Бортовой журнал
Заметки, мысли и сообщения из соцсервисов, в том числе - Telegram-каналов ℤ𝕃𝕆ℕ𝕆𝕍.𝕝𝕚𝕧𝕖 (https://t.me/zlonov) и ZLONOV security (https://t.me/zlonov_security)
Всего: 2393
2021 июль
Forwarded from Gip24
- Проект изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127»
Не все дела по ст.274.1 УК (Неправомерное воздействие на КИИ РФ) заканчиваются обвинительным приговором (спойлер - срок дали, но по другой статье).
В Прикамье суд рассмотрел уголовное дело в отношении сотрудника оборонного порохового завода, обвиняемого в использовании вредоносных программ и неправомерном воздействии на критическую информационную инфраструктуру страны. По версии следствия, он скачал на свой ноутбук ключи, которые позволяют использовать нелицензионный пакет Microsoft. В итоге там оказалась вирусная программа, которая передавала исходящий трафик в США. Как считают силовики, его адресатами могли оказаться спецслужбы, а вирус мог передавать засекреченную информацию. Но в итоге суд счел, что такие выводы носят предположительный характер, и оправдал подсудимого по этому составу. За установку вредоносной программы он получил год ограничения свободы.
https://www.kommersant.ru/doc/4890639
Инсталляция биометрических СКУД на объектах транспортной инфраструктуры
__Биометрическая идентификация — стремительно растущая отрасль. В одном только сегменте распознавания лиц среднегодовые темпы роста достигают 16,6 % (данные на 2020 год), а сегмент более бюджетных технологий идентификации по венам ладони и отпечатку пальца растет ещё быстрее. Как следствие, каждый день на рынке появляются новые устройства, многие из которых имеют «сырой» софт и не соответствуют минимальным требованиям надёжности и безопасности.
Избежать проблем в сфере внедрения биометрии помогает обращение к авторитетному вендору, чьё оборудование зарекомендовало себя на рынке. Квалифицированные вендоры не скрывают реальных данных по надёжности СКУД и готовы предоставить оборудование для нагрузочного тестирования «в боевых условиях». Таким образом заказчик может удостовериться в качестве предлагаемого продукта.
Настоятельно рекомендуется обращаться именно к отечественным вендорам. Отечественный поставщик лучше понимает специфику российских реалий, задач, особенностей законодательства и предлагает более подходящие и эффективные варианты, а также оперативно решает любые возникающие вопросы, обеспечивает техподдержку и может быстро предоставить комплектующие или дополнительные устройства.__
**Ученые из Университета Карнеги-Меллона (CMU) выяснили, как создать парольную политику с человеческим лицом и не пожертвовать безопасностью. ** К каким выводам пришли исследователи?
Наиболее оптимальная парольная политика, по мнению исследователей, – настройка минимальной длины пароля и одновременная проверка пароля с помощью нейронной сети. Лучше всего в экспериментах себя показала политика вида 1c12+NN10: пароль не менее 12 символов с “угадываемостью” не менее 10 млрд попыток. Это обеспечивает достаточную защиту от офлайн-атак и необходимый уровень удобства.
Если проверка с помощью нейронных сетей не подходит, то исследователи рекомендуют задавать длину пароля не менее 8 символов и одновременно проверять пароли по словарям. Такая проверка обеспечивает меньшую защиту, но достаточно эффективна против онлайн-атак. При этом, защиту можно усилить, если увеличить минимальную длину пароля.
Проверка по словарю будет эффективнее, если использовать методы нечеткого поиска. То есть, лучше включать в поиск не только точные совпадения, но и вариации вроде P@$$w0rd. Если же используется точный поиск, стоит запускать проверку по максимально доступному словарю скомпрометированных паролей.
Пользователи испытывают больше неудобства, если им требуется создать пароль с разными классами символов. Если же пользователю нужно только соблюдать длину не менее 8–-16 символов и пройти проверку “угадываемости” пароля, то парольная политика воспринимается как удобная.
https://habr.com/ru/company/dataline/blog/563228/
ФСБ представила список сведений по оборонной и космической тематике, не относящихся к государственной тайне, передача которых иностранным государствам может навредить безопасности РФ.
В список, в частности, попадают с__ведения о функционировании центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, сил и средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьтерных атак и реагирования на компьютерные инциденты, осуществляющих свою деятельность в рамках оборонно-промышленного комплекса, а также о компьютерных инцидентах в информационных системах (сетях) предприятий оборонно-промышленного комплекса.__
Также в список попали сведения о проведении закупок в части программных и программно-аппаратных средств информатизации и защиты информации для нужд предприятий оборонно-промышленного комплекса.
__Проект приказа: __https://regulation.gov.ru/projects#npa=118168
Интеграция SAML в Zimbra OSE
Технология единого входа обладает массой преимуществ по сравнению с классическими методами аутентификации, главное из которых заключается в том, что именно SSO обеспечивает наилучший баланс между удобством пользователя и информационной безопасностью предприятия. Статья рассказывает о том, как внедрить Zimbra OSE технологию единого входа SAML на примере провайдера Okta.
https://habr.com/ru/company/zimbra/blog/562984/
Представляю второй раздел мер II. Управление доступом (УПД) из приказа ФСТЭК России №239 с описанием вариантов их реализации на практике, в том числе с применением конкретных технических средств защиты. https://zlonov.com/measures-section-reincarnation
Круто, что тут ещё сказать…
“Главные преимущества новой услуги – это гарантия неизменности документа, защита против взлома и конфиденциальность сведений. ЕИС нотариата имеет защитный фильтр, так называемую карантинную зону, благодаря которой переданные файлы проходят проверку на наличие вредоносных программ. Документ, загруженный в ЕИС, будет храниться в том виде, в котором заявитель его передал. При этом никто не сможет увидеть его содержание, даже нотариус, поскольку документы и файлы будут зашифрованы.”
Forwarded from Аутентификация, биометрия, электронная подпись
Электронные документы можно сдать на хранение нотариусу
ФНП сообщила о новом нотариальном действии, которое введено в практику нотариусов – это принятие на хранение и выдача электронного документа. Палата разъясняет, что теперь, кроме бумаг, нотариусу могут быть переданы электронные документы, аудио- и видеофайлы, программные коды, базы данных и др. Возможность создать свой цифровой архив у нотариуса гарантирует сохранность и неизменяемость файлов, а также их защиту от доступа третьих лиц.
Электронные документы можно сдать на хранение нотариусу
ФНП сообщила о новом нотариальном действии, которое введено в практику нотариусов – это принятие на хранение и выдача электронного документа. Палата разъясняет, что теперь, кроме бумаг, нотариусу могут быть переданы электронные документы, аудио- и видеофайлы, программные коды, базы данных и др. Возможность создать свой цифровой архив у нотариуса гарантирует сохранность и неизменяемость файлов, а также их защиту от доступа третьих лиц.
http://www.garant.ru/news/1473835/
Обзор систем аутентификации на основе одноразовых паролей (one-time password)
ВЫВОДЫ: Подводя итог, следует отметить, что технология One-Time Password многократно повышает устойчивость информационной системы к атаке в сравнении с традиционными статическими парольными фразами. Для повышения общего уровня безопасности предпочтительнее сочетать OTP с другими методами, такими как биометрия или PIN. Системы, которые присылают одноразовые пароли на телефон, небезопасны. Более правильный способ — использование аппаратных устройств. Мобильные приложения — это компромисс между безопасностью и удобством.
https://www.anti-malware.ru/analytics/Market_Analysis/One-time-password-authentication-systems
В России утвержден первый (скоро ещё 8) национальный стандарт в области больших данных.
К посту приложен проект его текста.
Важные решения Госдумы VII созыва для граждан и бизнеса в сферах ИТ и ИБ
- Об обороте цифровых финансовых активов и цифровой валюты
- Об обязательной предустановке российского ПО на отдельные виды технически сложных товаров
- О переходе на электронные трудовые книжки
- О суверенном Интернете
- Об удаленной биометрической идентификации граждан
- Об электронных больничных, телемедицине и дистанционной торговле лекарствами
- О едином федеральном информационном регистре сведений о населении РФ
- Об обязательной идентификации пользователей корпоративной мобильной связи
Половина года вот уже две недели как позади, но всё ещё можно успеть реализовать “План мероприятий по обеспечению безопасности значимых объектов КИИ на 2021 год”, шаблон которого был подготовлен ДИТ Москвы в мае https://bit.ly/plan_KII_2021
CSET-AI-Accidents-An-Emerging-Threat.pdf
Аналитический центр CSET (Center for Security and Emerging Technology) опубликовал компактный (20 страниц текста) отчёт об угрозах искуственного интеллекта AI Accidents: An Emerging Threat. What Could Happen and What to Do.
По мере того как современные системы машинного обучения становятся все более широко используемыми, потенциальный ущерб от возможных ошибок возрастает. В этом документе описывается, как тенденции, которые мы наблюдаем сегодня - как в недавно развернутых системах искусственного интеллекта, так и в старых технологиях, - показывают, насколько разрушительными могут быть аварии с ИИ в будущем. В нем описывается широкий спектр гипотетических, но реалистичных сценариев, иллюстрирующих риски аварий с ИИ, и предлагаются конкретные меры по снижению этих рисков.
https://cset.georgetown.edu/publication/ai-accidents-an-emerging-threat/
Минэнерго совместно c ФСБ России, ФСТЭК России и Минцифрой разработали базовую модель угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности). Распознанный текст приложен. Ссылка на публикацию на сайте: https://minenergo.gov.ru/node/20966
2021 июнь
Записи докладов конференции “IT IS conf 2021” https://www.youtube.com/playlist?list=PLvxhSg-LXXAeMRWAp9pmnPiHPqMddiRjP
Будьте внимательны! На сайте ФСТЭК России приведена неактуальная редакция приказа №239. Пункты 29.2 - 29.4 вступают в силу только с 01 января 2023 года https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1592-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239
Уголовных дел о неправомерном воздействии на КИИ всё больше, скоро перевалит за 30. Несколько очередных будут рассмотрены в июне/июле https://zlonov.com/kii/criminal_cases
Дополнил раздел с Законодательством пачкой свежих весенних приказов ФСБ России, регулирующих вопросы электронной подписи (ЭП), удостоверяющих центров (УЦ) и доверенной третьей стороны (ДТС) https://zlonov.com/laws/
Продолжаем.
__Условие __ Сельский сейл решений по информационной безопасности Иван Карпович увлекается гипнозом. Вследствие его экспериментов десятая часть пользователей UTM считает, что они используют NGFW, а десятая часть пользователей NGFW считает, что они используют UTM. Если же рассматривать всех пользователей, купивших решения у Ивана Карповича, то пользователями UTM считает себя пятая их часть.
Вопрос Какую часть составляют пользователи UTM среди клиентов Ивана Карповича на самом деле?
Плакат SANS ICS по оценке (assessment) ICS на базе NIST Cybersecurity Framework.
Сервис по созданию почтового дайджеста на основе различных источников: https://mailbrew.com
Можно настроить как угодно, завернуть на выдаваемый электронный адрес все остальные новостные почтовые рассылки и получать одно единственное красивое письмо раз в день/неделю/месяц.
Магистерская программа “Информационная безопасностть АСУ ТП” с очной/заочной формой обучения в течение 2-2,5 лет. Стоимость - от 119 500 руб. https://www.tyuiu-magistracy.com/копия-ресурсы-арктики-и-субарктики-3
Минцифры России подготовил обновленный порядок обработки биометрических персональных данных граждан http://www.garant.ru/news/1466266/
А вот и ещё одна задачка:
__Условие __ Трафик с средства мониторинга сети АСУ ТП DATAPK-1 (D1) при реорганизации сети распределили между двумя другими средствами мониторинга DATAPK-2 (D2) и DATAPK-3 (D3). Известно, что нагрузка на D3 была меньше, чем теперь стала на D2. Также известно, что получившаяся после распределения нагрузка на D3 стала равна двойной нагрузке D2 до распределения.
Вопрос На какой DATAPK изначально нагрузка была больше - D1 или D2?
2021 май
Наслаждаюсь трансляцией сегодняшней конференции UserGate: “Мы так не умеем писать, но это не значит, что мы так не умеем делать” =) https://www.youtube.com/watch?v=wKWmMc__sc0
Федеральный закон от 26.05.2021 № 141-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях” http://publication.pravo.gov.ru/Document/View/0001202105260038?index=0&rangeSize=1
Давно что-то не делал обзоры книг. Исправляюсь и заодно предлагаю несложную задачу по мотивам книги. https://zlonov.com/логические-загадки-для-алёнки
Модель зрелости способов аутентификации пользователей (https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model/)
Дума ввела штрафы до 500 тыс. рублей за нарушения при защите критической IT-инфраструктуры
Госдума во вторник приняла в третьем, окончательном чтении правительственный законопроект о введении административных штрафов до 500 тыс. рублей за нарушение требований по обеспечению безопасности критической информационной инфраструктуры РФ, а также за несвоевременное предоставление сведений органам, отвечающим за ликвидацию компьютерных атак. __ В Кодекс РФ об административных правонарушениях вносятся изменения, согласно которым нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечению их работы и безопасности в рамках действующих законов и регламентов повлечет наложение штрафа на должностных лиц в размере от 10 тыс. до 50 тыс. рублей, на юридических лиц - от 50 тыс. до 100 тыс. рублей.__ __ Нарушение “порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак”, согласно тексту законопроекта, повлечет штраф для должностных лиц в размере от 10 тыс. до 50 тыс. рублей, для юридических лиц - от 100 тыс. до 500 тыс. рублей. __
Также за нарушение порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, для должностных лиц предусмотрены штрафы от 20 тыс. до 50 тыс. рублей, для юридических лиц - от 100 тыс. до 500 тыс. рублей. __ Если в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы не были предоставлены или же несвоевременно (с нарушением сроков) поступили данные, предусмотренные законодательством в области обеспечения безопасности критической информационной инфраструктуры, штраф для должностных лиц составит от 10 тыс. до 50 тыс. рублей, а для юридических лиц - от 100 тыс. до 500 тыс. рублей.
Если уполномоченный орган исполнительной власти не будет уведомлен или будет уведомлен с опозданием о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, то штраф составит от 10 тыс. до 50 тыс. рублей для должностных лиц и **от 50 тыс. до 100 тыс. рублей **для юридических лиц. __
Согласно пояснительной записке, “размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности”. __ Обосновывая необходимость принятия закона, авторы указывают на зафиксированную в 2017 году атаку с использованием вируса-шифровальщика WannaCry, который поразил большое количество вычислительной техники в ряде госкомпаний, на восстановление которой ушло до трех суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.__
https://tass.ru/obschestvo/11400697
Вот так легко и непринуждённо Заказчик обосновал неприменимость всех российских антивирусных решений. А вы говорите #импортозамещение …
2021 апрель
Только представьте, как это будет удобно! Все документы в одном месте и в актуальном состоянии! Просто рай… для злоумышленников. https://digital.gov.ru/ru/events/40822/
Лайфхак для девушек по получению красивого корпоративного адреса эл.почты: выйти замуж за человека с фамилией, например, на Щ. Тогда с высокой вероятностью у вас вместо e.shchepetilnikova@… или t.shchelkushina@… будет elena@… или даже tanya@… #пятничное
2021 март
Совбез РФ одобрил проект основ госполитики в области международной кибербезопасности
По словам Патрушева, в проекте, в частности, отмечено, что информационно-коммуникационые технологии все шире используются в террористических и экстремистских целях, в том числе для пропаганды терроризма и привлечения к террористической деятельности новых сторонников, а также растет число преступлений в сфере компьютерной информации. Впервые в документе обозначены угрозы, связанные с проведением компьютерных атак на информационные ресурсы государств, в том числе на критическую информационную инфраструктуру.
https://tass.ru/politika/11007113
__Специалисты «Ростелеком-Солар» — «дочки» «Ростелекома», специализирующейся на кибербезопасности, — зафиксировали в 2020 году двукратный рост хакерских атак вида supply chain (через подрядчиков) на объекты критической информационной инфраструктуры, к которой относятся сети связи и ИТ-системы госорганов, банков, объектов оборонной отрасли, ТЭК и т.д. __ https://www.rbc.ru/technology_and_media/26/03/2021/605c83b29a794742ecdcec06?from=newsfeed
Выдыхаем =)
Введение в России обязательной системы регистрации в социальных сетях по паспорту не планируется, сообщили «Ведомостям» в Роскомнадзоре. По словам представителя регулятора, в соответствующем проекте приказа речь идет о возможности добровольной регистрации в новом сервисе, с помощью которого пользователи смогут контролировать использование своих персональных данных.
Категорирование объектов КИИ операторов связи
Президент ассоциации Ростелесеть, объединяющей более 200 региональных операторов связи, публикует серию материалов о работе с критической информационной инфраструктурой (КИИ) для операторов связи. В первой статье он подробно расписал, что такое КИИ, что представляют собой субъект и объект КИИ, все ли операторы связи являются субъектами КИИ, что субъекты КИИ должны делать в случае, если у них есть объекты КИИ, а также в случае, если у них таких объектов нет, в каком порядке предпринимать все эти действия, кому, как и когда отчитываться. Сегодня мы публикуем вторую часть материала – о законодательном регулировании критической информационной инфраструктуры операторов связи.** **** **https://www.cableman.ru/article/kategorirovanie-obektov-kii-operatorov-svyazi
ФСТЭК определила создателя центра исследований безопасности ОС на базе ядра Linux
__Федеральная служба по техническому и экспортному контролю (ФСТЭК России) 9 марта подвела итоги гостендера на создание исследовательского центра для проверки безопасности операционных систем на базе ядра Linux. Контракт стоимостью 300 млн рублей ведомство заключит с ФГБУН «Институт системного программирования им. В.П. Иванникова РАН».
Создание исследовательского центра, по замыслу авторов этой инициативы, должно привести к снижению возможных социально-экономических последствий от компьютерных атак на критическую информационную инфраструктуру страны за счет повышения уровня защищенности отечественных операционных систем, созданных на базе ядра Linux; к повышению качества и унификации отечественных операционных систем за счет повышения качества и безопасности ядра Linux; к совершенствованию отечественных средств разработки и тестирования программного обеспечения; к повышению квалификации специалистов, задействованных при разработке отечественных операционных систем, созданных на базе ядра Linux; к совершенствованию нормативного и методического обеспечения процессов безопасной разработки программного обеспечения в стране.__
https://spbit.ru/news/n193596/