Бортовой журнал
Заметки, мысли и сообщения из соцсервисов
Всего: 2361
Давно что-то не делал обзоры книг. Исправляюсь и заодно предлагаю несложную задачу по мотивам книги. https://zlonov.com/логические-загадки-для-алёнки
Модель зрелости способов аутентификации пользователей (https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model/)
Дума ввела штрафы до 500 тыс. рублей за нарушения при защите критической IT-инфраструктуры
Госдума во вторник приняла в третьем, окончательном чтении правительственный законопроект о введении административных штрафов до 500 тыс. рублей за нарушение требований по обеспечению безопасности критической информационной инфраструктуры РФ, а также за несвоевременное предоставление сведений органам, отвечающим за ликвидацию компьютерных атак. __ В Кодекс РФ об административных правонарушениях вносятся изменения, согласно которым нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечению их работы и безопасности в рамках действующих законов и регламентов повлечет наложение штрафа на должностных лиц в размере от 10 тыс. до 50 тыс. рублей, на юридических лиц - от 50 тыс. до 100 тыс. рублей.__ __ Нарушение “порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак”, согласно тексту законопроекта, повлечет штраф для должностных лиц в размере от 10 тыс. до 50 тыс. рублей, для юридических лиц - от 100 тыс. до 500 тыс. рублей. __
Также за нарушение порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, для должностных лиц предусмотрены штрафы от 20 тыс. до 50 тыс. рублей, для юридических лиц - от 100 тыс. до 500 тыс. рублей. __ Если в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы не были предоставлены или же несвоевременно (с нарушением сроков) поступили данные, предусмотренные законодательством в области обеспечения безопасности критической информационной инфраструктуры, штраф для должностных лиц составит от 10 тыс. до 50 тыс. рублей, а для юридических лиц - от 100 тыс. до 500 тыс. рублей.
Если уполномоченный орган исполнительной власти не будет уведомлен или будет уведомлен с опозданием о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, то штраф составит от 10 тыс. до 50 тыс. рублей для должностных лиц и **от 50 тыс. до 100 тыс. рублей **для юридических лиц. __
Согласно пояснительной записке, “размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности”. __ Обосновывая необходимость принятия закона, авторы указывают на зафиксированную в 2017 году атаку с использованием вируса-шифровальщика WannaCry, который поразил большое количество вычислительной техники в ряде госкомпаний, на восстановление которой ушло до трех суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.__
https://tass.ru/obschestvo/11400697
Вот так легко и непринуждённо Заказчик обосновал неприменимость всех российских антивирусных решений. А вы говорите #импортозамещение …
Только представьте, как это будет удобно! Все документы в одном месте и в актуальном состоянии! Просто рай… для злоумышленников. https://digital.gov.ru/ru/events/40822/
Лайфхак для девушек по получению красивого корпоративного адреса эл.почты: выйти замуж за человека с фамилией, например, на Щ. Тогда с высокой вероятностью у вас вместо e.shchepetilnikova@… или t.shchelkushina@… будет elena@… или даже tanya@… #пятничное
Совбез РФ одобрил проект основ госполитики в области международной кибербезопасности
По словам Патрушева, в проекте, в частности, отмечено, что информационно-коммуникационые технологии все шире используются в террористических и экстремистских целях, в том числе для пропаганды терроризма и привлечения к террористической деятельности новых сторонников, а также растет число преступлений в сфере компьютерной информации. Впервые в документе обозначены угрозы, связанные с проведением компьютерных атак на информационные ресурсы государств, в том числе на критическую информационную инфраструктуру.
https://tass.ru/politika/11007113
__Специалисты «Ростелеком-Солар» — «дочки» «Ростелекома», специализирующейся на кибербезопасности, — зафиксировали в 2020 году двукратный рост хакерских атак вида supply chain (через подрядчиков) на объекты критической информационной инфраструктуры, к которой относятся сети связи и ИТ-системы госорганов, банков, объектов оборонной отрасли, ТЭК и т.д. __ https://www.rbc.ru/technology_and_media/26/03/2021/605c83b29a794742ecdcec06?from=newsfeed
Выдыхаем =)
Введение в России обязательной системы регистрации в социальных сетях по паспорту не планируется, сообщили «Ведомостям» в Роскомнадзоре. По словам представителя регулятора, в соответствующем проекте приказа речь идет о возможности добровольной регистрации в новом сервисе, с помощью которого пользователи смогут контролировать использование своих персональных данных.
Категорирование объектов КИИ операторов связи
Президент ассоциации Ростелесеть, объединяющей более 200 региональных операторов связи, публикует серию материалов о работе с критической информационной инфраструктурой (КИИ) для операторов связи. В первой статье он подробно расписал, что такое КИИ, что представляют собой субъект и объект КИИ, все ли операторы связи являются субъектами КИИ, что субъекты КИИ должны делать в случае, если у них есть объекты КИИ, а также в случае, если у них таких объектов нет, в каком порядке предпринимать все эти действия, кому, как и когда отчитываться. Сегодня мы публикуем вторую часть материала – о законодательном регулировании критической информационной инфраструктуры операторов связи.** **** **https://www.cableman.ru/article/kategorirovanie-obektov-kii-operatorov-svyazi
ФСТЭК определила создателя центра исследований безопасности ОС на базе ядра Linux
__Федеральная служба по техническому и экспортному контролю (ФСТЭК России) 9 марта подвела итоги гостендера на создание исследовательского центра для проверки безопасности операционных систем на базе ядра Linux. Контракт стоимостью 300 млн рублей ведомство заключит с ФГБУН «Институт системного программирования им. В.П. Иванникова РАН».
Создание исследовательского центра, по замыслу авторов этой инициативы, должно привести к снижению возможных социально-экономических последствий от компьютерных атак на критическую информационную инфраструктуру страны за счет повышения уровня защищенности отечественных операционных систем, созданных на базе ядра Linux; к повышению качества и унификации отечественных операционных систем за счет повышения качества и безопасности ядра Linux; к совершенствованию отечественных средств разработки и тестирования программного обеспечения; к повышению квалификации специалистов, задействованных при разработке отечественных операционных систем, созданных на базе ядра Linux; к совершенствованию нормативного и методического обеспечения процессов безопасной разработки программного обеспечения в стране.__
https://spbit.ru/news/n193596/
Перенесена дата вступления в силу ряда положений закона об электронной подписи
Владимир Путин подписал Федеральный закон «О внесении изменения в статью 3 Федерального закона «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Федеральным законом предусматривается перенести дату вступления в силу положений Федерального закона «Об электронной подписи», касающихся удалённой идентификации заявителей при создании и выдаче сертификатов ключей проверки электронных подписей, с 1 апреля 2021 года на 1 января 2022 года.
http://kremlin.ru/acts/news/65205
**R-Vision представила программный комплекс R-Vision КИИ **
__Компания R-Vision представила программный комплекс R-Vision КИИ. Продукт помогает субъектам критической информационной инфраструктуры (КИИ) выстроить прозрачный процесс обеспечения соответствия требованиям Федерального Закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ. Анонс состоялся на конференции «Информационная безопасность АСУ ТП критически важных объектов», проходившей в Москве 17 и 18 марта 2021 года. __ Источник: https://www.anti-malware.ru/news/2021-03-19-111332/35338
Positive Technologies обеспечила кастомизацию «ПТ Ведомственный центр» 2.0 под задачи заказчика
__Positive Technologies представила новую версию системы управления инцидентами «ПТ Ведомственный центр». Обновленный продукт получил больше функций для эффективного инцидент-менеджмента. Теперь доступны гибкая настройка продукта под задачи компании и автоматизация базовых сценариев обработки инцидентов. Благодаря модулю конфигурирования «ПТ Ведомственный центр» легко адаптировать к специфике организации: изменить формы карточек инцидентов, фильтры и сроки выполнения задач по реагированию (SLA). Гибко встроить систему в существующую инфраструктуру помогут готовые коннекторы и интеграционный API. __ https://safe.cnews.ru/news/line/2021-03-18_positive_technologies_obespechila_kastomizatsiyu
В Волгограде осуждена директор магазина сотовой связи за продажу телефонных переговоров
__Краснооктябрьский районный суд Волгограда огласил приговор по уголовному делу в отношении директора магазина сотовой связи. Она признана виновной в нарушении тайны телефонных переговоров и неправомерном воздействии на критическую информационную инфраструктуру РФ (ч. 2 ст. 138, ч. 4 ст. 274.1 УК РФ). Об этом сообщили в областном суде.
Как уточнили в ведомстве, с 2018 года по 2020 год 33-летняя женщина незаконно получала сведения о телефонных переговорах абонентов, а также их персональные данные, и предоставляла их иному лицу за денежное вознаграждение, из расчета 500 руб. за детализацию одного абонентского номера. Всего подсудимая якобы получила сведения, составляющие тайну телефонных переговоров, в отношении 40 абонентов.
Суд назначил ей наказание в виде лишения свободы сроком на 3,5 года условно, с лишением права занимать должности в сфере предоставления услуг, связанных с соблюдением конфиденциальности информации ограниченного доступа, сроком на два года.__
https://www.kommersant.ru/amp/4733512
Во Владикавказе работник сотовой компании получил три года условно за незаконную блокировку SIM-карт, сообщили в прокуратуре Северной Осетии.
__В столице Северной Осетии Ленинский районный суд признал местного жителя виновным в незаконном доступе к охраняемой компьютерной информации.
«По материалам дела, обвиняемый в 2019 году внес изменения в персональные данные абонентов сотовой связи и в сведения, составляющие коммерческую тайну. В дальнейшем злоумышленник произвел блокировку SIM-карт, перекрыв предоставление услуг связи абонентам», — рассказали в ведомстве.
Решением суда мужчине вынесено наказание в виде лишения свободы условно сроком на 3 года с лишением права заниматься деятельностью, связанной с доступом __**к критической информационной инфраструктуре **__Российской Федерации сроком на 2 года, следует из сообщения. __ https://newstracker.ru/news/incident/18-03-2021/sotrudnik-sotovoy-kompanii-vo-vladikavkaze-osuzhden-za-nezakonnuyu-blokirovku-sim-kart
Уточнение: ДЕЛО № 1-191/2021 (1-458/2020;) С 12 декабря в суде.
Согласно проекта указа президента России с 1 декабря 2021 года жители Москвы смогут оформлять и получать электронные паспорта, в других регионах возможность появится не позднее 1 июля 2023 года
https://regulation.gov.ru/projects#npa=114294
Цифровой суверенитет становится девизом дня
Согласно нацпрограмме “Цифровая экономика”, к 2024 году доля российского ПО в госструктурах должна быть не менее 70%, а в госкомпаниях — не менее 50%. На отечественные ПО должны перейти также крупные промышленные и финансовые компании, подпадающие под действие закона “О безопасности критической информационной инфраструктуры”. Для заказчиков теперь имеют важное значение вопросы санкционной устойчивости и гарантии длительного жизненного цикла операционных систем.
https://www.pravda.ru/economics/1602422-tcifra_suverenitet/
Неожиданное применение дипфейков:
В Пенсильвании арестована женщина, которая с помощью сфабрикованных видео пыталась дискредитировать конкуренток своей дочери по чирлидерской команде.
https://www.bfm.ru/news/467325
Статья про взлом PDF-файлов с цифровой подписью:
Shadow Attacks: Hiding and Replacing Content in Signed PDFs
“__В этой статье представлен новый класс атак, называемые теневыми атаками.
Теневые атаки обходят все существующие меры противодействия и нарушают защиту целостности PDF-файлов с цифровой подписью.
Результаты исследования показывают, что 16 (включая Adobe Acrobat и Foxit Reader) из 29 протестированных программ просмотра PDF уязвимы для теневых атак.__”
https://vk.com/wall-88373861_1316
Обзор изменений в законодательстве за февраль 2021 от УЦСБ
__- Методика оценки угроз безопасности информации
- Импортозамещение в критической информационной инфраструктуре (и не только)
- Экономическая значимость объектов критической информационной инфраструктуре
- Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении__ …
Подробнее: https://www.ussc.ru/news/novosti/obzor-izmeneniy-v-zakonodatelstve-za-fevral-2021/
Хозяйке на заметку: список выданных вам сертификатов электронных подписей можно посмотреть на сайте Госуслуги в личном кабинете: https://lk.gosuslugi.ru/settings/signature
Там же, к слову, их можно и заблокировать, но правильнее - отозвать сертификат в удостоверяющем центре.
__Ленинский районный суд Иванова осудил 26-летнего экс-сотрудника оператора сотовой связи на три года условно с испытательным сроком в два года по части 4 статьи 274.1 УК РФ – «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
Уголовное дело в отношении нарушителя возбудило ивановское управление ФСБ. Сообщается, что парень оформлял SIM-карты на несуществующих людей. Его клиентам это могло быть на руку, если бы они захотели с поддельными данными кого-нибудь обмануть.__
Источник: https://runews24.ru/ivanovo/15/03/2021/4b66706ba7024471cc14223712f896f9
Соня Драммер (Sonja Drummer) описывает (с фотографиями) два средневековых метода контроля целостности.
Первый: две идентичные копии документа написаны на одном листе бумаги, который разрезан пополам с неправильным рисунком, так что две половины можно соединить вместе, чтобы подтвердить подлинность.
Второй: штрихи над блоком текста и линии под ним гарантируют, что никто не сможет дописать текст позже.
https://twitter.com/sonja_drimmer/status/1355188786381127680?s=21
Помните конкурс ФСТЭК России на разработку отечественного ресурса с уязвимостями АСУ ТП и промышленного интернета вещей на 300 млн руб?
Можно поздравлять ГНИИ ПТЗИ с победой: https://www.sberbank-ast.ru/ViewDocument.aspx?id=812167383
Сервис “оживления” фотографий. Качество так себе, зато быстро и весело =)
https://www.myheritage.com/deep-nostalgia
Статья в Коммерсантъ: https://www.kommersant.ru/doc/4712569
Минпромторг инициирует пересмотр критериев внесения ПО в реестр отечественного
__Минпромторг предложил ужесточить требования для программного обеспечения (ПО), претендующего на статус российского. Ведомство считает, что вносить в Единый реестр российских программ стоит только тот софт, который совместим с отечественным оборудованием.
Сейчас в России есть два реестра, касающихся ПО: Единый реестр российской радиоэлектронной продукции (ЕРРРП) и Единый реестр российских программ для электронных вычислительных машин (ЕРРПВЧ). Первый находится в ведении Минпромторга, за второй отвечает Минцифры.
Для попадания в ЕРРРП есть обязательное условие: оборудование должно работать с отечественным ПО. В реестре российского софта такого требования нет – продукт может быть полностью местной разработки, но при этом несовместим с местным железом. В Минпромторге считают, что условие совместимости российского софта и оборудования стоило бы предусмотреть и в правилах ЕРРПВЧ.
«Все ПО, обеспечивающее работу российского оборудования, должно быть из реестра отечественного, – заявил «Ведомостям» глава радиоэлектронного департамента Минпромторга Василий Шпак. – Мы приветствовали бы аналогичное решение от Минцифры по реестру ПО. Наше межведомственное взаимодействие – один из залогов успешного движения. Синхронизация продуктов сейчас – это главное».
В пресс-службе Минцифры ответили, что в настоящее время ведется работа по обеспечению совместимости тех программ из реестра российского ПО, которые ориентированы прежде всего на внутренний рынок госзаказа, с российским радиоэлектронным и телекомоборудованием из соответствующего реестра Минпромторга: «Классы ПО и виды оборудования, которые должны обеспечивать совместимость использования, будут определяться совместно Минцифры и Минпромторгом». __ https://www.vedomosti.ru/technology/articles/2021/02/28/859576-otechestvennii-soft
Статистика за 2020 год по 187-ФЗ от ФСТЭК России
- Количество ОКИИ - 50 000
- Количество ЗОКИИ - 10 000
- Не выполнено категорирование в 55% случаях
- 700 субъектов КИИ не выполнили в срок категорирование
- За 2020 год зарегистрировано 507 компьютерных инцидента на ОКИИ
- В ГосСОПКА поступила информация по 3% из этих компьютерных инцидентов.
https://valerykomarov.blogspot.com/2021/03/2020-187.html
ГК «IT Полюс» приглашает 11 марта в 10.00 на бесплатный вебинар «Комплексный подход к обеспечению защиты персональных данных и объектов КИИ» с целью своевременного исполнения требований ФЗ №152 от 27.07.2006 г. «О персональных данных» и ФЗ №187 от 26.07.2017 г. «О безопасности критической информационной инфраструктуры РФ».
Методический документ, определяющий методику оценки угроз безопасности информации, был подписан ФСТЭК России 5 февраля 2021г. Это событие открыло новые двери для специалистов в области ИБ, которые занимаются анализом потенциальных угроз для важных объектов информационной инфраструктуры.
__Организация удаленной занятости, импортозамещение критической информационной инфраструктуры и обеспечение кибербезопасности станут основными драйверами отечественного рынка ИТ. __ https://plus.rbc.ru/news/602a7dda7a8aa9e0a868bdbf
Власти Москвы потратят 932 млн руб. на покупку и установку 316 мультимедийных экранов с камерами, оснащенными функцией распознавания лиц, на 85 станциях Московского метрополитена. Из тендерной документации следует, что экраны будут транслировать рекламу, сообщения метрополитена, а также наблюдать за пассажирами. Победителя выберут 4 марта, все работы он должен завершить в декабре.
https://www.kommersant.ru/doc/4704068
Новые требования по информационной безопасности ГИС
__О некоторых аспектах новых требований по информационной безопасности государственных информационных систем рассказал представитель ФСБ России Андрей Елистратов. Речь шла в том числе об опубликованном 15 февраля 2021 года документе «Методика оценки угроз безопасности информации». __ Было отмечено, что круг объектов, к которым относятся требования, довольно широк и указанная методика — лишь часть комплекса нормативно-правовых актов, регулирующих вопросы безопасности КИИ. Так, АСУ ТП и их составные части, например, интеллектуальные приборы учета, должны быть снабжены в том числе средствами криптозащиты. В то же время понятно, что интеллектуальные приборы учета на производстве могут быть разными по типу и по характеру создаваемой угрозы в случае отказа.
__Если речь идет о приборах, собирающих телеметрию или ведущих учет ресурсов (например, электросчетчик), их отказ не влечет тяжелых последствий и, хотя нарушение его работы может вызвать материальный ущерб, оно не является общественно опасным и угрожающим жизни и здоровью.
Существуют и другие интеллектуальные приборы, которые могут непосредственно оказывать влияние на работоспособность инженерных систем и управлять сетями, например, контроллеры трансформаторных подстанций. Они способны оставить без электричества промышленные и социальные объекты, создать угрозу аварий и тому подобных тяжелых о общественно опасных инцидентов.__
В отношении объектов первого типа требование о криптозащите информации можно считать избыточным, хотя и содержащимся в законодательстве и подлежащим исполнению. Объекты второго типа в обязательном порядке должны шифровать передаваемую информацию.
https://www.securitymedia.ru/news_one_12416.html
Вакансия компании ГРПЗ (Рязань): Руководитель группы значимых объектов критической информационной инфраструктуры, до 64 000 руб./месяц https://ryazan.superjob.ru/vakansii/rukovoditel-gruppy-znachimyh-obektov-kriticheskoj-informacionnoj-infrastruktury-36093986.html
Интересное исследование от Тинькофф: “Как обманывали клиентов банков в 2020 году” https://www.tinkoff.ru/about/news/19022021-tinkoff-fraud-research-2020/
Уверенности некоторых производителей средств защиты информации можно только позавидовать: сто лет техподдержки - это сильно! #пятничное
Надо же - столько лет уже этой идее и вот очередная реинкарнация, да ещё и сразу с сертификатом ФСТЭК России:
__Сертифицированное средство обеспечения безопасной дистанционной работы Aladdin Liveoffice представляет собой специализированное защищенное USB-устройство, обеспечивающее загрузку компьютера с внешнего USB-носителя, на котором находится сертифицированная операционная система Astra Linux Special Edition версии 1.6 SE «Смоленск» с набором предустановленного программного обеспечения для подключения к интернету (через Ethernet или Wi-Fi), автоматическую настройку и подключение к шлюзу организации с использованием сертифицированного на соответствие требованиям ФСБ России к средствам криптографической защиты информации (СКЗИ) класса КС1 VPN-клиента Vipnet Client 4U for Linux производства компании «Инфотекс». __
https://safe.cnews.ru/news/line/2021-02-17_sredstvo_obespecheniya_bezopasnoj
**Закон о безопасности КИИ в вопросах и ответах (обновление) ** 1-го января 2018 года вступил в действие федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон). Потом была разработана и введена в действие обширная нормативная база по его реализации, на изучение и понимание которой потребуется длительное время и специальные навыки в области информационной безопасности. Вместе с тем, у ряда людей существует необходимость быстро сложить представление об основных положениях Закона и подзаконной нормативной базы, так сказать, в общих чертах. Для них предназначен данный материал, который даёт ответы на наиболее часто задаваемые вопросы по обозначенной теме.
ГосСОПКА на связи: какие варианты подключения к системе существуют сегодня
Обмениваться с НКЦКИ информацией об инцидентах должны все субъекты КИИ. Естественно, происходить это должно исключительно по защищённым каналам связи. Если раньше организовать безопасное взаимодействие с системой ГосСОПКА можно было только с помощью сети ViPNet, то сегодня перечень технических решений расширился. Мы расскажем о том, чем можно заменить ViPNet и какая альтернатива есть у собственной защищённой сети.
Источник: https://www.anti-malware.ru/analytics/Technology_Analysis/How-to-connect-to-GosSOPKA-today
Forwarded from ZLONOV
ФСТЭК России утвердила Методику оценки угроз безопасности: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g
Методика применяется для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых принято после даты ее утверждения, а также в эксплуатируемых системах и сетях. __ Модели угроз безопасности информации систем и сетей, разработанные и утверждённые до утверждения Методики, продолжают действовать и подлежат изменению в соответствии с настоящей Методикой при развитии (модернизации) соответствующих систем и сетей.__ __ В связи с утверждением настоящего методического документа и для оценки угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).__ ** **Методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).
(Информационное сообщение по теме: https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2169-informatsionnoe-soobshchenie-fstek-rossii-ot-15-fevralya-2021-g-n-240-22-690)