Бортовой журнал
Заметки, мысли и сообщения из соцсервисов
Всего: 2361
Давненько не брал я в руки шашек не давал я интервью. Исправляюсь: https://www.tadviser.ru/a/898707
О пользе проверки бесплатных утилит до их запуска https://zlonov.live/blog/another-malware-on-github/
Изменения законодательства за август: https://hub.zlonov.ru/laws/reviews/2025-08-USSC-review
- КИИ: обновление формы подачи сведений о категориях значимости объектов КИИ и порядка ведения реестра ЗО КИИ, продление переходного периода для создания структурных подразделений ГосСОПКА.
- ПДн: Требования и методы обезличивания ПДн, изменения в процедурах и полномочиях Роскомнадзора при проведении госконтроля за обработкой ПДн, перечень случаев использования биометрических данных из ЕБС.
- Масштабный (54 страницы!) проект ФЗ для усиления борьбы с киберпреступностью, мошенничеством и правонарушениями, совершаемыми с использованием цифровых технологий.
- Нововведения в регулировании ИТ-сферы и ПО, изменения формы отчётности операторов услуг платежной инфраструктуры, ряд изменений в госконтроле в области связи, требования к защите профтайны ФСО России.
- и другое.
Как я автоматизировал анализ реестра ФСТЭК России и что у меня в итоге получилось: https://zlonov.live/blog/auto-updating-tables/
Обзор от информационно-правового портала ГАРАНТ.РУ: Что изменится в России с 1 сентября 2025 года? Вот некоторые нововведения:
- Заработают новые меры по борьбе с кибермошенниками
- Ужесточатся требования к обработке персональных данных
- Россиян начнут штрафовать за поиск экстремистской информации в интернет
- За передачу сим-карты другому лицу последуют санкции
- Рекламу на информационных ресурсах запрещенных организаций запретят
- Расширится перечень предустанавливаемых на смартфоны программ
Рекомендуемые (на картинке - справа) самими же разработчиками настройки безопасности (Настройки -> Приватность) стоило бы сделать включенными по умолчанию: 🔒 Центр безопасности MAX Рекомендуем включить безопасный режим себе и близким для спокойного и защищённого общения. Звонки, сообщения и приглашения будут приходить только от тех, кто записан в контактах.
Мошенники, правда, и тут стараются быть на шаг впереди, но это никак не отменяет полезность ограничений в настройках: Мошенники стали брать в аренду аккаунты в Мах у обычных пользователей.
Разбор изменений, вносимых приказом ФСТЭК России № 117, от Аналитического центра УЦСБ:
- Каких организаций коснутся изменения?
- Какие новые требования вступят в силу?
- Как подготовиться к изменениям?
Правительство утвердило план мероприятий по реализации Концепции государственной системы противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий, до 2028 года: https://hub.zlonov.ru/laws/Распоряжения-Правительства-РФ/РП-2207-р-от-14.08.2025
Приказом ФСБ России №282 от 21.07.2025 с трёх до пяти лет увеличен переходный период, в течение которого центрам ГосСОПКА допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах субъектов КИИ на основании заключенных с НКЦКИ соглашений о сотрудничестве: https://hub.zlonov.ru/laws/Приказы-ФСБ-России/Приказ-ФСБ-России-№282-от-21.07.2025
Собрал в Хабе Злонова все опубликованные проекты постановлений Правительства об утверждении отраслевых особенностей категорирования объектов КИИ: https://hub.zlonov.ru/tags/отраслевые_особенности_категорирования
Мне неизвестно, по какой причине проекты нормативно-правовых актов на regulation.gov.ru не открываются по прямым ссылкам (https://regulation.gov.ru/projects/158031), хотя есть на главной станице вбить в строку поиска его номер (158031) и перейти по такой же ссылке, то проблемы не возникает, так что Хаб - вполне себе вариант быстрого доступа к текстам этих проектов.
Изменения законодательства за июль: https://hub.zlonov.ru/laws/reviews/2025-07-USSC-review
- КИИ: проекты постановлений Правительства об отраслевых особенностях категорирования объектов КИИ в сфере здравоохранения и ракетно-космической промышленности;
- ПДн: совместный приказ ФСБ России, СВР России, МО России, ФСО России и МВД России, устанавливающий порядок доступа к ИС и (или) БД, содержащим ПДн специальных служб и лиц, находящихся под госохраной;
- Приказы ФСТЭК России о лицензионном контроле деятельности по технической защите конфиденциальной информации (ТЗКИ) и по разработке и производству средств защиты конфиденциальной информации (СЗКИ);
- Требования к техническим и программным средствам, используемым ФОИВ при организации видео- и веб-конференций;
- и другое.
canvas). Оказалось - вполне удобно и достаточно наглядно. Итоговый результат: в виде картинки, в формате PDF с распознанным текстом одной страницей и в виде многостраничного файла. Ссылки на нормативные акты вручную проставлять не стал - слишком утомительно. Попозже подумаю, как лучше добавить этот холст в ПБЗ.
Если в отличие от меня вы уже являетесь пользователем ЕБС, то, возможно, в этой аналитической статье найдёте ещё какие-то полезные варианты её применения: https://www.garant.ru/article/1829500/
Вот что, например, биометрия позволяет уже сегодня:
- открыть счет или оформить кредит в банке;
- получить электронную подпись;
- заселиться в гостиницу без паспорта;
- оплатить проезд в метро Москвы, Казани, Екатеринбурга, Самары, Нижнего Новгорода;
- зарегистрировать бизнес;
- получить сим-карту;
- подтвердить право на пенсию из любой точки мира;
- проходить в бизнес-залы аэропортов и т. д.
Проверить (и отозвать) свои ранее выданные согласия на обработку биометрии можно в личном кабинете на Госуслугах: https://lk.gosuslugi.ru/settings/biometrics
P.S. А сколько, интересно, тех, кто поддерживает, но к сбору своей не готов? =)
Согласно данным ВЦИОМ, более 76% молодых людей поддерживают применение биометрии, в том числе для аренды самокатов, онлайн-кредитования и защиты покупателей на маркетплейсах. При этом 35% старшего поколения пока не готовы к сбору биометрических данных.
Изменения законодательства за июнь: https://hub.zlonov.ru/laws/reviews/2025-06-USSC-review
- КИИ: проекты отраслевых особенностей категорирования объектов КИИ, проекты перечней типовых отраслевых объектов КИИ и изменения в Правилах категорирования объектов КИИ;
- ПДн: законопроекты в сфере ПДн граждан РФ при трансграничной передаче данных и о расширении возможностей использования биометрических ПДн при проходе на территории организаций, требования о необходимости оформления согласия на обработку ПДн отдельно от иных документов, изменения в 152-ФЗ, а также правила взаимодействия Минцифры России с операторами ПДн, формирования составов обезличенных ПДн и предоставления доступа к составам обезличенных ПДн;
- Закон о создании ГИС по противодействию преступлениям, совершаемым с использованием информационных технологий.
- Требования о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, которые придут на смену приказу ФСТЭК России № 17;
- Свежая судебная практика в области ИБ;
- и другое.
Добавление: Все упомянутые в обзоре новые нормативно-правовые акты добавлены в Персональную база знаний по законодательству https://zlonov.live/blog/legislation-personal-knowledge-base/
Мероприятель - человек, с которым регулярно встречаешься и общаешься, но только на выставках и конференциях.
В майском обзоре изменений законодательства от коллег из УЦСБ:
- отраслевые особенности категорирования объектов КИИ сфер связи и недвижимости;
- изменения в технических требованиях к биоПДн в ЕБС;
- увеличение штрафов за нарушения требований о защите информации, в том числе за использование несертифицированных СрЗИ;
- план мероприятий по реализации Стратегии развития отрасли связи РФ на период до 2035 года;
- и другое.
Кстати, свой вариант обзора законодательства начал готовить Департамент консалтинга UDV Group.
Приняты поправки, позволяющие с 01 июля 2026 года проводить сделки с недвижимостью по биометрии. Онлайн-сделки с недвижимостью, в принципе, можно проводить и сейчас, но не зря же ГИС ЕБС создавалась =)
Стороны смогут подавать заявления о государственной регистрации прав на объекты недвижимости в электронном виде. Все документы должны быть подписаны усиленной квалифицированной электронной подписью, а идентификация участников сделки будет осуществляться через Единую биометрическую систему.
Импортозаместительная математика - как влияют требования регуляторов на отечественность используемого ПО:
По словам директора департамента «Промышленная автоматизация» компании «Рексофт» Ольги Маковой на критически важных объектах доля российского ПО достигает 80%. Однако в сегментах, где отсутствуют регуляторные требования, уровень использования отечественного ПО не превышает 30%, и компании не готовы тратить дополнительные ресурсы на импортозамещение.
Полезное в закладки: новый раздел на Госуслугах “Защита от мошенников в сети” (https://www.gosuslugi.ru/scammer_protection) аккумулировал в одном месте базовые советы для тех, кто стал жертвой мошенников, и тех, кто хотел бы себя превентивно обезопасить. Дополнительно приведены быстрые ссылки с пояснениями на установление самозапрета на кредиты, проверку кредитной истории и оформленных сим-карт (этот сервис, к слову, вообще огонь!), услугу для отправки информации о подозрительном звонке и подачу жалобы на вредоносный ресурс.
Что ж, имеем ещё один аргумент для сторонников концепции отказа от сторонних онлайн-сервисов в пользу локальных персональных баз знаний (local personal knowledge base - local PKB).
Обзор законодательства от Аналитического центра УЦСБ за апрель: https://hub.zlonov.ru/laws/reviews/2025-04-USSC-review
Краткое содержание:
- изменения в 187-ФЗ “О безопасности КИИ”
- новые методические указания по категорированию объектов КИИ в сфере связи
- Постановление Правительства РФ о случаях формирования составов обезличенных ПДн и проекты новых Поставновлений по этой же тематике
- новые государственные образовательные стандарты по специальностям 09.02.11 и 09.02.12
- обзор деятельности ФСТЭК России
- и прочее
Статью на Хабре "Цифровая электронная подпись бесплатно в OpenKeychain и GPG4win" в комментариях вполне справедливо критикуют, но зато благодаря ей вспомнил, что есть такой замечательный сервис для публикации и проверки открытых ключей как keys.openpgp.org.
Оказывается, там даже мой какой-то ключ присутствует. Закрытый ключ, правда, давно уже утрачен, да и адресом этим не пользуюсь, но всё равно - спасибо автору за напоминание =)
Написал краткую инструкцию как локально сохранить себе для работы все нормативно-правовые акты по информационной безопасности из Хаба Злонова: https://zlonov.live/blog/legislation-personal-knowledge-base/
Без дополнительного перевода в голове гораздо удобнее, конечно.
Было: 咖啡 - [kā fēi] - coffee - [ˈkɔːfi] - кофе
Стало: 咖啡 - [kā fēi] - кофе
Тоже замечали, что многие мобильные приложения даже не успеваешь между обновлениями ни разу запустить?
Обзор законодательства от Аналитического центра УЦСБ за март с проставленными ссылками на НПА в Хабе Злонова: https://hub.zlonov.ru/laws/reviews/2025-03-USSC-review
В обзор (так как он формально мартовский) пока не попали свежие изменения в законодательстве о безопасности КИИ, но зато есть интересный обзор судебной практики.
Каждый десятый сотрудник российских компаний использует слабый и неуникальный пароль для рабочих аккаунтов. Второе место среди киберугроз с показателем 5% делят компрометация учетных данных в ходе учебных фишинговых атак и передача конфиденциальной информации через незащищенные каналы связи (включая некорпоративные мессенджеры, такие как W * * * p). Завершает список «неосторожностей» применение рабочих устройств не по назначению (4%). При этом две трети сотрудников (76%) не допустили нарушений.
Похоже, основные баги скрипта, сравнивающего версии реестров сертифицированных СрЗИ, отловлены. Скрипт, правда, не сохранил версию реестра от 28 марта (а она точно была), но эта ошибка уже исправлена и больше не должна повториться.
Пока из нерешённого - периодическое отсутствие доступности сайта ФСТЭК России при запуске скрипта (возможно - дело в IP-адресе, с которого он обращается к сайту) и не самое удобное отображение результатов сравнения.
Из наблюдений:
- реестр обновляется по пятницам, причём еженедельно;
- обновляется каждый раз примерно полтора десятка сертификатов;
- оказывается, существовал Межсетевой экран «Гарда FW», но сейчас разработчик ООО «ТехАргос» переименовал его в «Агрос FW»;
- количество сертифицированных СУБД продолжает расти.
Результат работы скрипта: https://zlonov.ru/fstec-registry-changes/
В принципе, мне, как клиенту, отдельное приложение, конечно, гораздо удобнее: как минимум при этом работают PUSH-уведомления, нет проблем с Face/Touch ID, да и в целом - приложение работает быстрее и пользоваться им комфортнее.
Ещё бы истории свои навязчивые отключили - вообще было бы прекрасно, но такое сложное изменение вряд ли разработчики осилят =)
Впрочем, всё равно порадуемся за команду разработчиков мобильных приложений Т-Банк - видимо, им можно не боятся сокращений =)
Давно хотел как-то автоматизировать отслеживание изменений в реестре сертифицированных ФСТЭК России средств защиты информации и вот, наконец, дошли руки доделать скрипт, который:
- проверяет наличие нового файла с перечнем сертификатов на сайте https://reestr.fstec.ru/reg3 (по дате обновления);
- скачивает новый файл при наличии;
- проводит построчное сравнение версий файла;
- оформляет результат сравнения в виде списка с тремя группами: Исключены/Добавлены/Изменены.
Заодно добавляются ссылки на карточки соответствующих СрЗИ в Хабе Злонова (при наличии).
Результат работы скрипта можно посмотреть тут: https://zlonov.ru/fstec-registry-changes/
Скрипт пока вряд ли лишён ошибок, да и над представлением результата можно ещё поработать, но что-то уже и сейчас он позволяет быстро выявить без ручного анализа.
Например:
- в марте в реестре появились новые сертифицированные SIEM-система и две СУБД;
- Солар Секьюрити сменил форму собственности с ООО на АО;
- техподдержка для ОС Аврора теперь заявлена до 31.12.2030, а для Аврора Центр - до 31.12.2026;
- сертификат на Libercat Certified переоформлен с ООО «БЕЛЛСОФТ» на АО «АКСИОМ».
Пятый алгоритм HQC дополнит стандарты NIST по постквантовому шифрованию
Национальный институт стандартов и технологий США (NIST) объявил о включении пятого алгоритма — HQC — в свой портфель постквантовой криптографии (PQC). Этот алгоритм станет резервным для ML-KEM и предназначен для механизмов encapsulation (KEM).
https://www.anti-malware.ru/news/2025-03-18-111332/45546
Более трети опрошенных россиян готовы отказаться от традиционных паролей
«Лаборатория Касперского» совместно с «Почта Mail» и Hi-Tech Mail выяснили, как люди относятся к беспарольным способам авторизации — одноразовым и QR-кодам, использованию отпечатков пальца или скана лица и другим способам для входа в аккаунты.
https://safe.cnews.ru/news/line/2025-03-14_opros_bolee_treti_oproshennyh
37% атак на бизнес начались с кражи логинов: число инцидентов растёт
В 2024 году 37% успешных атак на российские компании начались с компрометации учётных данных сотрудников — почти вдвое больше, чем в 2023 году (19%). Одной из причин роста стал всплеск утечек данных, из-за которого злоумышленники получили доступ к корпоративным логинам и паролям.
https://www.anti-malware.ru/news/2025-03-13-121598/45516
Всю импортную электронику в РФ предлагают обложить пошлиной в 30%
С таким предложением к правительству обратилась Ассоциация разработчиков и производителей электроники. В отрасли считают, что такая мера поддержки нужна на случай возвращения ушедших из России иностранных вендоров
Ассоциация разработчиков и производителей электроники (АРПЭ) обратилась к правительству с предложениями по поддержке российских компаний на случай возвращения западных игроков. Свои идеи ее представители изложили в письме, которое направили премьер-министру Михаилу Мишустину в минувший четверг. Копия есть у РБК. Введение 30-процентной импортной пошлины — лишь одна из мер, о которой просят представители отрасли, но, пожалуй, самая впечатляющая.
Как реализовать пакетную подпись PDF-документов
Автоматическое подписание документов электронной подписью используют там, где требуется пакетная подпись документов без участия сотрудника. Это могут быть как небольшие сайты, например по продаже билетов в театр и музей, или порталы с онлайн-обучением при отправке сертификатов о прохождении курсов, так и крупные банковские приложения, например, при генерации выписок по счетам, форм договоров или квитанций. В ЕСИА, СМЭВ, ГИС ЖКХ и других государственных информационных системах также реализована автоматическая подпись.
https://habr.com/ru/articles/890054/
Очередной обзор изменений в законодательстве от коллег из УЦСБ - за февраль 2025 года. По тексту для упоминаемых НПА добавлены ссылки на карточки в Хабе Злонова.
https://hub.zlonov.ru/laws/reviews/2025-02-USSC-review
https://t.me/zlonov_security/Презентации с ИБ АСУ ТП КВО (почти все): https://zlonov.ru/events/2025-03-04-05-ибкво/
Плюс традиционные итоги голосования в канале организаторов: https://zlonov.ru/best-reports-ibkvo-2025/
АРПП Отечественный софт представила 680 решений для защиты КИИ Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» передала в Минцифры и другие государственные ведомства перечень российских программных решений, способных заменить зарубежное ПО на объектах критической информационной инфраструктуры (КИИ).
В списке указаны сведения о программных продуктах, возможных сферах их применения, опыте внедрения, а также наличии сертификатов от регуляторов.
По данным АРПП «Отечественный софт», на 1 января 2025 года лишь 20% объектов КИИ полностью перешли на отечественное программное обеспечение. Еще 15% запланировали миграцию в первой половине 2025 года.
«Для ускоренного перехода критической инфраструктуры на российское ПО мы направили в Минцифры России и другие ведомства перечень из 680 отечественных решений, способных заменить иностранное программное обеспечение. В нем содержатся данные о продуктах, сферах их применения, опыте внедрения и наличии сертификатов ФСТЭК», — говорится в письме, подготовленном ассоциацией.
В документе также отмечается, что предоставленная информация может быть полезна при реализации Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Указа Президента РФ № 166 «О мерах по обеспечению технологической независимости и безопасности КИИ».
Помимо Минцифры, копии письма были направлены в Минпромторг, Минэкономразвития, Минобрнауки, Минпросвещения, Минстрой, Минздрав, ФСТЭК России, а также в Департамент информационных технологий Москвы, ФГАУ НИИ «Восход», ФГБУ «ЦЭКИ», АНО «Центр компетенций по импортозамещению в сфере ИКТ», АНО «Цифровая экономика» и Ассоциацию КП ПОО.
Впервые АРПП «Отечественный софт» составила перечень программных продуктов для объектов КИИ в 2020 году. С 2022 года список обновляется ежегодно. За этот период его объем увеличился почти в четыре раза.