Перенесена дата вступления в силу ряда положений закона об электронной подписи
Владимир Путин подписал Федеральный закон «О внесении изменения в статью 3 Федерального закона «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Федеральным законом предусматривается перенести дату вступления в силу положений Федерального закона «Об электронной подписи», касающихся удалённой идентификации заявителей при создании и выдаче сертификатов ключей проверки электронных подписей, с 1 апреля 2021 года на 1 января 2022 года.
**R-Vision представила программный комплекс R-Vision КИИ **
__Компания R-Vision представила программный комплекс R-Vision КИИ. Продукт помогает субъектам критической информационной инфраструктуры (КИИ) выстроить прозрачный процесс обеспечения соответствия требованиям Федерального Закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ. Анонс состоялся на конференции «Информационная безопасность АСУ ТП критически важных объектов», проходившей в Москве 17 и 18 марта 2021 года.
__
Источник: https://www.anti-malware.ru/news/2021-03-19-111332/35338
Positive Technologies обеспечила кастомизацию «ПТ Ведомственный центр» 2.0 под задачи заказчика
__Positive Technologies представила новую версию системы управления инцидентами «ПТ Ведомственный центр». Обновленный продукт получил больше функций для эффективного инцидент-менеджмента.
Теперь доступны гибкая настройка продукта под задачи компании и автоматизация базовых сценариев обработки инцидентов. Благодаря модулю конфигурирования «ПТ Ведомственный центр» легко адаптировать к специфике организации: изменить формы карточек инцидентов, фильтры и сроки выполнения задач по реагированию (SLA). Гибко встроить систему в существующую инфраструктуру помогут готовые коннекторы и интеграционный API.
__
https://safe.cnews.ru/news/line/2021-03-18_positive_technologies_obespechila_kastomizatsiyu
В Волгограде осуждена директор магазина сотовой связи за продажу телефонных переговоров
__Краснооктябрьский районный суд Волгограда огласил приговор по уголовному делу в отношении директора магазина сотовой связи. Она признана виновной в нарушении тайны телефонных переговоров и неправомерном воздействии на критическую информационную инфраструктуру РФ (ч. 2 ст. 138, ч. 4 ст. 274.1 УК РФ). Об этом сообщили в областном суде.
Как уточнили в ведомстве, с 2018 года по 2020 год 33-летняя женщина незаконно получала сведения о телефонных переговорах абонентов, а также их персональные данные, и предоставляла их иному лицу за денежное вознаграждение, из расчета 500 руб. за детализацию одного абонентского номера. Всего подсудимая якобы получила сведения, составляющие тайну телефонных переговоров, в отношении 40 абонентов.
Суд назначил ей наказание в виде лишения свободы сроком на 3,5 года условно, с лишением права занимать должности в сфере предоставления услуг, связанных с соблюдением конфиденциальности информации ограниченного доступа, сроком на два года.__
Во Владикавказе работник сотовой компании получил три года условно за незаконную блокировку SIM-карт, сообщили в прокуратуре Северной Осетии.
__В столице Северной Осетии Ленинский районный суд признал местного жителя виновным в незаконном доступе к охраняемой компьютерной информации.
«По материалам дела, обвиняемый в 2019 году внес изменения в персональные данные абонентов сотовой связи и в сведения, составляющие коммерческую тайну. В дальнейшем злоумышленник произвел блокировку SIM-карт, перекрыв предоставление услуг связи абонентам», — рассказали в ведомстве.
Согласно проекта указа президента России с 1 декабря 2021 года жители Москвы смогут оформлять и получать электронные паспорта, в других регионах возможность появится не позднее 1 июля 2023 года
Согласно нацпрограмме “Цифровая экономика”, к 2024 году доля российского ПО в госструктурах должна быть не менее 70%, а в госкомпаниях — не менее 50%. На отечественные ПО должны перейти также крупные промышленные и финансовые компании, подпадающие под действие закона “О безопасности критической информационной инфраструктуры”. Для заказчиков теперь имеют важное значение вопросы санкционной устойчивости и гарантии длительного жизненного цикла операционных систем.
Shadow Attacks: Hiding and Replacing Content in Signed PDFs
“__В этой статье представлен новый класс атак, называемые теневыми атаками.
Теневые атаки обходят все существующие меры противодействия и нарушают защиту целостности PDF-файлов с цифровой подписью.
Результаты исследования показывают, что 16 (включая Adobe Acrobat и Foxit Reader) из 29 протестированных программ просмотра PDF уязвимы для теневых атак.__”
Хозяйке на заметку: список выданных вам сертификатов электронных подписей можно посмотреть на сайте Госуслуги в личном кабинете: https://lk.gosuslugi.ru/settings/signature
Там же, к слову, их можно и заблокировать, но правильнее - отозвать сертификат в удостоверяющем центре.
__Ленинский районный суд Иванова осудил 26-летнего экс-сотрудника оператора сотовой связи на три года условно с испытательным сроком в два года по части 4 статьи 274.1 УК РФ – «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
Уголовное дело в отношении нарушителя возбудило ивановское управление ФСБ. Сообщается, что парень оформлял SIM-карты на несуществующих людей. Его клиентам это могло быть на руку, если бы они захотели с поддельными данными кого-нибудь обмануть.__
Соня Драммер (Sonja Drummer) описывает (с фотографиями) два средневековых метода контроля целостности.
Первый: две идентичные копии документа написаны на одном листе бумаги, который разрезан пополам с неправильным рисунком, так что две половины можно соединить вместе, чтобы подтвердить подлинность.
Второй: штрихи над блоком текста и линии под ним гарантируют, что никто не сможет дописать текст позже.
Минпромторг инициирует пересмотр критериев внесения ПО в реестр отечественного
__Минпромторг предложил ужесточить требования для программного обеспечения (ПО), претендующего на статус российского. Ведомство считает, что вносить в Единый реестр российских программ стоит только тот софт, который совместим с отечественным оборудованием.
Сейчас в России есть два реестра, касающихся ПО: Единый реестр российской радиоэлектронной продукции (ЕРРРП) и Единый реестр российских программ для электронных вычислительных машин (ЕРРПВЧ). Первый находится в ведении Минпромторга, за второй отвечает Минцифры.
Для попадания в ЕРРРП есть обязательное условие: оборудование должно работать с отечественным ПО. В реестре российского софта такого требования нет – продукт может быть полностью местной разработки, но при этом несовместим с местным железом. В Минпромторге считают, что условие совместимости российского софта и оборудования стоило бы предусмотреть и в правилах ЕРРПВЧ.
«Все ПО, обеспечивающее работу российского оборудования, должно быть из реестра отечественного, – заявил «Ведомостям» глава радиоэлектронного департамента Минпромторга Василий Шпак. – Мы приветствовали бы аналогичное решение от Минцифры по реестру ПО. Наше межведомственное взаимодействие – один из залогов успешного движения. Синхронизация продуктов сейчас – это главное».
В пресс-службе Минцифры ответили, что в настоящее время ведется работа по обеспечению совместимости тех программ из реестра российского ПО, которые ориентированы прежде всего на внутренний рынок госзаказа, с российским радиоэлектронным и телекомоборудованием из соответствующего реестра Минпромторга: «Классы ПО и виды оборудования, которые должны обеспечивать совместимость использования, будут определяться совместно Минцифры и Минпромторгом».
__
https://www.vedomosti.ru/technology/articles/2021/02/28/859576-otechestvennii-soft
ГК «IT Полюс» приглашает 11 марта в 10.00 на бесплатный вебинар «Комплексный подход к обеспечению защиты персональных данных и объектов КИИ» с целью своевременного исполнения требований ФЗ №152 от 27.07.2006 г. «О персональных данных» и ФЗ №187 от 26.07.2017 г. «О безопасности критической информационной инфраструктуры РФ».
Методический документ, определяющий методику оценки угроз безопасности информации, был подписан ФСТЭК России 5 февраля 2021г. Это событие открыло новые двери для специалистов в области ИБ, которые занимаются анализом потенциальных угроз для важных объектов информационной инфраструктуры.
__Организация удаленной занятости, импортозамещение критической информационной инфраструктуры и обеспечение кибербезопасности станут основными драйверами отечественного рынка ИТ.
__
https://plus.rbc.ru/news/602a7dda7a8aa9e0a868bdbf
Новые требования по информационной безопасности ГИС
__О некоторых аспектах новых требований по информационной безопасности государственных информационных систем рассказал представитель ФСБ России Андрей Елистратов. Речь шла в том числе об опубликованном 15 февраля 2021 года документе «Методика оценки угроз безопасности информации».
__
Было отмечено, что круг объектов, к которым относятся требования, довольно широк и указанная методика — лишь часть комплекса нормативно-правовых актов, регулирующих вопросы безопасности КИИ. Так, АСУ ТП и их составные части, например, интеллектуальные приборы учета, должны быть снабжены в том числе средствами криптозащиты. В то же время понятно, что интеллектуальные приборы учета на производстве могут быть разными по типу и по характеру создаваемой угрозы в случае отказа.
__Если речь идет о приборах, собирающих телеметрию или ведущих учет ресурсов (например, электросчетчик), их отказ не влечет тяжелых последствий и, хотя нарушение его работы может вызвать материальный ущерб, оно не является общественно опасным и угрожающим жизни и здоровью.
Существуют и другие интеллектуальные приборы, которые могут непосредственно оказывать влияние на работоспособность инженерных систем и управлять сетями, например, контроллеры трансформаторных подстанций. Они способны оставить без электричества промышленные и социальные объекты, создать угрозу аварий и тому подобных тяжелых о общественно опасных инцидентов.__
В отношении объектов первого типа требование о криптозащите информации можно считать избыточным, хотя и содержащимся в законодательстве и подлежащим исполнению. Объекты второго типа в обязательном порядке должны шифровать передаваемую информацию.
Власти Москвы потратят 932 млн руб. на покупку и установку 316 мультимедийных экранов с камерами, оснащенными функцией распознавания лиц, на 85 станциях Московского метрополитена. Из тендерной документации следует, что экраны будут транслировать рекламу, сообщения метрополитена, а также наблюдать за пассажирами. Победителя выберут 4 марта, все работы он должен завершить в декабре.
Надо же - столько лет уже этой идее и вот очередная реинкарнация, да ещё и сразу с сертификатом ФСТЭК России:
__Сертифицированное средство обеспечения безопасной дистанционной работы Aladdin Liveoffice представляет собой специализированное защищенное USB-устройство, обеспечивающее загрузку компьютера с внешнего USB-носителя, на котором находится сертифицированная операционная система Astra Linux Special Edition версии 1.6 SE «Смоленск» с набором предустановленного программного обеспечения для подключения к интернету (через Ethernet или Wi-Fi), автоматическую настройку и подключение к шлюзу организации с использованием сертифицированного на соответствие требованиям ФСБ России к средствам криптографической защиты информации (СКЗИ) класса КС1 VPN-клиента Vipnet Client 4U for Linux производства компании «Инфотекс». __
**Закон о безопасности КИИ в вопросах и ответах (обновление)
**
1-го января 2018 года вступил в действие федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон). Потом была разработана и введена в действие обширная нормативная база по его реализации, на изучение и понимание которой потребуется длительное время и специальные навыки в области информационной безопасности. Вместе с тем, у ряда людей существует необходимость быстро сложить представление об основных положениях Закона и подзаконной нормативной базы, так сказать, в общих чертах. Для них предназначен данный материал, который даёт ответы на наиболее часто задаваемые вопросы по обозначенной теме.
ГосСОПКА на связи: какие варианты подключения к системе существуют сегодня
Обмениваться с НКЦКИ информацией об инцидентах должны все субъекты КИИ. Естественно, происходить это должно исключительно по защищённым каналам связи. Если раньше организовать безопасное взаимодействие с системой ГосСОПКА можно было только с помощью сети ViPNet, то сегодня перечень технических решений расширился. Мы расскажем о том, чем можно заменить ViPNet и какая альтернатива есть у собственной защищённой сети.
Методика применяется для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых принято после даты ее утверждения, а также в эксплуатируемых системах и сетях.
__
Модели угроз безопасности информации систем и сетей, разработанные и утверждённые до утверждения Методики, продолжают действовать и подлежат изменению в соответствии с настоящей Методикой при развитии (модернизации) соответствующих систем и сетей.__
__
В связи с утверждением настоящего методического документа и для оценки угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).__
**
**Методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).
Методика применяется для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых принято после даты ее утверждения, а также в эксплуатируемых системах и сетях.
__
Модели угроз безопасности информации систем и сетей, разработанные и утверждённые до утверждения Методики, продолжают действовать и подлежат изменению в соответствии с настоящей Методикой при развитии (модернизации) соответствующих систем и сетей.__
__
В связи с утверждением настоящего методического документа и для оценки угроз безопасности информации__ __не применяются Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.) и __Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).
**
**Методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).
⚡️**Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации
**ФСТЭК России на своём сайте представила для общественного обсуждения проект методического документа «Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации».
Свои предложения и замечания можно отравить на адрес электронной почты otd84@fstec.ru до 1 марта 2021 года.
__Заместитель директора Департамента развития контрактной системы Минэкономразвития России Сергей Икрянников отметил, что прошлый год стал переломным в вопросе закупок отечественной продукции. В частности, в 2020 году на приобретение российских товаров и технологий в рамках госзакупок было потрачено на 230 млрд руб. больше, чем в 2019 году. Он также сообщил, что в ближайшие месяцы нормативными актами будет введен полный запрет на приобретение иностранной продукции в ходе госзакупок, если есть российские аналоги. Кроме того, Сергей Икрянников отметил, что для оценки реализации госпрограмм в текущем году будет введен целевой показатель – доля приобретенной российской радиоэлектронной продукции, что также будет способствовать поддержке отечественных компаний.
__
https://ru-bezh.ru/kompanii-i-ryinki/news/21/02/12/v-2020-godu-v-ramkax-goszakupok-byilo-priobreteno-na-230-mlrd-ru
Интервью зам.генерального директора ОАО «РЖД», в том числе по следам известной пубикации на Хабре:
__В январе этого года пользователь под псевдонимом @LMonoceros на одном из популярных сайтов опубликовал пост о взломе сети передачи данных компании и получении доступа к ресурсам двух дирекций, в том числе к камерам видеонаблюдения на вокзальных комплексах. __
__В ходе расследования факт неправомерного доступа был подтверждён. Автор нашумевшей статьи воспользовался уязвимостью в настройке маршрутизатора, обеспечивающего сопряжение сети Интернет и не введённого в эксплуатацию сегмента обособленной информационной системы. __
Описав подробный сценарий действий и предположительные угрозы, он привлёк к сети РЖД внимание широкой аудитории хакеров как в России, так и из других стран. Таким образом, он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию. __
__
Факт наличия выхода этой сети в Интернет – тема внутреннего расследования, которое сейчас ведётся в компании. Не исключена намеренно оставленная уязвимость. С этим будет разбираться служба безопасности РЖД. А **органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.
**
Как уже говорилось в официальных заявлениях компании, произошедший инцидент не был связан с организацией перевозочного процесса, угрозы безопасности движения поездов не было, а личные данные клиентов холдинга не пострадали.
Рабочая группа Госдумы выработает предложения по информбезопасности в финансовой сфере
Р__абочая группа Госдумы в течение двух недель должна выработать предложения по системно значимым направлениям, которые являются критически важными для обеспечения информационной безопасности в финансовой сфере и в других областях. Об этом сообщил журналистам глава комитета Госдумы по финансовому рынку Анатолий Аксаков по итогам круглого стола “О законодательных мерах обеспечения информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры”.__
__
“На площадке комитета прошла дискуссия о кибербезопасности и импортозамещении российского программного продукта и российского оборудования, используемого в информационной сфере. Причем это оборудование крайне актуально для финансовых рынков, ну и, соответственно, мы посчитали необходимым, чтобы одним из регуляторов обеспечения информационной безопасности был ЦБ, а не только Федеральная служба безопасности и Министерство цифрового развития. Также договорились о том, что рабочая группа которая создана сегодня решением этого круглого стола, в течение двух недель должна выработать предложения по системно значимым объектам, системно значимым направлениям, которые являются критически важными для обеспечения информационной безопасности финансовой сфере, да и в других сферах нашей жизни”, - сказал депутат.__
__
Эта рабочая группа также будет давать рекомендации по формированию реестра российского программного обеспечения, а также выработает предложения поэтапного обеспечения импортозамещения технологий в информационной сфере, добавил он.__
__
“То есть предстоит большая работа, в ходе которой Россия в ближайшие годы - срок обозначен пока до 2024 года - должна в значительной степени стать независимой и, соответственно, обеспечивающей свою безопасность в информационной сфере”, - заключил Аксаков.__
Технологическая зависимость, или Кому мешает отечественный софт
Политолог, публицист Александр Механик рассказывает о том, как лоббисты иностранных решений в сфере критической информационной инфраструктуры пытаются сдвинуть сроки внедрения отечественных решений, но отраслевые ассоциации российского бизнеса против.
За 2020 год в 2 раза увеличилось количество субъектов КИИ, подавших Перечни ОКИИ. В 4,5 раза выросло количество ЗОКИИ в Реестре ФСТЭК. В 2018 году озвучивали 660 субъектов КИИ и 60 ЗОКИИ. За 2019 озвучили - 1800 субъектов и прогноз на 12 000 субъектов в стране и 2025 ЗОКИИ. Получается, что у нас сейчас 3600 субъектов КИИ и около 9000 ЗОКИИ? Тогда получается, что только 30 % субъектов КИИ провели категорирование за три года. А, если взять количество потенциальных субъектов КИИ не из публичных докладов ФСТЭК, а из официальных опубликованных пояснительных записок к законопроектам на https://regulation.gov.ru, в которых указывается 500 000 организаций, то статистика для ФСТЭК еще хуже - менее 1%. И это на фоне принудительного ускорения для госструктур в 2019 году.
Усиливается тенденция на занижение субъектами КИИ показателей значимости. Нулевые показатели не пройдут.
ФСТЭК более не доверяет компенсирующим (дублирующим) мерам предотвращения компьютерных инцидентов, не подверженных компьютерным атакам. (противоаварийная автоматика, предохранительные клапана и т.д.).
Вообще, это очень опасные вещи озвучены в обоснования. Надо бить во все колокола, если это действительно так. Ведь ФСТЭК коснулся темы промбезопасности только исходя из противодействия компьютерным атакам, а неисправность ПАЗ -это угроза аварии в любом момент.
Завершена разработка методических рекомендаций по применению показателей категорий значимости. В первую очередь опубликуют экономические.
Методику моделирования угроз обещают в этом году утвердить.
Признано, что в законе не установлены конкретные сроки на категорирование для коммерческих субъектов КИИ. Принуждение к категорированию будет через прокуратуру, путем выписывания представлений на устранение нарушений законодательства.
Штрафы в проекте КоАП должны заставить должностных лиц задуматься об исполнении закона. Как это увязать с последующим утверждением, что никакие штрафы в России не работают - я не знаю. Вот прямо заявляют, что размеры штрафа можно и до миллиарда довести, но ничего не изменится. А зачем тогда КоАП так пробивают?
В втором полугодии 2021 начнется проведение госконтроля за ЗОКИИ. Это вполне закономерно, под него попали “счастливчики - первопроходчики”, кто успел прокатегорироваться в 2018 году.
Прокуратурой были указаны на пробелы в полномочиях ФСТЭК по оценке защищенности ГИС. Вот и появился проект Порядка аттестации. Причем проблему ФСТЭК создал себе сам, когда изменил порядок сертификации.
Будет разработано типовое сертифицированное рабочее место для удаленного подключения к ГИС.
__ФСТЭК России ищет разработчика ресурса с уязвимостями уровня автоматизированных систем управления технологическим процессами и промышленного интернета вещей критически важных, потенциально опасных и опасных производственных объектов. Ресурс планируется создавать для информирования об уязвимостях владельцев данных объектов. Тендер на его разработку стоимостью 300 млн рублей ведомство объявило 5 февраля 2021 года. __
