Вышел свежий выпуск журнала «CONNECT. Мир информационных технологий» с моей статьёй про общее состояние дел с выполнением требований законодательства в области защиты КИИ https://zlonov.com/kii-subjects-take-your-time-slowly
Вышел свежий выпуск журнала «CONNECT. Мир информационных технологий» с моей статьёй про общее состояние дел с выполнением требований законодательства в области защиты КИИ https://zlonov.com/kii-subjects-take-your-time-slowly
“...теперь льгота по НДС станетнедоступна для торговыхплощадок, а также практически любого ПО, на котором есть рекламные баннеры или иное продвижение собственных или чужих товаров (услуг). При этом, льгота потенциально может быть применима, например, к компьютерным играм, продуктам в сфере информационной безопасности, системам управления процессами, образовательному ПО и другим.”
http://www.garant.ru/ia/opinion/author/udalova/1421168/
Пока в Клуб миллиардеров российского ИБ рынка (по версии CNews) за всю историю наблюдения удалось попасть только 38 компаниям, из которых 26 продолжают оставаться действующими его участниками.
https://zlonov.com/russian-cybersecurity-billionaires
ФСТЭК России информирует о размещении на своем официальном сайте в разделе «Техническая защита информации/Сертификация/Специальные нормативные документы» выписки из Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76, для 6, 5 и 4 уровней доверия.
Кабмин предложил штрафы за нарушения в защите критической информационной инфраструктуры. Они могут достигнуть 500 тыс. рублей https://tass.ru/ekonomika/9898221
Forwarded from Валерий Комаров @blog_ruporsecurite
Судя по законопроекту, для безопасности ЗОКИИ будем использовать исключительно отечественные СЗИ. А за что центры ГосСОПКА попали вообще не понял. Судя по разъяснениям НКЦКИ они вне ОКИИ и в состав СБ ЗОКИИ не входят. https://valerykomarov.blogspot.com/2020/11/2.html
О проекте
федерального закона «О внесении изменений в Кодекс Российской Федерации об
административных правонарушениях в части установления административной
ответственности за нарушение законодательства в области обеспечения
безопасности критической информационной инфраструктуры Российской Федерации»
Законопроект направлен
на правовое регулирование обеспечения безопасности объектов критической
информационной инфраструктуры, нарушение функционирования которых может
привести к выходу из строя объектов обеспечения жизнедеятельности населения,
транспортной инфраструктуры, сетей связи, прекращению или нарушению оказания
государственных услуг, нанесению ущерба жизни и здоровью людей, возникновению
ущерба субъектам критической информационной инфраструктуры и бюджетам
Российской Федерации.
Законопроектом
предусматривается дополнить Кодекс Российской Федерации об административных
правонарушениях статьями, устанавливающими административную ответственность за
нарушение требований в области обеспечения безопасности критической
информационной инфраструктуры Российской Федерации и за неисполнение
обязанности по представлению сведений, предусмотренных законодательством в
области обеспечения безопасности критической информационной инфраструктуры.
Решение Правительства:
Одобрить проект федерального закона
«О внесении изменений в Кодекс Российской Федерации об административных
правонарушениях в части установления административной ответственности за
нарушение законодательства в области обеспечения безопасности критической
информационной инфраструктуры Российской Федерации» и внести его в
Государственную Думу в установленном порядке. https://gov-news.ru/news/1162812
Иногда даже «сильный случайный пароль» и двухфакторная аутентификация не спасают: “…з__аполучил аккаунт с помощью друга, который работает в Facebook__”. https://www.securitylab.ru/news/512525.php
Минцифры подготовило проект Указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры».
Проектом документа предполагается переход субъектов КИИ на преимущественное использование российского:
Международные аспекты темы КИИ: Российские инициативы в области обеспечения кибербезопасности объектов критической информационной инфраструктурыhttps://www.pircenter.org/blog/view/id/431
Меняется приказ о Требованиях доверия, множатся уголовные дела по теме КИИ, СМИ и блогеры публикуют материал за материалом - читайте в Дайджесте КИИ 187-ФЗ 2020-44 https://zlonov.com/kii187fz-2020-44
Меняется приказ о Требованиях доверия, множатся уголовные дела по теме КИИ, СМИ и блогеры публикуют материал за материалом - читайте в Дайджесте КИИ 187-ФЗ 2020-44 https://zlonov.com/kii187fz-2020-44
📣Информация ФСТЭК России об уровнях доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий
ФСТЭК России информирует об утверждении требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее - средства).
➡️ ⚠️ С 1 января 2021 г. признается утратившим силу приказ ФСТЭК России от 30 июля 2018 г. № 131 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
➡️ Устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.
Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории, в государственных информационных системах 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.
Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.
Средства, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
➡️ Устанавливается 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый.
В соответствии с Требованиями по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, средства должны проходить исследования по выявлению уязвимостей и недекларированных возможностей по уровню контроля, соответствующему уровню доверия.
Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля, 5 уровню доверия – по 5 уровню контроля, 4 уровню доверия – по 4 уровню контроля, 3 уровню доверия – по 3 уровню контроля, 2 уровню доверия – по 2 уровню контроля, 1 уровню доверия – по 1 уровню контроля.
Соответствующее информационное сообщение ФСТЭК России от 15 октября 2020 г. № 240/24/4268 «Об утверждении требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» опубликовано на сайте регулятора.
Вакансия: Диспетчер обеспечения безопасности значимых объектов критической информационной инфраструктуры ПАО “МРСК Волги” https://energybase.ru/en/vacancy/157347
Календарь выходных и праздничных дней в 2021 году - для тех, кто верит, что хакерские атаки и проникновения наиболее вероятны ночью в пятницу и накануне каникул, особенно длинных.
“К сожалению, вопрос с определением объектов КИИ среди имущества субъекта КИИ за почти три года исполнения 187-ФЗ не прояснился. И проблема не только в определении сфер функционирования ИС/АСУ/ИТКС. Остро встает вопрос об определении самих сущностей - ИС/АСУ/ИТКС. В этом цикле заметок попробуем разобраться с АСУ” https://valerykomarov.blogspot.com/2020/10/blog-post_19.html
Приказ Министерства здравоохранения московской области №1123 от 20 августа 2020 “Об утверждении методических рекомендаций по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры на объектах информатизации медицинских организаций для учреждений государственной системы здравоохранения Московской области”
Про судебные заседания в режиме онлайн: “…видеосвязь не всегда позволяет суду оценить психоэмоциональное состояние лица и убедиться в отсутствии давления на него со стороны третьих лиц (что особенно актуально для свидетелей)” http://www.garant.ru/article/1416765/
Президент России подписал закон, увеличивающий штрафы за нарушение правил хранения, комплектования, учета или использования архивных документов: https://zlonov.com/laws/341-фз-от-15-10-2020
Forwarded from Валерий Комаров @blog_ruporsecurite
Очередное уголовное дело по 274.1 УК РФ передано в суд. География применения расширяется. “По версии следствия, обвиняемый, работая параллельно в двух компаниях сотовой связи, решил увеличить объем продаж одной из организаций за счет привлечения абонентов сторонних операторов.
Осознавая, что клиентская база абонентов является охраняемой компьютерной информацией, фигурант уголовного дела с 8 по 26 ноября 2019 года произвел выгрузку реестров, содержащих персональные данные более пяти тысяч абонентов в память собственного персонального компьютера.
Полученную в результате неправомерного доступа компьютерную информацию, являющуюся, в том числе, коммерческий тайной, мужчина использовал для продвижения на рынке услуг связи компании-конкурента.
Расследование уголовного дела проводилось УФСБ России по Волгоградской области, сотрудники которого также выявили и пресекли указанные деяния.” (Ahtuba34.ru). Карточка дела https://zent--vol.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&case_id=201447577&case_uid=9c279e17-9b2e-4ff6-8eb1-6ce3278cf33e&delo_id=1540006 Заседание назначено на 20.10.2020
По приглашению коллег из ЭКСПО-ЛИНК принял участие в их проекте “Безопасная среда” и прочитал короткий доклад про особенности мониторинга информационной безопасности для АСУ ТП. https://zlonov.com/the-closer-you-look-the-less-you-see
Два свежих приказа ФСТЭК России, законодательные инициативы, материалы прошедших тематических мероприятий, посты в блогах и многое другое по теме безопасности критической информационной инфраструктуры в Дайджесте КИИ 187-ФЗ 2020-39. https://zlonov.com/kii187fz-2020-39
Знаете ли вы, что сегодня создать поддельное (deepfake) видео можно буквально за полчаса, не обладая при этом никакими специальными знаниями и не имея в своём распоряжении никаких особых вычислительных мощностей? https://zlonov.ru/quick-deepfake/
Исследователи из McAfee продемонстрировали способ обмана современных систем распознавания лиц, позволяющий выдать одного человека за другого https://vk.com/wall-88373861_1115
Как оказалось, идее простого и надёжного физического (от)рубильника для сетевого соединения есть место и в 2020 году https://zlonov.ru/cut-the-internet/
Традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) в этот раз будет не квартальным, а сразу полугодовым. https://zlonov.ru/fstec-certs-2020-hy1/
