В России создан алгоритм принятия решений о необходимости обновления критичного ПО

21.04.2022      7701

Центр кибербезопасности РФ подготовил рекомендации по обновлению программ, критически важных для бизнеса. Ведомство рассказало, в каких случаях следует избегать автоматического обновления ПО.

Краткосрочные меры

Алгоритм принятия решений представлен Национальным координационным центром по компьютерным инцидентам России (НКЦКИ, создан ФСБ). Он охватывает вопросы обновления установленного в ИТ-инфраструктуре критичного и важного для бизнеса ПО, которое не относится к проектам open source.

Ведомство сообщило о том, что были случаи внедрения разработчиками из недружественных государств недокументированных возможностей в программы или механизмов блокировки работы ПО. Поэтому НКЦКИ в качестве краткосрочной меры защиты от таких инцидентов рекомендует отключить функцию автоматического обновления для зарубежного ПО.

Защита от эксплойтов

Одновременно в НКЦКИ предупреждают, что в долгосрочной перспективе отказ от обновлений приведет к накоплению неисправленных уязвимостей, что ставит под угрозу информационную безопасность бизнеса. Поэтому в какой-то момент риски эксплуатации известных эксплойтов злоумышленниками могут стать выше рисков внедрения недокументированных возможностей.

Чтобы упростить процесс принятия решения об установке обновленных версий приложений, Центр кибербезопасности РФ подготовил алгоритм:

Важные оговорки

При использовании данного алгоритма НКЦКИ советует учитывать следующие моменты:

  • алгоритм является рекомендацией, его использование лежит в зоне ответственности самих компаний;
  • при составлении алгоритма не учитывались гарантийные случаи, для которых рекомендуемое решение может отличаться, поэтому бизнесу следует обращать внимание на контекст собственной организации;
  • перед обновлением в продуктивной среде работоспособность ПО должна быть проверена в тестовой среде или тестовой выборке;
  • если есть возможность препятствовать использованию уязвимостей наложенными средствами, то обновление лучше не производить;
  • если сотрудники или подрядчики организации в состоянии самостоятельно определить наличие недокументированных возможностей в обновлении, то принимать решение следует по итогам собственного анализа, а не алгоритма;
  • представленные рекомендации не следует применять для принятия решения об обновлении ПО, используемого в АСУ ТП;
  • алгоритм не предназначен для обновлений мобильных ОС.

Автор:
Аналитик


См. также

Новость ИТ-Новость ФНС ЭДО

Федеральная налоговая служба запустила интерактивный сервис, позволяющий формировать в машиночитаемом виде договоры, контракты, соглашения и спецификации. Чтобы создать документ и скачать получившийся файл, регистрация не требуется.

03.12.2024    228    user2114475    0       

1

Новость ИТ-Новость

Российский Альянс по искусственному интеллекту обновил требования к специалистам по ИИ: вышла новая модель с основными профессиями и навыками. Теперь базовых профессий в сфере ИИ осталось только четыре.

01.11.2024    739    user1915669    0       

3

Новость ИТ-Новость

Система платежей «Волна» по планам сделает возможной бесконтактную оплату для владельцев IPhone в России, а BRICS Pay позволит совершать безналичные расчеты иностранцам по картам Visa и Mastercard.

23.10.2024    963    AnastasiaKl    0       

4

Новость ИТ-компания ИТ-Новость

Конструктор сайтов Wix уходит из России с 12 сентября 2024 года – перестанут работать все российский аккаунты. Сайты, привязанные к аккаунтам, также перестанут работать.

11.09.2024    980    user1915669    2       

2

Новость Искусственный интеллект ИТ-Новость

ИИ научат разработке цифровых интегральных микросхем – несколько российских научных институтов заявили об участии в проекте. Проект рассчитан на 3 года – с 2024 по 2026.

23.07.2024    625    user1915669    0       

2

Новость Дата-центры Искусственный интеллект ИТ-Новость

Развитие искусственного интеллекта и цифровых сервисов в России стало причиной роста потребности в мощных центрах обработки данных. Эксперты прогнозируют, что дефицит ЦОД, который уже наблюдается сегодня, в ближайшие годы будет только усиливаться.

18.07.2024    767    AnastasiaKl    0       

1

Новость ИТ-Новость

В сентябре 2024 года видеоигры в России начнут маркировать – пока на добровольной основе. Геймерам будут сообщать о семи видах чувствительного (неприятного) контента в игре.

17.07.2024    822    user1915669    0       

1

Новость Законодательство ИТ-Новость

Депутаты Госдумы работают над законопроектом по ужесточению контроля за электросамокатами. Среди мер: обязательная регистрация СИМ (средств индивидуальной мобильности) и разработка системы отслеживания их перемещений.

10.07.2024    791    AnastasiaKl    2       

1
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
Оставьте свое сообщение