Перечень коррупционно опасных функций выполняемых гу: ГБОУ «ИТШ № 777» Санкт-Петербурга

Перечень коррупционно-опасных функций Министерства социальной политики Свердловской области

Перечень коррупционно-опасных функций Министерства социальной политики Свердловской области

Главная > Противодействие коррупции > Нормативные правовые и иные акты в сфере противодействия коррупции > Перечень коррупционно-опасных функций Министерства социальной политики Свердловской области

Противодействие коррупции

Приказ Министерства социальной политики Свердловской области от 15.08.2022 № 290 (.docx 15.9 KB) «Об утверждении Перечня коррупционно-опасных функций Министерства социальной политики Свердловской области»

• Президент
  Российской
  Федерации
• Правительство Российской
  Федерации
• Федеральное собрание
  Российской Федерации
• Минтруд
  Российской
  Федерации
• Губернатор
  Свердловской
  области
• Правительство
  Свердловской
  области
• Областной
  информационно-
  расчетный центр
• Организационно-
  методический центр
• Областной центр
  реабилитации
  инвалидов
• АИС Доступная
  среда
• Портал
  Дополняя
  друг друга
• Региональный банк данных о детях-сиротах и детях, оставшихся без попечения родителей

Этот сайт использует файлы cookies и сервисы сбора технических данных посетителей (данные об IP-адресе, местоположении и др. ) для улучшения качества работы сайта. Продолжая использовать сайт, Вы соглашаетесь с Положением об обработке персональных данных.

Согласиться Положение о персональных данных

Противодействие коррупции — Школа #358

Нормативные правовые и иные акты в сфере противодействия коррупции

Генеральная прокуратура Российской Федерации
Федеральное законодательство
Законодательство Санкт-Петербурга

Нормативные правовые и иные акты ГУ в сфере противодействия коррупции

План  по противодействию коррупции в ОУ на 2023-2027 год (годы) и правовой акт о его утверждении. 
План  по противодействию коррупции в ОУ на 2020-2022 год (годы) и правовой акт о его утверждении. 
Информация по исполнению  плана мероприятий по противодействию коррупции в ГБОУ СОШ № 358 Московского района
Кодекс профессиональной этики работников ГБОУ СОШ №358
Положение о комиссии по противодействию коррупции в ГБОУК СОШ №358
Положение о комиссии по урегулированию споров между участниками образовательных отношений
Перечень коррупционно опасных функций, выполняемых ГУ
Перечень должностей ГУ, осуществление трудовых обязанностей по которым связано с коррупционными рисками
Карта коррупционных рисков ГБОУ СОШ №358 Московского района Санкт-Петербурга
Информация о комиссии по урегулированию споров между участниками образовательных отношений

Приказ от 17. 01.2023 № 35 о/д «О назначении ответственного лица профилактику коррупционных и иных правонарушений и ответственных лиц за направления работы по противодействию коррупции в 2023 году»
Приказ от 20.01.2023 № 46  «О плане мероприятий по противодействию коррупции на 2023-2027 год»
Протокол №1 заседания комиссии по противодействию коррупции 30.01.2023

Приказ от 10.01.2022 № 8 о/д » О назначении ответственного лица за профилактику коррупционных и иных правонарушений и ответственных лиц за направления работы по противодействию коррупции в 2022 году»
Приказ от 01.06.2022 № 480 о/д  О внесении изменений в приказ №8 о/д » О назначении ответственного лица за профилактику коррупционных и иных правонарушений и ответственных лиц за направления работы по противодействию коррупции в 2022 году» от 10.01.2022
Приказ от 01.06.2022 № 480/1 о/д  О мерах по противодействию коррупции
Приказ от 10.01.2022 №8 о/д «О мерах по противодействию коррупции»
Приказ от 10.01.2022 №9 о/д «Об утверждении Перечня коррупционно-опасных функций и должностей, подверженных коррупционным рискам»
Протокол №1 заседания комиссии по противодействию коррупции 28. 01.2022 
Протокол №2 заседания комиссии по противодействию коррупции 24.04.2022 
Протокол №3 заседания комиссии по противодействию коррупции 26.05.2022 
Протокол №4 заседания комиссии по противодействию коррупции 30.11.2022 

Приказ от 11.01.2021 № 5/2 о/д «Об утверждении перечня коррупционно-опасных функций и должностей, подверженных коррупционным рискам»
Приказ от 11.01.2021 № 5/1 о/д «О мерах по противодействию коррупции»
Протокол №1 заседания комиссии по противодействию коррупции 26.01.2021 
Протокол №2 заседания комиссии по противодействию коррупции 29.04.2021 
Протокол №3 заседания комиссии по противодействию коррупции 27.09.2021 
Протокол №4 заседания комиссии по противодействию коррупции 20.12.2021

Приказ от 10.01.2020 №13 о/д «Об утверждении перечня коррупционно-опасных функций и должностей, подверженных коррупционным рискам»
Приказ от 10.01.2020 №14 о/д «О мерах по противодействию коррупции»
Протокол №1 заседания комиссии по противодействию коррупции 28. 01.2020 
Протокол №2 заседания комиссии по противодействию коррупции 27.04.2020 
Протокол №3 заседания комиссии по противодействию коррупции 21.06.2020 
Протокол №4 заседания комиссии по противодействию коррупции 18.12.2020

 

Методические материалы   → (подробнее)

 

Формы документов, связанных с противодействием коррупции, для заполнения

На официальном сайте Администрации Санкт-Петербурга в сети Интернет в целях оказания содействия государственным гражданским служащим Санкт-Петербурга и гражданам размещены формы обращений, уведомлений, заявлений, справок, заполняемых гражданскими служащими и гражданами в целях реализации действующего законодательства о противодействии коррупции. Здесь

Уведомление о склонении к совершению коррупционных правонарушений

Уведомление работодателя о возникновении конфликта интересов

 

Обратная связь для сообщений о фактах коррупции

СПЕЦИАЛЬНО ВЫДЕЛЕННАЯ ТЕЛЕФОННАЯ ЛИНИЯ «НЕТ КОРРУПЦИИ!»

+7 (812) 576-77-65

Специальная линия предназначена для направления гражданами информации о конкретных фактах коррупции. На специальную линию также можно сообщать информацию о неисполнении (недобросовестном исполнении) служебных обязанностей государственными и муниципальными служащими, работниками государственных (муниципальных) учреждений и предприятий, нарушениях требований к служебному поведению и случаях конфликта интересов, превышении служебных (должностных) полномочий, нарушениях прав, свобод и законных интересов граждан и организаций, фактах вымогательства со стороны должностных лиц, необоснованных запретах и ограничениях.
Линия функционирует в режиме автоответчика с 9-00 до 18-00 по рабочим дням. Продолжительность сообщения — до 8 минут.
Данная линия не является «телефоном доверия» и предназначена только для приема сообщений, содержащих факты коррупционных проявлений согласно определению коррупции.
Поступившие сообщения, удовлетворяющие указанным требованиям, обрабатываются и затем рассматриваются в соответствии с Федеральным законом от 2 мая 2006 года № 59-ФЗ «О порядке обращений граждан Российской Федерации».
Информации, поступившей на линию «Нет коррупции!», обеспечивается конфиденциальный характер. Не является разглашением сведений, содержащихся в обращении, направление обращения в государственный орган, орган местного самоуправления или должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов.
Обращения, содержащие оскорбления и угрозы, не рассматриваются.
Постоянно действующая «Горячая линия» Комитета по образованию Санкт-Петербурга, правоохранительных и контрольно-надзорных органов по вопросам незаконных сборов денежных средств в ОО.

+7 (812) 576-20-19

(по рабочим дням с 09.00 до 18.00, без обеда)

 

Информационные материалы

Информационные материалы Генеральной прокуратуры РФ
Информационные материалы Администрации Санкт-Петербурга

 

МЫ ПРОТИВ КОРРУПЦИИ В ОБРАЗОВАНИИ

Небезопасное использование опасной функции

О внедрении команд

Внедрение команд — это тип уязвимости системы безопасности, которая позволяет злоумышленник для выполнения произвольных команд в целевой системе. Это происходит, когда приложение принимает пользовательский ввод как часть команды. или запрос, который выполняется системой без надлежащей проверки или очистки.

Например, рассмотрим веб-приложение, которое позволяет пользователям искать для продуктов, введя название продукта. Если приложение не должным образом очищать пользовательский ввод и передавать ввод непосредственно в командную оболочку операционной системы, злоумышленник может вставить вредоносный код во входные данные, который может быть выполнен командной оболочкой.

Это может привести к тому, что злоумышленник получит несанкционированный доступ к системе или выполнит другие вредоносные действия.

Посмотрите это видео, чтобы получить подробное объяснение:

Успешная атака с внедрением команд может иметь широкий спектр последствий, в зависимости от системы и целей злоумышленника. Вот несколько возможных воздействий:

• Несанкционированный доступ: Злоумышленник может получить несанкционированный доступ к системе или приложению, предоставив им доступ к конфиденциальным данным или функциям.
• Кража данных: Злоумышленник может украсть данные из системы, включая личную информацию, финансовые данные или другие конфиденциальные данные.
• Установка вредоносного ПО: Злоумышленник может установить вредоносное ПО в систему, что позволит ему еще больше скомпрометировать систему или использовать ее в качестве отправной точки для других атак.
• Отказ в обслуживании: Злоумышленник может запустить атаку типа «отказ в обслуживании», выполнив команды, перегружающие системные ресурсы, или удалив важные системные файлы.
• Компрометация системы: В некоторых случаях успешная атака с внедрением команд может привести к полной компрометации системы, позволяя злоумышленнику получить полный контроль.

Некоторые меры, которые могут помочь предотвратить атаки с внедрением команд, перечислены ниже. Используйте регулярные выражения или фильтры ввода, чтобы удалить или закодировать любые специальные символы, которые могут использоваться для выполнения произвольных команд.

Использовать параметризованные запросы: При выполнении команд, включающих пользовательский ввод, используйте параметризованные запросы вместо объединения строк.

Ограничить разрешения: Ограничить разрешения учетной записи пользователя, которая запускает приложение, только теми, которые необходимы для выполнения его функций.

Проводите регулярные аудиты безопасности: Регулярно проверяйте свою систему и приложения на наличие уязвимостей безопасности, включая уязвимости внедрения команд. Используйте автоматизированные инструменты и ручное тестирование, чтобы выявить потенциальные проблемы и устранить их, прежде чем их можно будет использовать.

Проинформируйте свою команду разработчиков: Проинформируйте свою группу разработчиков о рисках атак путем внедрения команд и о мерах, которые можно предпринять для их предотвращения.

Таксономии

• OWASP Top 10 — A03 Injection
• CWE-77: неправильная нейтрализация специальных элементов, используемых в команде («внедрение команды»)
• CWE-78: неправильная нейтрализация специальных элементов, используемых в ОС Команда («Внедрение команды ОС»)

Объяснение и предотвращение​

• OWASP: Command Invection
• OWASP: Чит -лист команды
• Целостный инфосек: Инъекция команды — Риски
• Целостные инфосек: Command -Countermesures

• CVE DELATIO 78

• Secure Code Warrior: внедрение команд ОС

Go предлагает несколько способов выполнения команд операционной системы, например:

• exec. Command()
• exec.CommandContext()
• syscall.Exec()

Эта уязвимость позволяет пользователю запускать (обычно оболочку) команды на хост-машине. Обычно это приводит к злоумышленник, имеющий полный контроль над хост-машиной.

Эта уязвимость возникает, когда пользовательский ввод получает передается в функцию, которая позволяет выполнять команды на хост-машине.

Ссылки на правила:

• Информация OWASP о введении команд
• OWASP Command Injection Cheatsheet
• exec.Command Docs
• os.StartProcess Docs

Вариант A: Использование списка разрешений для определенных команд

список разрешений. Это означает, что могут быть запущены только заведомо правильные команды.

1. Определите уязвимые шаблоны (пример ниже):

    func RunCommandEndpoint(соотв. http.ResponseWriter, req *http.Request) { 
    req.ParseMultipartForm(1024) 
     команда существует := req. MultipartForm.Value["cmd"] 
    если !exists || len(command) == 0 { 
    http.Error(resp, "Требуется значение формы 'cmd'", 400) 
    return 
    } 
    
    prog := command[0] 
    args, exists := req.MultipartForm. Value["args"] 
    
    if !exists { 
    args = make([]string, 0) 
    } 
    
    exec.Command(prog, args...) 
    } 
    
    

2. Санировать уязвимый шаблон с помощью набора ок значения (пример ниже):

    var allowList map[string]struct{} 
    func init() { 
     allowList = make(map[string]struct{}) 
    allowList["echo"] = struct{}{} 
    } 
    
    func RunCommandEndpoint( resp http.ResponseWriter, req *http.Request) { 
    req.ParseMultipartForm(1024) 
    команда, существует := req.MultipartForm.Value["cmd"] 
    
    если !exists || len(command) == 0 { 
    http.Error(resp, "Требуется значение формы 'cmd'", 400) 
    return 
    } 
    
    prog := command[0] 
    args, exists := req.MultipartForm. Значение["аргументы"] 
    
    если !exists { 
    args = make([]string, 0) 
    } 
    
    if _, ok := allowList[prog]; OK {
    Exec. command (Prog, Args ...) 
   } 
   } 
    
    

3. Тест

4. Корабль It 🚢 и расслабьтесь 🌴

. Опция B: Нельзя позволить. Контролируется пользователем

Это решение довольно простое. Он работает, удаляя возможность передачи пользовательского ввода в уязвимый функция.

Это можно сделать разными способами, например:

• Наличие сопоставления строк с функциями
• Разделение функциональности на разные функции
• Использование перечисления для обозначения вызываемой команды
• и т. д.

1. Найдите уязвимые шаблоны (пример ниже): CallOSCommand(userInput string, args …string) {
   exec.Command(userInput, args…)
   }

2. Замените уязвимый шаблон одним из приведенных выше методов (пример ниже):

   В этом примере для решения задачи используется перечисление

    type OSProgram uint64 
    const ( 
    LS OSProgram = iota 
    Cat 
    Echo 
    Grep 
    ) 
    
    switchOSCallOSCommand, 1 . .. program { 
    case LS: 
    exec.Command("ls", args...) 
    case Cat: 
    exec.Command("cat", args...) 
    case Echo: 
    exec.Command("echo" , args...) 
    case Grep: 
    exec.Command("grep", args...) 
    } 
    } 
    
    

3. Протестируйте

4. Отправьте 🚢 и расслабьтесь 🌴

Небезопасное использование опасной функции злоумышленник для выполнения произвольных команд в целевой системе. Это происходит, когда приложение принимает пользовательский ввод как часть команды. или запрос, который выполняется системой без надлежащей проверки или очистки.

Например, рассмотрим веб-приложение, которое позволяет пользователям искать для продуктов, введя название продукта. Если приложение не должным образом очищать пользовательский ввод и передавать ввод непосредственно в командную оболочку операционной системы, злоумышленник может вставить вредоносный код во входные данные, который может быть выполнен командной оболочкой.

Это может привести к тому, что злоумышленник получит несанкционированный доступ к системе или выполнит другие вредоносные действия.

Посмотрите это видео, чтобы получить подробное объяснение:

Успешная атака с внедрением команд может иметь широкий спектр последствий, в зависимости от системы и целей злоумышленника. Вот несколько возможных воздействий:

• Несанкционированный доступ: Злоумышленник может получить несанкционированный доступ к системе или приложению, предоставив им доступ к конфиденциальным данным или функциям.
• Кража данных: Злоумышленник может украсть данные из системы, включая личную информацию, финансовые данные или другие конфиденциальные данные.
• Установка вредоносного ПО: Злоумышленник может установить вредоносное ПО в систему, что позволит ему еще больше скомпрометировать систему или использовать ее в качестве отправной точки для других атак.
• Отказ в обслуживании: Злоумышленник может запустить атаку типа «отказ в обслуживании», выполнив команды, перегружающие системные ресурсы, или удалив важные системные файлы.
• Компрометация системы: В некоторых случаях успешная атака с внедрением команд может привести к полной компрометации системы, позволяя злоумышленнику получить полный контроль.

Некоторые меры, которые могут помочь предотвратить атаки с внедрением команд, перечислены ниже. Используйте регулярные выражения или фильтры ввода, чтобы удалить или закодировать любые специальные символы, которые могут использоваться для выполнения произвольных команд.

Использовать параметризованные запросы: При выполнении команд, включающих пользовательский ввод, используйте параметризованные запросы вместо объединения строк.

Ограничить разрешения: Ограничить разрешения учетной записи пользователя, которая запускает приложение, только теми, которые необходимы для выполнения его функций.

Проводите регулярные аудиты безопасности: Регулярно проверяйте свою систему и приложения на наличие уязвимостей безопасности, включая уязвимости внедрения команд. Используйте автоматизированные инструменты и ручное тестирование, чтобы выявить потенциальные проблемы и устранить их, прежде чем их можно будет использовать.

Проинформируйте свою команду разработчиков: Проинформируйте свою группу разработчиков о рисках атак путем внедрения команд и о мерах, которые можно предпринять для их предотвращения.

Таксономии

• OWASP Top 10 — A03 Injection
• CWE-77: неправильная нейтрализация специальных элементов, используемых в команде («внедрение команды»)
• CWE-78: неправильная нейтрализация специальных элементов, используемых в ОС Команда («Внедрение команды ОС»)

Объяснение и предотвращение​

• OWASP: внедрение команды
• OWASP: Command Invection Chiefte
. 78

• Secure Code Warrior: внедрение команд ОС

Ruby предлагает несколько способов выполнения команд операционной системы, например:

• exec(command)
• syscall(command)
• system(command)
• eval()
• constantize()
• render()

Option A: Replace the dangerous function with a безопасная альтернатива​

Справочные материалы по конкретным решениям:

• Руководство по безопасности Rails – Внедрение командной строки

1. Просмотрите проблемы, которые GuardRails выявила в PR/MR

2. Найдите опасную функцию. Например:

    # Одним из примеров является exec, но в Ruby существует множество других опасных функций. 
    exec("/path/to/cmd #{params[:input]}") 
    

3. Если функционал не нужен, то удалите его

4. В противном случае замените опасную функцию на следующую:

    # Ключевым моментом является то, что пользовательский ввод находится во второй части массива 
    #, который передается системной функции. 
    # Убедитесь, что пользовательский ввод не находится в первой части массива, который 
    # содержит саму команду. 
    system("/path/to/cmd","#{params[:input]}") 
    

5. Протестируйте и убедитесь, что функциональность работает должным образом

6. Отправьте 🚢 и расслабьтесь 🌴 О внедрении кода

   Внедрение кода — это уязвимость системы безопасности, которая возникает, когда приложение генерирует код динамически и неправильно проверять или дезинфицировать пользовательский ввод, прежде чем использовать его для генерации кода.

   Основное различие между внедрением команды и внедрением кода заключается в следующем. что внедрение команд фокусируется на выполнении произвольных системных команд, в то время как внедрение кода фокусируется на внедрении и выполнении произвольного кода внутри программы или системы.

   Внедрение кода ограничено функциональностью самого внедряемого языка.

   Посмотрите это видео, чтобы получить подробное объяснение:

   Успешная атака путем внедрения кода может иметь широкий спектр последствий, в зависимости от системы и целей злоумышленника. Вот несколько возможных воздействий:

   • Несанкционированный доступ: Злоумышленник может получить несанкционированный доступ к системе или приложению, предоставив им доступ к конфиденциальным данным или функциям.
   • Кража данных: Злоумышленник может украсть данные из системы, включая личную информацию, финансовые данные или другие конфиденциальные данные.
   • Установка вредоносного ПО: Злоумышленник может установить вредоносное ПО в систему, что позволит ему еще больше скомпрометировать систему или использовать ее в качестве отправной точки для других атак.
   • Отказ в обслуживании: Злоумышленник может запустить атаку отказа в обслуживании, выполнив код, который перегружает системные ресурсы.
   • Компрометация системы: В некоторых случаях успешная атака путем внедрения кода может привести к полной компрометации системы.

   Некоторые меры, которые могут помочь предотвратить атаки с внедрением кода:

   • Проверка и очистка входных данных: Убедитесь, что вводимые пользователем данные проверены и очищены, прежде чем они будут использованы для создания кода.
   • Проводите регулярные аудиты безопасности: Регулярно проверяйте свою систему и приложения на наличие уязвимостей безопасности, включая уязвимости внедрения кода. Используйте автоматизированные инструменты и ручное тестирование, чтобы выявить потенциальные проблемы и устранить их, прежде чем их можно будет использовать.
   • Проинформируйте свою команду разработчиков: Проинформируйте свою команду разработчиков о рисках атак путем внедрения кода и о мерах, которые можно предпринять для их предотвращения.

   Таксономии​

   • OWASP Top 10 — A03 Injection
   • CWE-94: неправильный контроль генерации кода («внедрение кода»)
   • CWE-95: неправильная нейтрализация директив в динамически оцениваемом коде («Eval Injection»)

   3

   3 Объяснение и предотвращение​

   • OWASP: внедрение кода
   • OWASP: памятка по внедрению команд
   • Комплексная информационная безопасность: внедрение команд – риски
   • [Целостная информационная безопасность: внедрение команд – контрмеры]https://f1.holisticinfosecforweb0developers6. .html#web-applications-countermeasures-command-injection
   • Подробности CVE: CWE-94
   • Де Самый безопасный способ константизации

   1. Просмотрите проблемы, выявленные GuardRails в PR/MR

   2. Найдите метод константизации . Уязвимый пример:

       class AlertsController < ApplicationController 
       def create 
       params[:alert][:type]. constantize.new(params[:alert][:value]) # <-- плохой код, не делайте этого! 
       # ... другие работы 
       # рендеринг страницы 
       end 
       end 
       

   3. Если функционал не требуется, то удалить его

   4. В противном случае применить следующий шаблон:

       # Какой-то файл, где константное определение Уместно. 
       ПРЕДУПРЕЖДЕНИЯ = { 
       'информация' => InfoAlert, 
       'warn' => WarnAlert, 
       'error' => ErrorAlert 
       } 
       class AlertsController < ApplicationController 
       def create 
       ALERTS.fetch(params[:alert][:type])).new(params[:alert][ : значение])) 
       
       # ... Другая работа 
       # render Page 
       END 
       END 
       
       

   5. Проверьте его и обеспечивает функциональность, как и ожидалось

   6. . Вариант B: ограничить допустимый ввод до Render()

      Список литературы:

      • Динамический рендеринг: Выполнение удаленного кода-CVE 2016-0752

      1. Пропустите проблемы, которые выявлены в PR/MR

      2. Locate .

         No related posts.