RTM Group

Ничто не ново в этом мире: многие программы являются переработкой созданного ранее ПО. На основе имеющегося, в том числе в открытых источниках, материала делают модули к основной программе, адаптируют версии ПО и т.д. Будет ли переработка старого произведения считаться новым? Как не перейти тонкую грань между правомерным изменением и незаконным использованием чужого продукта? На эти и другие вопросы в своей авторской колонке отвечает юрисконсульт в области ИТ RTM Group Татьяна Сергеева. Эти понятия непосредственно связаны с внесением изменений в ПО и правовыми последствиями таких действий. В обоих случаях речь может идти об исходном коде, исполняемом объектном коде или о сопутствующих документах (письмо Минцифры России от 27.01.2022 N П11-2-05-200-3571 «О рассмотрении обращений субъектов предпринимательской деятельности и заинтересованных лиц в сфере информационных технологий»). Официальные определения даны в статье 1270 ГК РФ (пп. 9 п. 2 ст. 1270 ГК РФ): Итак, законодатель определяет

В последние годы индустрия ИБ столкнулась со множеством сложностей. Кадровый голод, новые законодательные требования, внимание со стороны контролирующих органов и, конечно же, стремительный рост числа атак, главными целями которых является крупный бизнес и государственный сектор. В данном материале Артем Православский, ведущий консультант по ИБ RTM Group, рассмотрит основные тренды отрасли, актуальные во втором квартале 2024 года, и проведет их общий анализ, который наверняка пригодится при планировании развития системы безопасности. Эта статья, в первую очередь, адресована специалистам, ответственным за обеспечение ИБ, а также менеджменту, принимающему решения в сфере защиты данных в организациях различного масштаба. Один из ключевых трендов этого года – продолжающееся увеличение количества DDoS-атак. Так, издание Коммерсант со ссылкой на Роскомнадзор сообщает о троекратном росте в первом квартале 2024 по сравнению со всем предыдущим годом. Больше всего внимания хакеры уделяют сегодня

Звонки с незнакомых номеров сейчас — это настоящий стресс: ждешь важного обращения по работе, а на другом конце очередной спам. Практически каждый день мы сталкиваемся с такой непрошенной рекламой. Это подтверждается и статистикой: в 2023 году, например, число спам-звонков достигло восьми миллиардов. Существуют сервисы, которые предупреждают о возможном спаме, однако они не всегда справляются. Назойливые обращения по телефону становятся все более изощренными и обходят проверки. Урегулирован ли спам в правовом поле, о чем говорит недавний закон о спам-звонках и поможет ли он его победить — рассмотрим в этой статье. О чем говорит закон Базово спам-звонки представляют собой рекламу, поэтому и регулируются одноименным законом «О рекламе». Он устанавливает общие требования (достоверность и добросовестность), а также специальные правила отдельных видов рекламы. К последним относятся сообщения, распространяемые по сетям электросвязи. Они регулируются статьей 8 закона о рекламе. Требования / з

Оценка качества данных в информационных системах (далее – ИС) позволяет выявить системные недостатки и ошибки, которые служат фундаментом для разработки мероприятий по повышению эффективности функционирования процессов. Тот факт, что регулятор разработал и предлагает четкие требования к тому, как это должно делаться, свидетельствует о значимости данной темы. Однако, при оценке качества данных можно столкнуться со сложностями, которые специалистам не всегда удается корректно решить. В этой статье Юлия Шорошева, младший консультант по ИБ RTM Group, рассмотрит концепцию качества данных и поговорит о том, как избежать проблем при выполнении требований регулятора. Качество данных: общая концепция оценки в информационных системах банка Для того, чтобы понять, насколько качество данных в организации соответствует желаемому уровню, необходимо оценить его. Это позволит выявить отсутствие, несоответствие, неоднородность или неполноту сведений. Впоследствии полученная информация поможет разработа

Сейчас в Госдуме рассматривается законопроект о внесении изменений в Гражданский кодекс РФ, которые позволят исключить нарушения авторских прав на ПО во время тестирования защищенности, или пентестов информационных систем (ИС). По словам авторов законопроекта, это первый из пакета законопроектов на тему легализации «белых хакеров». Следующие поправки должны исключить риски привлечения к уголовной ответственности пентестеров и закрепить возможность оператора ИС привлекать «белых хакеров» для выявления уязвимостей ИС. Меня зовут Карине Маргарян, я юрист в RTM Group. В частности, занимаюсь охраной интеллектуальной собственности. В этой статье расскажу подробнее о законопроекте и о том, как обстоят дела с тестированием защищенности ПО сейчас. Для чего нужен законопроект Инициатива направлена на актуализацию законодательства в соответствии с современными тенденциями и, конечно, на разрешение правовых проблем, которые существуют много лет: о законодательном закреплении возможности тестирован

Из более чем 500 тыс. субъектов КИИ (Критической информационной инфраструктуры) примерно половина до сих пор не провела категорирование. И это при том, что согласно Постановлению Правительства РФ №127, до конца этого года его необходимо пройти всем организациям, принадлежащим к КИИ. Причина низкой активности – не только в сложностях реализации процесса, но и в различных ошибках, которые совершают субъекты. В данном материале Федор Музалевский, директор технического департамента RTM Group, расскажет об основных из них, а также разъяснит, как провести категорирование грамотно. Трудности перевода Критической информационной инфраструктуре государство уделяет достаточно много внимания, как по внешним, так и по внутриполитическим причинам. Это отчетливо видно по количеству нормативно-правовых актов и частоте их выхода, начиная с публикации основополагающего 187-ФЗ и заканчивая отраслевыми перечнями типовых объектов КИИ. Уже более двух десятков документов регулируют безопасность критической и

Безопасность критической информационной инфраструктуры (КИИ) включает в себя комплекс мер и механизмов, направленных на обеспечение защиты от киберугроз, в том числе от хакерских атак, вирусов, вредоносного ПО и других. Под безопасностью КИИ понимается также защита информационных систем и сетей от несанкционированного доступа, утечек конфиденциальной информации и других видов киберпреступности. Данное направление включает в себя целый ряд технологий, политик, процедур и практик, направленных на обеспечение надежности, конфиденциальности и доступности информации. Идеальным примером заинтересованных в обучении в направлении защиты КИИ лиц может служить требование пункта 6 “б” Постановления Правительства РФ от 3 февраля 2012 г. №79 «О лицензировании деятельности по технической защите конфиденциальной информации». Оно распространяется на должностных лиц – работников компаний, которые оказывают лицензируемые услуги в области защиты информации, в том числе, защиты КИИ По нашим оценкам, около

Уязвимости, обнаруживаемые в информационных системах, необходимо не только своевременно обнаруживать, но и ранжировать. Это позволит сразу понять, насколько серьёзна проблема, нужно ли решать её незамедлительно или можно отложить. Рассказываем, как это делать правильно. Введение Информация о новых уязвимостях появляется практически ежедневно. Только в январе 2024 года в базе данных общеизвестных уязвимостей Common Vulnerabilities and Exposures (CVE) зарегистрировано почти пять тысяч новых записей, часть из которых уже подтверждены. Некоторые бреши могут представлять серьёзную опасность для информационной инфраструктуры и требуют немедленных действий, вплоть до отказа от использования каких-то компонентов, а часть являются «проходными». В этом материале поговорим о том, что собой представляет оценка опасности уязвимости, какие компоненты в неё входят и каким образом можно ею управлять. Оценка критической значимости уязвимостей может проводиться в соответствии с различными методиками: На

Ежегодно компании теряют миллионы рублей из-за инцидентов, связанных с внутренними нарушителями. Имеют место как халатность, случайные утечки данных, так и атаки, спланированные с участием сотрудников организации-жертвы. По данным RTM Group, на инциденты с участием внутренних нарушителей приходится сегодня не менее трети всех инцидентов ИБ. Как защитить данные от тех людей, которым доступ к ним предоставлен по служебной необходимости? Что недобросовестные сотрудники используют для «слива» конфиденциальных данных? Как защититься от внутренних угроз, если стоимость DLP-системы составляет годовой бюджет IT? Обсудим это в статье, подготовленной Артемом Православским, консультантом в области ИБ RTM Group. Материал будет интересен как сотрудникам, непосредственно ответственным за защиту информации, так и руководящему составу, формирующему долгосрочную стратегию развития ИБ. Почему внутреннего нарушителя стоит бояться Внутренним нарушителем принято считать сотрудника компании, имеющего легити