Автоматизацию и использование передовых технологий. Использование ИИ и аналитики данных для выявления скрытых рисков на основе бизнес-метрик.
🟠Развитие культуры безопасности на всех уровнях. Внедрение мотивационных механизмов, подход к ИБ, как к естественной части повседневной работы.
🟠Контроль и улучшение через метрики и обратную связь. Регулярные обзоры эффективности для корректировки стратегии и повышения уровня зрелости ИБ.

Эту тему в том числе подробнее разберем на вебинаре 19 февраля, где расскажем, как результаты оценки зрелости использовать для развития функции ИБ, а не просто для отчетности.

#Ольга_Копейкина


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

13 февраля 2026 года в 11.00 (мск) состоится вебинар, посвященный Системе добровольной сертификации (СДС) АБИСС и ее влиянию на рынок консалтинговых услуг ИБ для финансовых организаций.

Появление СДС АБИСС – важный шаг к построению в России системы доверия между всеми участниками рынка: финансовыми организациями, Банком России, поставщиками услуг для финансовых организаций и компаниями, оказывающими услуги по внешней оценке соответствия.

Ключевые темы вебинара:
🔵Роль СДС в саморегуляции. Как сертификация поможет повысить качество услуг аудиторских компаний и частных специалистов.
🔵Методологическая основа системы СДС АБИСС и разбор процесса сертификации: от подачи заявки до получения сертификата для организаций и отдельных специалистов.
🔵Практическая ценность СДС АБИСС для финансовых организаций, работающих с сертифицированными компаниями и специалистами.
🔵Стандарт ГОСТ Р 57580.Х. Разбор ключевых положений нового стандарта по оценке соответствия и его влияние на будущие аудиторские проверки.

🎙Спикер - Анастасия Харыбина, Председатель Ассоциации АБИСС.

🔗Регистрация на вебинар

🔔Новостной дайджест прошедшей недели

🧩ЦБ готовится ужесточить требования к топ-менеджерам финансовых организаций по информационной безопасности
Ко второму чтению готовится законопроект, который дополняет квалификационные требования к руководителям новым критерием по противодействию кибермошенничеству.

🧩Роскомнадзор в январе заблокировал более 4 тысяч фишинговых ресурсов и 281 сайт с вредоносным ПО
Также было отражено 1052 DDoS-атаки на системы госуправления, финансового сектора, ТЭК и операторов связи.

🧩Минцифры расширило список работающих без мобильного интернета сервисов
В список цифровых платформ входят наиболее значимые и востребованные российские сайты. Он формируется по согласованию с органами, отвечающими за обеспечение безопасности.

🧩ИБ-закупки в России в 2025 году превысили 190 млрд рублей
Эксперты отмечают, что рост рынка был обеспечен прежде всего укрупнением контрактов, а не увеличением числа закупок.

🧩Банк России выступает за усиление киберзащиты облачных сервисов для банков
По словам запреда ЦБ, в отличие от банков, к их поставщикам не применяются требования по информационной безопасности.

🧩Исследование: около 75% россиян за последние два года стали внимательнее относиться к своей безопасности в цифровой среде
Почти 67% участников опроса стали реже отвечать на звонки и сообщения с незнакомых номеров, а 52% отмечают, что всегда перепроверяют информацию, если она связана с деньгами или персональными данными.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

​​📣 Категорирование ОКИИ в банковской сфере ➤

Официально опубликовано постановление Правительства Российской Федерации от 06.02.2026 № 92 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка».

🗣Отвечаем на первый возникающий вопрос: нужно ли перекатегорироваться?

Провести повторное категорирование потребуется сразу после утверждения перечней типовых отраслевых ОКИИ, а поскольку процедуру нужно будет проводить уже с учетом новых отраслевых особенностей, мы рекомендуем сделать тренировочный «подход к снаряду» на основе проекта, чтобы в будущем можно было в спокойном режиме лишь дать корректировки и отправить результаты в Банк России в срок и без замечаний.

Отдельное внимание стоит обратить на системы, влияющие на опернадежность ваших ОКИИ: все системы, составляющие критичную архитектуру по 850-П или 779-П также необходимо категорировать.

📌Обратиться за консультацией к нашим экспертам.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

📣 Эксперты AKTIV.CONSULTING на Уральском форуме «Кибербезопасность в финансах»

С 18 по 20 февраля в Екатеринбурге пройдет форум и выставка «Кибербезопасность в финансах», площадка для обсуждения практических вопросов ИБ в финансовом секторе: от антифрода до киберустойчивости и требований регуляторов.

AKTIV.CONSULTING участвует в мероприятии в составе общего стенда Компании «Актив».
На стенде можно будет пообщаться с нашими экспертами: Алексеем Сторожем, ведущим консультантом по ИБ, и Дмитрием Башковым, руководителем направления по работе с клиентами.

Коллеги готовы обсудить:
🟠управление функцией ИБ и оценку уровня зрелости,
🟠внедрение требований ГОСТ 57580.1, 57580.3 и 57580.4,
🟠анализ защищенности, ОУД4, пентесты и RedTeam,
🟠практические сложности, с которыми сталкиваются финансовые организации при выполнении требований регуляторов.

19 февраля в рамках деловой программы выступит Анастасия Харыбина, руководитель AKTIV.CONSULTING и председатель Ассоциации АБИСС. Тема выступления: актуальный статус и развитие Системы добровольной сертификации АБИСС в контексте обновляющихся регуляторных требований.

Будем рады встрече на стенде!🤝


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

🗣В России могут обязать предустанавливать отечественный ИИ на устройства

В правительстве прорабатываются поправки к будущему закону о регулировании ИИ, которые обяжут производителей смартфонов, планшетов и ПК предустанавливать российские ИТ-сервисы на базе искусственного интеллекта.

Инициатива рассматривается как мера поддержки отечественных разработчиков и укрепления технологической независимости. Документ планируется направить на согласование в правительство к концу февраля 2026 года.

Если закон примут, требование дополнит уже действующие нормы об обязательной предустановке российского ПО.


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст

⬆️Промышленный сектор под ударом: пора честно оценить риски

По последним данным, промышленность остается одним из наиболее атакуемых секторов:
📌 На неё приходится значительная доля успешных атак — в первой половине 2025 года порядка 13 % всех инцидентов по российской статистике. Выше показатели только по госструктурам при активизации хактивистов и APT-групп.
📌 Европейские отчёты говорят о росте доли OT-атак в общем ландшафте угроз (до ~18 %), что отражает всё более частые инциденты, затрагивающие автоматизированные и физические процессы.
📌 Индустриальные OT/ICS-отчёты указывают, что за последние годы количество разрушительных атак на производственные и критические системы выросло многократно, а ransomware-атаки всё чаще приводят к операционным отказам и простоям оборудования.

Это не про “случайные происшествия“ — это системное изменение ландшафта угроз.
И если вчера ещё можно было закрывать глаза на “физику” как на «что-то, что никак не связано с ИБ», то сегодня:
🟠попытки объяснить бизнесу, зачем тратить деньги на управление физическими рисками, становятся частой управленческой болью CISO;
🟠владельцы АСУ ТП и IT-команды не всегда готовы взаимодействовать для оценки таких рисков;
🟠и именно на стыке этих областей происходят самые дорогостоящие инциденты.

Прежде чем продолжим, давайте вместе взглянем на вашу ситуацию. Пожалуйста, ответьте на короткий опрос ниже 👇

Итоги опроса и подробный разбор ответов будут обсуждены на докладе на конференция «Информационная безопасность АСУ ТП КВО» 04 марта 2026, в секции «Транспорт».

Там мы разберём, почему формальное соответствие стандартам Safety или корпоративным политиками ИБ не гарантирует защиты от реальных атак, и как архитектура (включая iDMZ и мониторинг физики) помогает закрывать именно те зоны риска, которые бизнесу трудно объяснить отдельно.

#Александр_Михайличенко


💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст