Бортовой журнал
Заметки, мысли и сообщения из соцсервисов, в том числе - Telegram-каналов ℤ𝕃𝕆ℕ𝕆𝕍.𝕝𝕚𝕧𝕖 (https://t.me/zlonov) и ZLONOV security (https://t.me/zlonov_security)
Всего: 2389
2021 июль
ФСБ представила список сведений по оборонной и космической тематике, не относящихся к государственной тайне, передача которых иностранным государствам может навредить безопасности РФ.
В список, в частности, попадают с__ведения о функционировании центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, сил и средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьтерных атак и реагирования на компьютерные инциденты, осуществляющих свою деятельность в рамках оборонно-промышленного комплекса, а также о компьютерных инцидентах в информационных системах (сетях) предприятий оборонно-промышленного комплекса.__
Также в список попали сведения о проведении закупок в части программных и программно-аппаратных средств информатизации и защиты информации для нужд предприятий оборонно-промышленного комплекса.
__Проект приказа: __https://regulation.gov.ru/projects#npa=118168
Интеграция SAML в Zimbra OSE
Технология единого входа обладает массой преимуществ по сравнению с классическими методами аутентификации, главное из которых заключается в том, что именно SSO обеспечивает наилучший баланс между удобством пользователя и информационной безопасностью предприятия. Статья рассказывает о том, как внедрить Zimbra OSE технологию единого входа SAML на примере провайдера Okta.
https://habr.com/ru/company/zimbra/blog/562984/
Представляю второй раздел мер II. Управление доступом (УПД) из приказа ФСТЭК России №239 с описанием вариантов их реализации на практике, в том числе с применением конкретных технических средств защиты. https://zlonov.com/measures-section-reincarnation
Круто, что тут ещё сказать…
“Главные преимущества новой услуги – это гарантия неизменности документа, защита против взлома и конфиденциальность сведений. ЕИС нотариата имеет защитный фильтр, так называемую карантинную зону, благодаря которой переданные файлы проходят проверку на наличие вредоносных программ. Документ, загруженный в ЕИС, будет храниться в том виде, в котором заявитель его передал. При этом никто не сможет увидеть его содержание, даже нотариус, поскольку документы и файлы будут зашифрованы.”
Forwarded from Аутентификация, биометрия, электронная подпись
Электронные документы можно сдать на хранение нотариусу
ФНП сообщила о новом нотариальном действии, которое введено в практику нотариусов – это принятие на хранение и выдача электронного документа. Палата разъясняет, что теперь, кроме бумаг, нотариусу могут быть переданы электронные документы, аудио- и видеофайлы, программные коды, базы данных и др. Возможность создать свой цифровой архив у нотариуса гарантирует сохранность и неизменяемость файлов, а также их защиту от доступа третьих лиц.
Электронные документы можно сдать на хранение нотариусу
ФНП сообщила о новом нотариальном действии, которое введено в практику нотариусов – это принятие на хранение и выдача электронного документа. Палата разъясняет, что теперь, кроме бумаг, нотариусу могут быть переданы электронные документы, аудио- и видеофайлы, программные коды, базы данных и др. Возможность создать свой цифровой архив у нотариуса гарантирует сохранность и неизменяемость файлов, а также их защиту от доступа третьих лиц.
http://www.garant.ru/news/1473835/
Обзор систем аутентификации на основе одноразовых паролей (one-time password)
ВЫВОДЫ: Подводя итог, следует отметить, что технология One-Time Password многократно повышает устойчивость информационной системы к атаке в сравнении с традиционными статическими парольными фразами. Для повышения общего уровня безопасности предпочтительнее сочетать OTP с другими методами, такими как биометрия или PIN. Системы, которые присылают одноразовые пароли на телефон, небезопасны. Более правильный способ — использование аппаратных устройств. Мобильные приложения — это компромисс между безопасностью и удобством.
https://www.anti-malware.ru/analytics/Market_Analysis/One-time-password-authentication-systems
В России утвержден первый (скоро ещё 8) национальный стандарт в области больших данных.
К посту приложен проект его текста.
Важные решения Госдумы VII созыва для граждан и бизнеса в сферах ИТ и ИБ
- Об обороте цифровых финансовых активов и цифровой валюты
- Об обязательной предустановке российского ПО на отдельные виды технически сложных товаров
- О переходе на электронные трудовые книжки
- О суверенном Интернете
- Об удаленной биометрической идентификации граждан
- Об электронных больничных, телемедицине и дистанционной торговле лекарствами
- О едином федеральном информационном регистре сведений о населении РФ
- Об обязательной идентификации пользователей корпоративной мобильной связи
Половина года вот уже две недели как позади, но всё ещё можно успеть реализовать “План мероприятий по обеспечению безопасности значимых объектов КИИ на 2021 год”, шаблон которого был подготовлен ДИТ Москвы в мае https://bit.ly/plan_KII_2021
CSET-AI-Accidents-An-Emerging-Threat.pdf
Аналитический центр CSET (Center for Security and Emerging Technology) опубликовал компактный (20 страниц текста) отчёт об угрозах искуственного интеллекта AI Accidents: An Emerging Threat. What Could Happen and What to Do.
По мере того как современные системы машинного обучения становятся все более широко используемыми, потенциальный ущерб от возможных ошибок возрастает. В этом документе описывается, как тенденции, которые мы наблюдаем сегодня - как в недавно развернутых системах искусственного интеллекта, так и в старых технологиях, - показывают, насколько разрушительными могут быть аварии с ИИ в будущем. В нем описывается широкий спектр гипотетических, но реалистичных сценариев, иллюстрирующих риски аварий с ИИ, и предлагаются конкретные меры по снижению этих рисков.
https://cset.georgetown.edu/publication/ai-accidents-an-emerging-threat/
Минэнерго совместно c ФСБ России, ФСТЭК России и Минцифрой разработали базовую модель угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности). Распознанный текст приложен. Ссылка на публикацию на сайте: https://minenergo.gov.ru/node/20966
2021 июнь
Записи докладов конференции “IT IS conf 2021” https://www.youtube.com/playlist?list=PLvxhSg-LXXAeMRWAp9pmnPiHPqMddiRjP
Будьте внимательны! На сайте ФСТЭК России приведена неактуальная редакция приказа №239. Пункты 29.2 - 29.4 вступают в силу только с 01 января 2023 года https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1592-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239
Уголовных дел о неправомерном воздействии на КИИ всё больше, скоро перевалит за 30. Несколько очередных будут рассмотрены в июне/июле https://zlonov.com/kii/criminal_cases
Дополнил раздел с Законодательством пачкой свежих весенних приказов ФСБ России, регулирующих вопросы электронной подписи (ЭП), удостоверяющих центров (УЦ) и доверенной третьей стороны (ДТС) https://zlonov.com/laws/
Продолжаем.
__Условие __ Сельский сейл решений по информационной безопасности Иван Карпович увлекается гипнозом. Вследствие его экспериментов десятая часть пользователей UTM считает, что они используют NGFW, а десятая часть пользователей NGFW считает, что они используют UTM. Если же рассматривать всех пользователей, купивших решения у Ивана Карповича, то пользователями UTM считает себя пятая их часть.
Вопрос Какую часть составляют пользователи UTM среди клиентов Ивана Карповича на самом деле?
Плакат SANS ICS по оценке (assessment) ICS на базе NIST Cybersecurity Framework.
Сервис по созданию почтового дайджеста на основе различных источников: https://mailbrew.com
Можно настроить как угодно, завернуть на выдаваемый электронный адрес все остальные новостные почтовые рассылки и получать одно единственное красивое письмо раз в день/неделю/месяц.
Магистерская программа “Информационная безопасностть АСУ ТП” с очной/заочной формой обучения в течение 2-2,5 лет. Стоимость - от 119 500 руб. https://www.tyuiu-magistracy.com/копия-ресурсы-арктики-и-субарктики-3
Минцифры России подготовил обновленный порядок обработки биометрических персональных данных граждан http://www.garant.ru/news/1466266/
А вот и ещё одна задачка:
__Условие __ Трафик с средства мониторинга сети АСУ ТП DATAPK-1 (D1) при реорганизации сети распределили между двумя другими средствами мониторинга DATAPK-2 (D2) и DATAPK-3 (D3). Известно, что нагрузка на D3 была меньше, чем теперь стала на D2. Также известно, что получившаяся после распределения нагрузка на D3 стала равна двойной нагрузке D2 до распределения.
Вопрос На какой DATAPK изначально нагрузка была больше - D1 или D2?
2021 май
Наслаждаюсь трансляцией сегодняшней конференции UserGate: “Мы так не умеем писать, но это не значит, что мы так не умеем делать” =) https://www.youtube.com/watch?v=wKWmMc__sc0
Федеральный закон от 26.05.2021 № 141-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях” http://publication.pravo.gov.ru/Document/View/0001202105260038?index=0&rangeSize=1
Давно что-то не делал обзоры книг. Исправляюсь и заодно предлагаю несложную задачу по мотивам книги. https://zlonov.com/логические-загадки-для-алёнки
Модель зрелости способов аутентификации пользователей (https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model/)
Дума ввела штрафы до 500 тыс. рублей за нарушения при защите критической IT-инфраструктуры
Госдума во вторник приняла в третьем, окончательном чтении правительственный законопроект о введении административных штрафов до 500 тыс. рублей за нарушение требований по обеспечению безопасности критической информационной инфраструктуры РФ, а также за несвоевременное предоставление сведений органам, отвечающим за ликвидацию компьютерных атак. __ В Кодекс РФ об административных правонарушениях вносятся изменения, согласно которым нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечению их работы и безопасности в рамках действующих законов и регламентов повлечет наложение штрафа на должностных лиц в размере от 10 тыс. до 50 тыс. рублей, на юридических лиц - от 50 тыс. до 100 тыс. рублей.__ __ Нарушение “порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак”, согласно тексту законопроекта, повлечет штраф для должностных лиц в размере от 10 тыс. до 50 тыс. рублей, для юридических лиц - от 100 тыс. до 500 тыс. рублей. __
Также за нарушение порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, для должностных лиц предусмотрены штрафы от 20 тыс. до 50 тыс. рублей, для юридических лиц - от 100 тыс. до 500 тыс. рублей. __ Если в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы не были предоставлены или же несвоевременно (с нарушением сроков) поступили данные, предусмотренные законодательством в области обеспечения безопасности критической информационной инфраструктуры, штраф для должностных лиц составит от 10 тыс. до 50 тыс. рублей, а для юридических лиц - от 100 тыс. до 500 тыс. рублей.
Если уполномоченный орган исполнительной власти не будет уведомлен или будет уведомлен с опозданием о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, то штраф составит от 10 тыс. до 50 тыс. рублей для должностных лиц и **от 50 тыс. до 100 тыс. рублей **для юридических лиц. __
Согласно пояснительной записке, “размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности”. __ Обосновывая необходимость принятия закона, авторы указывают на зафиксированную в 2017 году атаку с использованием вируса-шифровальщика WannaCry, который поразил большое количество вычислительной техники в ряде госкомпаний, на восстановление которой ушло до трех суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.__
https://tass.ru/obschestvo/11400697
Вот так легко и непринуждённо Заказчик обосновал неприменимость всех российских антивирусных решений. А вы говорите #импортозамещение …
2021 апрель
Только представьте, как это будет удобно! Все документы в одном месте и в актуальном состоянии! Просто рай… для злоумышленников. https://digital.gov.ru/ru/events/40822/
Лайфхак для девушек по получению красивого корпоративного адреса эл.почты: выйти замуж за человека с фамилией, например, на Щ. Тогда с высокой вероятностью у вас вместо e.shchepetilnikova@… или t.shchelkushina@… будет elena@… или даже tanya@… #пятничное
2021 март
Совбез РФ одобрил проект основ госполитики в области международной кибербезопасности
По словам Патрушева, в проекте, в частности, отмечено, что информационно-коммуникационые технологии все шире используются в террористических и экстремистских целях, в том числе для пропаганды терроризма и привлечения к террористической деятельности новых сторонников, а также растет число преступлений в сфере компьютерной информации. Впервые в документе обозначены угрозы, связанные с проведением компьютерных атак на информационные ресурсы государств, в том числе на критическую информационную инфраструктуру.
https://tass.ru/politika/11007113
__Специалисты «Ростелеком-Солар» — «дочки» «Ростелекома», специализирующейся на кибербезопасности, — зафиксировали в 2020 году двукратный рост хакерских атак вида supply chain (через подрядчиков) на объекты критической информационной инфраструктуры, к которой относятся сети связи и ИТ-системы госорганов, банков, объектов оборонной отрасли, ТЭК и т.д. __ https://www.rbc.ru/technology_and_media/26/03/2021/605c83b29a794742ecdcec06?from=newsfeed
Выдыхаем =)
Введение в России обязательной системы регистрации в социальных сетях по паспорту не планируется, сообщили «Ведомостям» в Роскомнадзоре. По словам представителя регулятора, в соответствующем проекте приказа речь идет о возможности добровольной регистрации в новом сервисе, с помощью которого пользователи смогут контролировать использование своих персональных данных.
Категорирование объектов КИИ операторов связи
Президент ассоциации Ростелесеть, объединяющей более 200 региональных операторов связи, публикует серию материалов о работе с критической информационной инфраструктурой (КИИ) для операторов связи. В первой статье он подробно расписал, что такое КИИ, что представляют собой субъект и объект КИИ, все ли операторы связи являются субъектами КИИ, что субъекты КИИ должны делать в случае, если у них есть объекты КИИ, а также в случае, если у них таких объектов нет, в каком порядке предпринимать все эти действия, кому, как и когда отчитываться. Сегодня мы публикуем вторую часть материала – о законодательном регулировании критической информационной инфраструктуры операторов связи.** **** **https://www.cableman.ru/article/kategorirovanie-obektov-kii-operatorov-svyazi
ФСТЭК определила создателя центра исследований безопасности ОС на базе ядра Linux
__Федеральная служба по техническому и экспортному контролю (ФСТЭК России) 9 марта подвела итоги гостендера на создание исследовательского центра для проверки безопасности операционных систем на базе ядра Linux. Контракт стоимостью 300 млн рублей ведомство заключит с ФГБУН «Институт системного программирования им. В.П. Иванникова РАН».
Создание исследовательского центра, по замыслу авторов этой инициативы, должно привести к снижению возможных социально-экономических последствий от компьютерных атак на критическую информационную инфраструктуру страны за счет повышения уровня защищенности отечественных операционных систем, созданных на базе ядра Linux; к повышению качества и унификации отечественных операционных систем за счет повышения качества и безопасности ядра Linux; к совершенствованию отечественных средств разработки и тестирования программного обеспечения; к повышению квалификации специалистов, задействованных при разработке отечественных операционных систем, созданных на базе ядра Linux; к совершенствованию нормативного и методического обеспечения процессов безопасной разработки программного обеспечения в стране.__
https://spbit.ru/news/n193596/
Перенесена дата вступления в силу ряда положений закона об электронной подписи
Владимир Путин подписал Федеральный закон «О внесении изменения в статью 3 Федерального закона «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Федеральным законом предусматривается перенести дату вступления в силу положений Федерального закона «Об электронной подписи», касающихся удалённой идентификации заявителей при создании и выдаче сертификатов ключей проверки электронных подписей, с 1 апреля 2021 года на 1 января 2022 года.
http://kremlin.ru/acts/news/65205
**R-Vision представила программный комплекс R-Vision КИИ **
__Компания R-Vision представила программный комплекс R-Vision КИИ. Продукт помогает субъектам критической информационной инфраструктуры (КИИ) выстроить прозрачный процесс обеспечения соответствия требованиям Федерального Закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ. Анонс состоялся на конференции «Информационная безопасность АСУ ТП критически важных объектов», проходившей в Москве 17 и 18 марта 2021 года. __ Источник: https://www.anti-malware.ru/news/2021-03-19-111332/35338
Positive Technologies обеспечила кастомизацию «ПТ Ведомственный центр» 2.0 под задачи заказчика
__Positive Technologies представила новую версию системы управления инцидентами «ПТ Ведомственный центр». Обновленный продукт получил больше функций для эффективного инцидент-менеджмента. Теперь доступны гибкая настройка продукта под задачи компании и автоматизация базовых сценариев обработки инцидентов. Благодаря модулю конфигурирования «ПТ Ведомственный центр» легко адаптировать к специфике организации: изменить формы карточек инцидентов, фильтры и сроки выполнения задач по реагированию (SLA). Гибко встроить систему в существующую инфраструктуру помогут готовые коннекторы и интеграционный API. __ https://safe.cnews.ru/news/line/2021-03-18_positive_technologies_obespechila_kastomizatsiyu