Бортовой журнал

Важные решения Госдумы VII созыва для граждан и бизнеса в сферах ИТ и ИБ

• Об обороте цифровых финансовых активов и цифровой валюты
• Об обязательной предустановке российского ПО на отдельные виды технически сложных товаров
• О переходе на электронные трудовые книжки
• О суверенном Интернете
• Об удаленной биометрической идентификации граждан
• Об электронных больничных, телемедицине и дистанционной торговле лекарствами
• О едином федеральном информационном регистре сведений о населении РФ
• Об обязательной идентификации пользователей корпоративной мобильной связи

https://telegra.ph/Important-decisions-of-the-State-Duma-of-the-VII-convocation-for-citizens-and-business-in-the-fields-of-IT-and-information-secur-07-14

Половина года вот уже две недели как позади, но всё ещё можно успеть реализовать “План мероприятий по обеспечению безопасности значимых объектов КИИ на 2021 год”, шаблон которого был подготовлен ДИТ Москвы в мае https://bit.ly/plan_KII_2021

Уголовных дел о неправомерном воздействии на КИИ всё больше, скоро перевалит за 30. Несколько очередных будут рассмотрены в июне/июле https://zlonov.com/kii/criminal_cases

Дополнил раздел с Законодательством пачкой свежих весенних приказов ФСБ России, регулирующих вопросы электронной подписи (ЭП), удостоверяющих центров (УЦ) и доверенной третьей стороны (ДТС) https://zlonov.com/laws/

Продолжаем.

__Условие __ Сельский сейл решений по информационной безопасности Иван Карпович увлекается гипнозом. Вследствие его экспериментов десятая часть пользователей UTM считает, что они используют NGFW, а десятая часть пользователей NGFW считает, что они используют UTM. Если же рассматривать всех пользователей, купивших решения у Ивана Карповича, то пользователями UTM считает себя пятая их часть.

Вопрос Какую часть составляют пользователи UTM среди клиентов Ивана Карповича на самом деле?

Минцифры России подготовил обновленный порядок обработки биометрических персональных данных граждан http://www.garant.ru/news/1466266/

А вот и ещё одна задачка:

__Условие __ Трафик с средства мониторинга сети АСУ ТП DATAPK-1 (D1) при реорганизации сети распределили между двумя другими средствами мониторинга DATAPK-2 (D2) и DATAPK-3 (D3). Известно, что нагрузка на D3 была меньше, чем теперь стала на D2. Также известно, что получившаяся после распределения нагрузка на D3 стала равна двойной нагрузке D2 до распределения.

Вопрос На какой DATAPK изначально нагрузка была больше - D1 или D2?

Наслаждаюсь трансляцией сегодняшней конференции UserGate: “Мы так не умеем писать, но это не значит, что мы так не умеем делать” =) https://www.youtube.com/watch?v=wKWmMc__sc0

Дума ввела штрафы до 500 тыс. рублей за нарушения при защите критической IT-инфраструктуры

Госдума во вторник приняла в третьем, окончательном чтении правительственный законопроект о введении административных штрафов до 500 тыс. рублей за нарушение требований по обеспечению безопасности критической информационной инфраструктуры РФ, а также за несвоевременное предоставление сведений органам, отвечающим за ликвидацию компьютерных атак. __ В Кодекс РФ об административных правонарушениях вносятся изменения, согласно которым нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечению их работы и безопасности в рамках действующих законов и регламентов повлечет наложение штрафа на должностных лиц в размере от 10 тыс. до 50 тыс. рублей, на юридических лиц - от 50 тыс. до 100 тыс. рублей.__ __ Нарушение “порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак”, согласно тексту законопроекта, повлечет штраф для должностных лиц в размере от 10 тыс. до 50 тыс. рублей, для юридических лиц - от 100 тыс. до 500 тыс. рублей. __

Также за нарушение порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, для должностных лиц предусмотрены штрафы от 20 тыс. до 50 тыс. рублей, для юридических лиц - от 100 тыс. до 500 тыс. рублей. __ Если в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы не были предоставлены или же несвоевременно (с нарушением сроков) поступили данные, предусмотренные законодательством в области обеспечения безопасности критической информационной инфраструктуры, штраф для должностных лиц составит от 10 тыс. до 50 тыс. рублей, а для юридических лиц - от 100 тыс. до 500 тыс. рублей.

Если уполномоченный орган исполнительной власти не будет уведомлен или будет уведомлен с опозданием о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, то штраф составит от 10 тыс. до 50 тыс. рублей для должностных лиц и **от 50 тыс. до 100 тыс. рублей **для юридических лиц. __

Согласно пояснительной записке, “размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности”. __ Обосновывая необходимость принятия закона, авторы указывают на зафиксированную в 2017 году атаку с использованием вируса-шифровальщика WannaCry, который поразил большое количество вычислительной техники в ряде госкомпаний, на восстановление которой ушло до трех суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.__

https://tass.ru/obschestvo/11400697

Лайфхак для девушек по получению красивого корпоративного адреса эл.почты: выйти замуж за человека с фамилией, например, на Щ. Тогда с высокой вероятностью у вас вместо e.shchepetilnikova@… или t.shchelkushina@… будет elena@… или даже tanya@… #пятничное

Совбез РФ одобрил проект основ госполитики в области международной кибербезопасности

По словам Патрушева, в проекте, в частности, отмечено, что информационно-коммуникационые технологии все шире используются в террористических и экстремистских целях, в том числе для пропаганды терроризма и привлечения к террористической деятельности новых сторонников, а также растет число преступлений в сфере компьютерной информации. Впервые в документе обозначены угрозы, связанные с проведением компьютерных атак на информационные ресурсы государств, в том числе на критическую информационную инфраструктуру.

https://tass.ru/politika/11007113

__Специалисты «Ростелеком-Солар» — «дочки» «Ростелекома», специализирующейся на кибербезопасности, — зафиксировали в 2020 году двукратный рост хакерских атак вида supply chain (через подрядчиков) на объекты критической информационной инфраструктуры, к которой относятся сети связи и ИТ-системы госорганов, банков, объектов оборонной отрасли, ТЭК и т.д. __ https://www.rbc.ru/technology_and_media/26/03/2021/605c83b29a794742ecdcec06?from=newsfeed

Выдыхаем =)

Введение в России обязательной системы регистрации в социальных сетях по паспорту не планируется, сообщили «Ведомостям» в Роскомнадзоре. По словам представителя регулятора, в соответствующем проекте приказа речь идет о возможности добровольной регистрации в новом сервисе, с помощью которого пользователи смогут контролировать использование своих персональных данных.

https://www.vedomosti.ru/technology/articles/2021/03/25/863178-roskomnadzor-razyasnil-proekt-prikaza-o-registratsii-v-sotssetyah

Категорирование объектов КИИ операторов связи

Президент ассоциации Ростелесеть, объединяющей более 200 региональных операторов связи, публикует серию материалов о работе с критической информационной инфраструктурой (КИИ) для операторов связи. В первой статье он подробно расписал, что такое КИИ, что представляют собой субъект и объект КИИ, все ли операторы связи являются субъектами КИИ, что субъекты КИИ должны делать в случае, если у них есть объекты КИИ, а также в случае, если у них таких объектов нет, в каком порядке предпринимать все эти действия, кому, как и когда отчитываться. Сегодня мы публикуем вторую часть материала – о законодательном регулировании критической информационной инфраструктуры операторов связи.** **** **https://www.cableman.ru/article/kategorirovanie-obektov-kii-operatorov-svyazi

ФСТЭК определила создателя центра исследований безопасности ОС на базе ядра Linux

__Федеральная служба по техническому и экспортному контролю (ФСТЭК России) 9 марта подвела итоги гостендера на создание исследовательского центра для проверки безопасности операционных систем на базе ядра Linux. Контракт стоимостью 300 млн рублей ведомство заключит с ФГБУН «Институт системного программирования им. В.П. Иванникова РАН».

Создание исследовательского центра, по замыслу авторов этой инициативы, должно привести к снижению возможных социально-экономических последствий от компьютерных атак на критическую информационную инфраструктуру страны за счет повышения уровня защищенности отечественных операционных систем, созданных на базе ядра Linux; к повышению качества и унификации отечественных операционных систем за счет повышения качества и безопасности ядра Linux; к совершенствованию отечественных средств разработки и тестирования программного обеспечения; к повышению квалификации специалистов, задействованных при разработке отечественных операционных систем, созданных на базе ядра Linux; к совершенствованию нормативного и методического обеспечения процессов безопасной разработки программного обеспечения в стране.__

https://spbit.ru/news/n193596/

Перенесена дата вступления в силу ряда положений закона об электронной подписи

Владимир Путин подписал Федеральный закон «О внесении изменения в статью 3 Федерального закона «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Федеральным законом предусматривается перенести дату вступления в силу положений Федерального закона «Об электронной подписи», касающихся удалённой идентификации заявителей при создании и выдаче сертификатов ключей проверки электронных подписей, с 1 апреля 2021 года на 1 января 2022 года.

http://kremlin.ru/acts/news/65205

Презентации ИБ АСУ ТП КВО 2021 https://zlonov.com/2021-03-17-ибкво

**R-Vision представила программный комплекс R-Vision КИИ **

__Компания R-Vision представила программный комплекс R-Vision КИИ. Продукт помогает субъектам критической информационной инфраструктуры (КИИ) выстроить прозрачный процесс обеспечения соответствия требованиям Федерального Закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ. Анонс состоялся на конференции «Информационная безопасность АСУ ТП критически важных объектов», проходившей в Москве 17 и 18 марта 2021 года. __ Источник: https://www.anti-malware.ru/news/2021-03-19-111332/35338

Positive Technologies обеспечила кастомизацию «ПТ Ведомственный центр» 2.0 под задачи заказчика

__Positive Technologies представила новую версию системы управления инцидентами «ПТ Ведомственный центр». Обновленный продукт получил больше функций для эффективного инцидент-менеджмента. Теперь доступны гибкая настройка продукта под задачи компании и автоматизация базовых сценариев обработки инцидентов. Благодаря модулю конфигурирования «ПТ Ведомственный центр» легко адаптировать к специфике организации: изменить формы карточек инцидентов, фильтры и сроки выполнения задач по реагированию (SLA). Гибко встроить систему в существующую инфраструктуру помогут готовые коннекторы и интеграционный API. __ https://safe.cnews.ru/news/line/2021-03-18_positive_technologies_obespechila_kastomizatsiyu

В Волгограде осуждена директор магазина сотовой связи за продажу телефонных переговоров

__Краснооктябрьский районный суд Волгограда огласил приговор по уголовному делу в отношении директора магазина сотовой связи. Она признана виновной в нарушении тайны телефонных переговоров и неправомерном воздействии на критическую информационную инфраструктуру РФ (ч. 2 ст. 138, ч. 4 ст. 274.1 УК РФ). Об этом сообщили в областном суде.

Как уточнили в ведомстве, с 2018 года по 2020 год 33-летняя женщина незаконно получала сведения о телефонных переговорах абонентов, а также их персональные данные, и предоставляла их иному лицу за денежное вознаграждение, из расчета 500 руб. за детализацию одного абонентского номера. Всего подсудимая якобы получила сведения, составляющие тайну телефонных переговоров, в отношении 40 абонентов.

Суд назначил ей наказание в виде лишения свободы сроком на 3,5 года условно, с лишением права занимать должности в сфере предоставления услуг, связанных с соблюдением конфиденциальности информации ограниченного доступа, сроком на два года.__

https://www.kommersant.ru/amp/4733512

Во Владикавказе работник сотовой компании получил три года условно за незаконную блокировку SIM-карт, сообщили в прокуратуре Северной Осетии.

__В столице Северной Осетии Ленинский районный суд признал местного жителя виновным в незаконном доступе к охраняемой компьютерной информации.

«По материалам дела, обвиняемый в 2019 году внес изменения в персональные данные абонентов сотовой связи и в сведения, составляющие коммерческую тайну. В дальнейшем злоумышленник произвел блокировку SIM-карт, перекрыв предоставление услуг связи абонентам», — рассказали в ведомстве.

Решением суда мужчине вынесено наказание в виде лишения свободы условно сроком на 3 года с лишением права заниматься деятельностью, связанной с доступом __**к критической информационной инфраструктуре **__Российской Федерации сроком на 2 года, следует из сообщения. __ https://newstracker.ru/news/incident/18-03-2021/sotrudnik-sotovoy-kompanii-vo-vladikavkaze-osuzhden-za-nezakonnuyu-blokirovku-sim-kart

Уточнение: ДЕЛО № 1-191/2021 (1-458/2020;) С 12 декабря в суде.

Согласно проекта указа президента России с 1 декабря 2021 года жители Москвы смогут оформлять и получать электронные паспорта, в других регионах возможность появится не позднее 1 июля 2023 года

https://regulation.gov.ru/projects#npa=114294

Цифровой суверенитет становится девизом дня

Согласно нацпрограмме “Цифровая экономика”, к 2024 году доля российского ПО в госструктурах должна быть не менее 70%, а в госкомпаниях — не менее 50%. На отечественные ПО должны перейти также крупные промышленные и финансовые компании, подпадающие под действие закона “О безопасности критической информационной инфраструктуры”. Для заказчиков теперь имеют важное значение вопросы санкционной устойчивости и гарантии длительного жизненного цикла операционных систем.

https://www.pravda.ru/economics/1602422-tcifra_suverenitet/

Неожиданное применение дипфейков:

В Пенсильвании арестована женщина, которая с помощью сфабрикованных видео пыталась дискредитировать конкуренток своей дочери по чирлидерской команде.

https://www.bfm.ru/news/467325

Обзор изменений в законодательстве за февраль 2021 от УЦСБ

__- Методика оценки угроз безопасности информации

• Импортозамещение в критической информационной инфраструктуре (и не только)
• Экономическая значимость объектов критической информационной инфраструктуре
• Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении__ …

Подробнее: https://www.ussc.ru/news/novosti/obzor-izmeneniy-v-zakonodatelstve-za-fevral-2021/