OWASP Top 10 на русском: CWE, БДУ ФСТЭК и меры защиты
OWASP Top 10 на русском — разбор 10 категорий уязвимостей с CWE-маппингом, данными БДУ ФСТЭК и мерами защиты по приказам №117, №21, №239. Таблица и FAQ.
Защита от SQL-инъекций CWE-89: меры по приказам ФСТЭК
SQL-инъекции (CWE-89): типы атак, требования ФСТЭК №117/21/239, SLA на устранение, 7 мер защиты. 7 000+ записей в БДУ ФСТЭК.
Реестр БДУ ФСТЭК онлайн: бесплатный поиск уязвимостей с CVSS v4.0
Бесплатный реестр БДУ ФСТЭК: CVSS v4.0, EPSS, CISA KEV, SLA по приказу №117. Поиск среди 85 000+ уязвимостей. Синхронизация с bdu.fstec.ru ежедневно.
Учёт средств защиты информации в организации: реестр СЗИ и автоматизация
Как организовать учёт средств защиты информации: реестр СЗИ, журнал учёта, обязательные поля, контроль версий и обновлений. Связь с инвентаризацией активов.
Требования ФСТЭК к информационной безопасности: актуальный обзор 2026
Обзор актуальных требований ФСТЭК к информационной безопасности: приказы №117, №21, №31, №239, методики. Что изменилось в 2025-2026. Таблица применимости.
Защита персональных данных на сайте: требования и чек-лист для владельца
Требования к защите персональных данных на сайте: SSL-сертификат, политика конфиденциальности, согласие на обработку, cookie-баннер, хостинг в РФ. Чек-лист.
Уровни защищённости персональных данных: как определить по ПП 1119
4 уровня защищённости персональных данных по Постановлению Правительства №1119: как определить, требования к каждому уровню, меры защиты по ФСТЭК №21.
Документы по защите персональных данных: полный перечень для организации
Полный перечень документов по защите ПДн в организации: приказы, положения, согласия, модель угроз, уведомление в РКН. Таблица с описанием каждого документа.
Положение о защите персональных данных: образец 2026 и структура документа
Образец положения о защите персональных данных 2026: структура документа, обязательные разделы, примеры формулировок. Скачайте шаблон положения о ПДн.
58-ФЗ о реформе КИИ: ключевые изменения 187-ФЗ с сентября 2025 года
58-ФЗ (2025) реформирует 187-ФЗ: ИП исключены из субъектов КИИ, введены отраслевые перечни объектов КИИ, обязательное российское ПО, расширение ГосСОПКА.
Система защиты персональных данных: как построить по 152-ФЗ и приказу ФСТЭК №21
Как построить систему защиты персональных данных: требования 152-ФЗ, приказ ФСТЭК №21, уровни защищённости, организационные и технические меры защиты ПДн.
Инструменты аудита ИБ: обзор средств и программного обеспечения
Обзор инструментов для аудита информационной безопасности: сканеры уязвимостей, SGRC-платформы, чек-листы. Сравнение подходов и автоматизация аудита.
Комплаенс в информационной безопасности: что это и как обеспечить
Что такое комплаенс в информационной безопасности: требования ФСТЭК, ФСБ, РКН и ЦБ. Как обеспечить соответствие и автоматизировать контроль с SGRC.
Внутренний аудит ИБ: пошаговое руководство с чек-листом
Как провести внутренний аудит информационной безопасности: планирование, чек-лист проверки, анализ документов, технический аудит и формирование отчёта.
Аудит информационной безопасности: виды, методы, этапы и стандарты
Полное руководство по аудиту ИБ: виды аудита (внутренний, внешний, сертификационный), стандарты ISO 27001 и ГОСТ, этапы проведения, методы и отчёт.
Приказ ФСТЭК №117: разбор текста с дословными цитатами по пунктам
Ключевые нормы приказа ФСТЭК №117 с дословными цитатами: КЗИ, SLA на уязвимости (24ч/7д/5д), требования к ИИ, 21 направление мероприятий.
Приказ ФСТЭК №117 вступил в силу: ключевые требования и план действий
Приказ ФСТЭК №117 вступил в силу 1 марта 2026 года, заменив №17. Что изменилось: КЗИ, SLA на уязвимости, требования к ИИ. Чек-лист для ГИС и ИС госорганов.
Управление инцидентами информационной безопасности: процесс, стандарты и практика
Процесс управления инцидентами ИБ: обнаружение, классификация, реагирование, расследование, восстановление. NIST, ISO 27035, ГосСОПКА. Практическое руководство.
Обеспечение информационной безопасности в организации: комплексный подход и roadmap
Комплексный подход к обеспечению ИБ в организации: организационные меры, технические средства, кадры, документы, процессы. Roadmap построения ИБ с нуля.
187-ФЗ о безопасности КИИ: требования, обязанности субъектов и ответственность
Разбор 187-ФЗ о безопасности КИИ: субъекты и объекты КИИ, требования к безопасности, взаимодействие с ГосСОПКА, ответственность включая ст. 274.1 УК РФ.
Категорирование объектов КИИ в здравоохранении: особенности, примеры и типичные объекты
Особенности категорирования КИИ в медицинских организациях: МИС, ПАКС, ЛИС как объекты КИИ, критерии значимости для здравоохранения, примеры категорирования.
Как разработать документы по информационной безопасности: пошаговое руководство
Пошаговый алгоритм разработки документов ИБ: от определения требований до внедрения. Полный пакет документов по информационной безопасности и автоматизация.
Парольная политика ИБ: требования ФСТЭК, структура документа и шаблон
Как разработать парольную политику ИБ по требованиям ФСТЭК и ГОСТ. Структура документа, требования к длине и сложности паролей, шаблон для скачивания.
Континент TLS для ИБ: настройка, учёт СКЗИ и интеграция с SGRC
Континент TLS: что это, как настроить, учёт как СКЗИ по приказу ФАПСИ №152. Журнал учёта, акты, интеграция с SGRC-платформой КиберОснова.
Автоматизация инвентаризации: от Excel к полноценному учёту активов
Как автоматизировать инвентаризацию ИТ-активов и СЗИ: проблемы Excel, агентный и безагентный подход, учёт СКЗИ и оборудования, этапы внедрения.
Сканеры уязвимостей с сертификатом ФСТЭК: MaxPatrol, RedCheck, XSpider — сравнение
Сканеры уязвимостей с сертификатом ФСТЭК: MaxPatrol VM, RedCheck, XSpider, ScanFactory. Сравнение по 10 критериям, выбор под задачи и интеграция с SGRC.
Организационно-распорядительные документы по ИБ: виды, структура, иерархия
Виды организационно-распорядительных документов по ИБ: политики, положения, регламенты, инструкции, журналы. Иерархия, кто утверждает, как поддерживать актуальность.
SIEM система и SGRC: разница, сравнение и зачем нужны оба
SIEM vs SGRC: в чём разница и зачем нужны оба. Обзор российских SIEM-систем, сравнительная таблица по 12 критериям, сценарии интеграции SIEM и SGRC.
ITAM и CMDB: что такое, отличия и зачем нужны для ИБ
Что такое ITAM и CMDB: определения, ключевые отличия, связь с ITSM и ITIL. Зачем нужны для информационной безопасности и как выбрать подходящую систему.
Secret Net Studio для ИБ: возможности, учёт СЗИ и сертификация ФСТЭК
Secret Net Studio: что умеет, сертификация ФСТЭК, учёт СЗИ. Как вести реестр Secret Net и контролировать сроки сертификатов в SGRC-системе.
ROI автоматизации ИБ: как обосновать внедрение SGRC-системы
Расчёт ROI внедрения SGRC-системы: экономия времени, снижение рисков штрафов, метрики до и после автоматизации. Методика обоснования бюджета для CISO.
VipNet для информационной безопасности: возможности, учёт СКЗИ и интеграция с SGRC
Обзор VipNet для ИБ: линейка продуктов, требования учёта СКЗИ по ФАПСИ №152. Как вести журнал VipNet в организации и автоматизировать учёт.
Защита персональных данных в медицинской организации: требования 152-ФЗ
Как защитить персональные данные пациентов по 152-ФЗ: требования, меры защиты, ответственность. Пошаговый план для медицинских организаций.
Учёт СКЗИ в 1С: бухгалтерские проводки, счета и автоматизация учёта криптосредств
Как вести учёт СКЗИ КриптоПро в 1С 8.3: проводки, выбор счёта НМА или расходы, бессрочные лицензии. Узнайте, как автоматизировать учёт →
Учёт лицензий ПО в организации: зачем нужен и как организовать
Как организовать учёт лицензий программного обеспечения: зачем контролировать, штрафы за нелицензионное ПО, методы учёта, инструменты автоматизации.
Инструктаж пользователей СКЗИ: как провести, задокументировать и не получить предписание ФСБ
Инструктаж пользователей СКЗИ по Приказу ФАПСИ №152: кто проводит, программа, виды, журнал инструктажей, расписки, типичные нарушения при проверке ФСБ.
ScanOVAL ФСТЭК: бесплатный сканер уязвимостей — обзор, установка и ограничения
ScanOVAL — бесплатный сканер уязвимостей от ФСТЭК России. Обзор возможностей, установка на Windows и Linux, ограничения, сравнение с RedCheck и альтернативы.
Сбор информации о компьютерах в сети: методы, протоколы и автоматизация
Как автоматически собрать данные о компьютерах в сети: WMI, SNMP, SSH, агентный подход. Какие параметры собирать для ИТ и ИБ, обзор инструментов.
Программы для инвентаризации компьютеров в сети: обзор и сравнение
Обзор программ для инвентаризации компьютеров: 10-Strike, GLPI, OCS Inventory, Lansweeper. Подробный разбор GLPI для ИБ, сравнение с SGRC, критерии выбора.
Политика информационной безопасности организации: образец, структура и примеры
Образец политики информационной безопасности организации: структура документа, обязательные разделы, примеры формулировок по требованиям ФСТЭК. Скачать шаблон.
Комиссия по категорированию объектов КИИ: создание, состав, приказ и порядок работы
Как создать комиссию по категорированию КИИ: состав, полномочия, приказ о создании (шаблон), положение о комиссии, протокол заседания. Образцы документов.
GLPI для информационной безопасности: возможности, ограничения и альтернативы
GLPI для ИБ: что умеет, чего не умеет для СКЗИ и ФСТЭК. Сравнение GLPI vs SGRC, сценарии интеграции. Узнайте, когда GLPI достаточно.
Документы по информационной безопасности: полный гайд для организации
Какие документы по информационной безопасности нужны организации: обязательные по 152-ФЗ, 187-ФЗ, ФСТЭК и ФСБ. Иерархия, шаблоны, сроки пересмотра.
БДУ ФСТЭК России: полное руководство по базе данных угроз и уязвимостей
Как использовать БДУ ФСТЭК России для модели угроз и управления уязвимостями. Структура базы, API, калькулятор CVSS, практические примеры работы.
Учёт компьютеров в организации: как вести реестр и автоматизировать
Как организовать учёт компьютеров и оргтехники: реестр оборудования, инвентарные номера, бухучёт и автоматизация через агент инвентаризации.
Оборотные штрафы за утечку персональных данных: 420-ФЗ и 421-ФЗ разбор
Оборотные штрафы 420-ФЗ за утечку ПДн: до 3% выручки или 500 млн руб. Таблица штрафов, условия снижения, уголовная ответственность 421-ФЗ, как снизить риски.
Мониторинг рабочих станций: зачем нужен для ИБ и как автоматизировать
Как организовать мониторинг рабочих станций: что отслеживать, агентный vs безагентный подход, сверка с БДУ ФСТЭК. Автоматизация для ИБ.
Учёт СКЗИ в организации — руководство по ФАПСИ №152
Порядок учёта СКЗИ в организации по Приказу ФАПСИ №152: обязательные документы, бухучёт криптосредств, автоматизация. Чек-лист и демо.
SGRC для управления информационной безопасностью в подведомственной сети: РОИВ, холдинги, госкорпорации
SGRC-платформа для централизованного управления ИБ в сети подведомственных организаций: РОИВ + 200 учреждений, холдинги, госкорпорации. Как заменить Excel-опросники и получить единый дашборд соответствия.
Правила работы с СКЗИ по Приказу ФАПСИ №152: что обязаны делать и что запрещено
Правила работы с СКЗИ по Приказу ФАПСИ №152 и ПКЗ-2005: кто отвечает, что запрещено пользователю, как хранить ключевые носители, штрафы за нарушение.
Полный перечень документов по информационной безопасности организации
Обязательные документы по ИБ для организации: политики, регламенты, инструкции, журналы и акты. Требования ФСТЭК, ФСБ, 152-ФЗ, 187-ФЗ с описанием каждого.
Инвентаризация оборудования в организации: порядок, акты и автоматизация
Как провести инвентаризацию оборудования в организации: пошаговый процесс, акт, ведомость. ИТ и ИБ-инвентаризация, автоматизация через агент.
Приказ ФСТЭК №239: полный разбор требований к значимым объектам КИИ
Приказ ФСТЭК №239 (ред. 2024): кому обязателен, 14 групп мер защиты, категории КИИ, требования к СЗИ, ответственность. Полный разбор для субъектов КИИ.
Учёт средств защиты информации в организации: журнал, реестр и автоматизация
Как организовать учёт средств защиты информации по приказам ФСТЭК: журнал СЗИ, реестр, поэкземплярный учёт. Образец и автоматизация в SGRC.
Что проверяет ФСТЭК при проверках ГИС и КИИ — 6 типичных нарушений и как подготовиться
Статистика проверок ФСТЭК 2024-2025: 700+ проверок, 1100+ нарушений, 60% несоответствий. 6 типичных нарушений, структура предписаний, что смотрят при аттестации ГИС и КИИ.
Инвентаризация ИТ-активов в организации: полное руководство
Как провести инвентаризацию ИТ-активов: оборудование, ПО, лицензии, сетевые устройства. Методы учёта, шаблоны, автоматизация процесса инвентаризации.
Штрафы за нарушения информационной безопасности в 2026 году
Полная таблица штрафов за нарушения ИБ в 2026 году: КоАП ст. 13.11, 13.12, 13.12.1, 19.5, 19.7.15 и УК РФ ст. 272–274.1. Актуальные суммы после 420-ФЗ, 104-ФЗ и изменений 2025 года.
Чем приказ ФСТЭК №117 отличается от приказа №17: полное сравнение
Сравнение приказов ФСТЭК №17 и №117: КЗИ vs классы, SLA на уязвимости, требования к ИИ, расширение области применения. Что нужно изменить при переходе.
Журнал учёта ключевых документов СКЗИ: форма по ФАПСИ №152 и пример заполнения
Как вести журнал учёта ключевых документов СКЗИ по ФАПСИ №152. Типовая форма, пример заполнения, отличие от поэкземплярного учёта и автоматизация.
Акты уничтожения и передачи СКЗИ: требования ФАПСИ №152, формы и образцы заполнения
Как правильно составить акт уничтожения и акт передачи СКЗИ по ФАПСИ №152. Формы актов, образцы заполнения, методы уничтожения и ответственность за нарушения.
Акт категорирования объекта КИИ: образец, пример заполнения и типичные ошибки
Образец акта категорирования объекта КИИ с примером заполнения для ИС, АСУ и ИТКС. Обязательные поля, протокол комиссии, типичные ошибки оформления.
Системы автоматизации ИБ: обзор SGRC, GRC и IRM платформ 2026
Обзор систем автоматизации информационной безопасности: SGRC, GRC, IRM платформы. Сравнение функций, критерии выбора, российские и зарубежные решения.
Приказы ФСТЭК №17, №21, №117 и №239: сравнение — кому нужен каждый
Подробное сравнение четырёх приказов ФСТЭК: объекты защиты, субъекты, меры, аттестация. Таблица — какой приказ нужен вашей организации.
Приказ ФСТЭК №117: требования к защите ГИС и как автоматизировать выполнение
Что требует приказ ФСТЭК №117 от 11.04.2025, чем отличается от №17 и №239, как SGRC автоматизирует оценку КЗИ и готовность к аттестации.
Меры защиты информации по приказам ФСТЭК: организационные, технические, физические
Классификация мер защиты по приказу ФСТЭК №117: I–XI групп. Организационные, технические, физические меры. Как автоматизировать контроль в SGRC-системе.
Категорирование объектов КИИ: полная инструкция по 187-ФЗ и ПП №127
Пошаговая инструкция по категорированию КИИ по 187-ФЗ: создание комиссии, перечень объектов, критерии значимости, категории 1-3, акт и уведомление ФСТЭК.
SGRC vs GRC: в чём разница и как выбрать систему для ИБ
Сравнение SGRC и GRC: ключевые отличия, применимость в России, примеры систем. Когда нужен SGRC, а когда достаточно GRC — руководство для CISO.
Аттестация информационных систем по ФСТЭК 2026: пошаговое руководство
Как пройти аттестацию информационной системы по ФСТЭК: этапы, сроки, стоимость, документы. Как SGRC-платформа формирует доказательную базу за 1 день.
Оценка рисков информационной безопасности по ISO 27005: методы, матрица и реестр рисков
Как проводить оценку рисков ИБ по ISO 27005. Качественные и количественные методы, матрица 5×5, реестр рисков, стратегии обработки и автоматизация в SGRC.
Обзор SGRC-решений в России 2026: детальное сравнение платформ и рекомендации по выбору
Сравнительный обзор российских SGRC-платформ: Security Vision, R-Vision, Securitm, КиберОснова. Критерии выбора, таблица сравнения и тренды рынка 2026.
Модель угроз ИСПДн: пошаговое составление по методике ФСТЭК 2021
Как составить модель угроз ИСПДн по методике ФСТЭК 2021. Типы угроз, уровни защищённости ПДн, пример для кадровой системы и автоматизация в SGRC.
ISO 27001: полное руководство по внедрению и сертификации СУИБ
Как внедрить ISO 27001:2022 и получить сертификат СУИБ. Структура стандарта, 93 контроля Annex A, этапы внедрения, совместимость с ГОСТ и ФСТЭК.
Методика управления уязвимостями ФСТЭК: этапы, сроки, автоматизация
Разбор руководства ФСТЭК по управлению уязвимостями: пять этапов, роли, SLA по приказам №239/117/21, источники данных, метрики и автоматизация.
Системы управления уязвимостями: обзор VM-решений на российском рынке
Системы управления уязвимостями: ScanOVAL, MaxPatrol VM, RedCheck и КиберОснова. Сравнение, критерии выбора и интеграция с SGRC-платформой.
Технический (аппаратный) журнал СКЗИ: форма, образец и требования ПКЗ-2005
Как вести технический (аппаратный) журнал СКЗИ по ПКЗ-2005. Форма журнала, 3 примера заполнения, типичные ошибки при проверке ФСБ и автоматизация в SGRC.
SGRC, SIEM и SOAR: подробное сравнение трёх классов систем безопасности
Чем отличаются SGRC, SIEM и SOAR. Сравнительная таблица, функции, сценарии использования. Что внедрять первым и как три класса систем дополняют друг друга.
Управление рисками информационной безопасности: полное руководство
Как выстроить процесс управления рисками ИБ: стандарты ISO 27005, ГОСТ Р ИСО/МЭК 27005, этапы оценки, методы анализа, стратегии обработки и роль SGRC-платформы.
Регламент управления уязвимостями: структура документа, шаблон и пример
Шаблон регламента управления уязвимостями: RACI, SLA по ФСТЭК №117/239/21, процедура сканирования, эскалация. Готовая структура для CISO.
Система управления информационной безопасностью (СУИБ): построение, компоненты и лучшие практики
Как построить систему управления информационной безопасностью (СУИБ). Компоненты, этапы внедрения, связь с ISO 27001, роли, KPI и типичные ошибки.
Учёт СКЗИ КриптоПро: лицензии, установки, бухгалтерский учёт и автоматизация
Как вести учёт КриптоПро CSP: поэкземплярный учёт установок, учёт лицензий, бухгалтерские проводки (НМА или расходы), обновление версий и утилизация.
Модель угроз ИБ по методике ФСТЭК 2021: руководство по разработке
Как разработать модель угроз ИБ по методике ФСТЭК 2021. Этапы, структура документа, определение актуальных угроз из БДУ, пример для ИСПДн, шаблон.
Процесс управления уязвимостями: этапы, методика ФСТЭК и автоматизация
Этапы процесса управления уязвимостями по руководству ФСТЭК: выявление, оценка, приоритизация, устранение, верификация. CVSS, SLA, метрики и автоматизация.
Что такое SGRC-система: полный обзор класса решений для информационной безопасности
SGRC — Security Governance, Risk, Compliance. Что автоматизирует SGRC-система, отличия от GRC, SIEM, SOAR. Обзор российского рынка SGRC и критерии выбора.
Поэкземплярный учёт СКЗИ: требования ФСБ, форма журнала и пример заполнения
Как вести поэкземплярный учёт СКЗИ по требованиям ФСБ. Типовая форма журнала, построчный пример заполнения, частые ошибки и автоматизация учёта.
Автоматизация ИБ: какие процессы информационной безопасности пора автоматизировать
Какие процессы ИБ нужно автоматизировать в первую очередь: учёт СКЗИ, управление уязвимостями, документы, аудит, риски. ROI автоматизации и обзор инструментов.
Журнал учёта СКЗИ: образец, пример заполнения и требования ФСБ
Образец журнала учёта СКЗИ с примером заполнения по Приказу ФАПСИ №152. Формы поэкземплярного и технического учёта, типичные ошибки и автоматизация.
Глоссарий ИБ
Термины и определения информационной безопасности
Что такое SGRC
ТерминРасшифровка, обзор SGRC-систем, отличия от GRC, рынок России
Что такое БДУ ФСТЭК
ТерминБанк данных угроз безопасности: структура, использование, модель угроз
Что такое СУИБ
ТерминСистема управления информационной безопасностью: компоненты, ISO 27001
Практические руководства
Как внедрить ИБ-процессы в организации
Хотите узнать больше о КиберОснова?
Запросите демо-доступ — мы покажем, как платформа решает ваши задачи.