Бортовой журнал
Заметки, мысли и сообщения из соцсервисов
Всего: 2361
В завершение этой непростой трудовой недели предлагаю немного размяться и ответить на несложный вопрос:
Каких дней в году больше - с чётной датой или с нечётной?
Желательно найти ответ исключительно рассуждениями в уме. #разминкадляума
$15 960 - это суммарная стоимость отчётов, ссылки на полные тексты которых приведены в этом посте https://blog.zlonov.ru/gartner-2018/
Решение DATAPK уже в описании вакансий появляется. Может и мелочь, но создателям приятно =)
Никак не могу решить - это “облачные технологии” или “воздушный зазор”? =) #пятничное
Обновлённая подборка нормативно-правовых документов по безопасности КИИ и ГосСОПКА https://zlonov.ru/kii/all_laws/
Роскомнадзор официально пояснил, что для предоставления сервисов IoT не требуется наличие лицензии на оказание услуг связи: Роскомнадзор рассмотрел обращение Ассоциации интернета вещей и сообщил, что услуги по предоставлению решений в области интернета вещей, таких как удаленный контроль состояния различных объектов, экологический мониторинг, сбор полевых данных для сельского хозяйства, удаленный сбор данных с приборов учета ЖКХ, объектов энергетики являются информационными услугами, а не услугами связи.
Перечень свежих изменений в законодательство о безопасности КИИ + доклад от ФСТЭК России: https://blog.zlonov.ru/kii-new-laws/
Коллеги подготовили краткое пособие по безопасности КИИ.
Согласитесь, символично, что “Услуги по технической поддержке информационных технологий” измеряются не абы в чём, а в Паскалях =) #госзакупки #пятничное в понедельник
Два свежих приказа ФСТЭК России:
- об изменении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости (меняется приказ ФСТЭК №236) https://zlonov.ru/kii/приказ-фстэк-59-от-21-03-2019/
- об изменении требований по обеспечению безопасности значимых объектов КИИ РФ (меняется приказ ФСТЭК №239) https://zlonov.ru/kii/приказ-фстэк-60-от-26-03-2019/
По ссылкам выше доступны PDF с возможностью поиска/копирования текста в них.
Типология денег по эмитентам (центральный банк или нет), формам (электронная или физическая), доступности (общая или ограниченная) и технологиям (централизованные или децентрализованные расчеты). CBDC - central bank digital currency.
Аналитическая записка от Банка России «Есть ли будущее у цифровых валют центральных банков?» https://www.cbr.ru/Content/Document/File/71328/analytic_note_190418_dip.pdf
Если CBDC (central bank digital currency) окажется достаточно ликвидной и простой в использовании, она вполне может стать полным эквивалентом наличных денег. При этом CBDC в принципе не сможет обеспечить тот же уровень анонимности, который обеспечивает наличная валюта, что является плюсом для регуляторов, но минус для потребителей, которых беспокоит вопрос невмешательства в их личную жизнь.
Постановление Правительства РФ №127 от.rtf
Текст ПП-127 о Правилах категорирования и показателях критериев значимости в обновлённой редакции от 13.04.2019, вступает в силу с 24.04.2019. Ссылка на сайте: https://zlonov.ru/kii/пп-рф-№127-от-08-02-2018/
Постановление Правительства РФ №452.pdf
В виде PDF с возможностью поиска: Постановление Правительства Российской Федерации от 13.04.2019 № 452 “О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127”
Официально внесены изменения в Правила категорирования и перечень показателей критериев значимости объектов КИИ РФ (ПП-127). Срок, до которого надо утвердить Перечень своих объектов, 01 сентября 2019 года (обязателен для госорганов и госучреждений, для остальных - рекомендация). http://publication.pravo.gov.ru/Document/View/0001201904160054
Опубликован текст проекта изменений в КоАП в части установления ответственности за нарушения законодательства в области обеспечения безопасности КИИ https://regulation.gov.ru/projects#npa=89944
В своей обновлённой статье “Security Tip: Protecting Against Ransomware” (https://www.us-cert.gov/ncas/tips/ST19-001) с основными рекомендациями по защите от программ-вымогателей NCCIC в очередной раз напоминает, что Федеральное правительство (США) не поддерживает оплату требований вымогателей.
В качестве аргументации ссылаются на вот эту позицию ФБР: «Paying a ransom doesn’t guarantee an organization that it will get its data back—we’ve seen cases where organizations never got a decryption key after having paid the ransom. Paying a ransom not only emboldens current cyber criminals to target more organizations, it also offers an incentive for other criminals to get involved in this type of illegal activity. And finally, by paying a ransom, an organization might inadvertently be funding other illicit activity associated with criminals».
Созвучно моим собственным представлениям: https://blog.zlonov.ru/protect-your-site/
Рассмотрел в блоге, что интересного появилось в реестре ФСТЭК России за первые три месяца этого года. https://blog.zlonov.ru/fstec-certs-2019-q1/
«На пленарном заседании Госдумы во втором чтении был принят законопроект, которым планируется минимизировать передачу за рубеж данных, которыми обмениваются между собой пользователи нашей страны. В этих целях предполагается создать национальную системы маршрутизации интернет-трафика» https://rucybersecurity.ru/t/685/2?u=zlonov
#Продуктивность Наконец дочитал давно добавленную в закладки длинную статью «How to Configure Your iPhone to Work for You, Not Against You». Далеко не все советы (а всего их 45) счёл пригодными в своём случае, какие-то хитрости/трюки применяю уже давно, но парочку ценных приёмов всё-таки для себя отобрал и буду пробовать. https://betterhumans.coach.me/how-to-set-up-your-iphone-for-productivity-focus-and-your-own-longevity-bb27a68cc3d8
#Полезное Купон на 5 бесплатных книг на ЛитРес от KIA. Активируется по ссылке: https://www.litres.ru/?kia= Тематика самая разная - практически на любой вкус.
Любопытно, что у большинства это вызывает возмущение, не вызывая при этом сомнений =) «Голосовой помощник Echo Amazon, который распознает речь пользователей, за этими же пользователями следит, утверждает Bloomberg» https://www.bfm.ru/news/411714
Минкомсвязь России планирует разработку законопроекта, направленного на «обеспечение преимущественного использования гражданами, юридическими лицами, в том числе органами государственной власти и управления, цифровых каналов взаимодействия». Полезное начинание. Главное, чтобы невыполнимыми требованиями по ИБ всё не испортили. https://rucybersecurity.ru/t/670
Сайт, случайным образом выдающий фотореалистичные изображения людей, которые в реальности не существуют. https://thispersondoesnotexist.com Все лица созданы генеративно-состязательной сетью (один из алгоритмов машинного обучения без учителя). Можно использовать в научных целях - например, делать фейковые страницы в соцсетях =)
Простенькая игра «Защитите сервер»: https://vc.ru/special/server-defence
Не самый удачный выбор терминов (перевод?), так себе геймплей и весьма спорные пропорции стоимостей средств защиты.
Зато наглядно учит как минимум двум вещам:
- Не бывает 100% защиты, всегда что-то да пострадает.
- Нельзя продать одно средство защиты и купить другое, даже если это другое сейчас нужнее =)
В общем, минут 10 развлечься можно. Да, ещё выдают ссылку на скачивание книги (я бы сказал - рекламного буклета) «Как построить защищенные информационные системы». Вот прямая ссылка, чтобы не регистрироваться: https://selectel.ru/media/files/landings/information-security-in-the-cloud.pdf
Картинка-напоминание о том, что различные устройства “знают” о своём владельце (о вас).
Сайт МВД присылает немного непривычные кириллические коды для проверки валидности электронной почты. “Подтвердите, что адрес действителен и что вы владеете русской раскладкой” =)
Забота о безопасности как двигатель непрогресса: МТС, «Мегафон» и «Вымпелком» опасаются, что внедрение eSim приведет к ценовым войнам и обострению конкуренции. У ФСБ мотивация другая. https://www.bfm.ru/news/411403
Восхитительный вымогательский текст =) Особенно про блокнот понравилось: “Если вам нужно больше времени, чтобы купить и отправить BTC, откройте блокнот и напишите «48h BTC». Таким образом, вы можете связаться со мной. Я подумаю над тем, чтобы дать вам еще 48 часов до выпуска видео, но только тогда, когда я увижу, что вы действительно изо всех сил пытаетесь купить биткойн. Я ЗНАЮ, что ты можешь себе это позволить - так что не играй со мной.”
Грамматические ошибки - всё ещё не изжившая себя проблема (или хитрость?) системы госзакупок.
Не буду приводить примеры из сферы ИБ, но вот поставщикам и ремонтникам «картриджей» до сих пор надо на всякий случай искать и «катриджи»: http://zakupki.gov.ru/epz/order/quicksearch/search.html?searchString=катридж&sortBy=PUBLISH_DATE
Ещё более исковерканный “картредж” тоже порой встречается. Зато заменить часть букв латиницей уже не выйдет: “kaptpидж” даже поисковики не предлагают исправить (буквы максимально заменены на нерусские аналоги), но Госзакупки справляются на ура: http://zakupki.gov.ru/epz/order/quicksearch/search.html?searchString=kaptpидж&sortBy=PUBLISH_DATE
С 1 апреля в России действует первый национальный стандарт интернета вещей ПНСТ 354-2019 «Протокол беспроводной передачи данных на основе узкополосной модуляции радиосигнала (NB-Fi)». http://nd.gostinfo.ru/document/6446213.aspx Стандарт был утвержден Росстандартом в феврале 2019 года и будет действовать до 1 апреля 2022 года. Защите данных (по сути - шифрованию) посвящено Приложение Ж.
- Перечислите ваши основные достижения как участника команды проекта.
- Научил подрядчика пользоваться кнопкой «Ответить всем» при переписке. #пятничное в четверг
Неожиданность - это…
__Найти на сайте свою статью, которую ты для этого сайта не писал. __ http://www.itsec.ru/blog/sovershenstvovaniye-reyestra-fstek-rossii
Отличная подборка нормативных документов для погружения в тему: Современное состояние НПА по информатизации здравоохранения http://www.kmis.ru/blog/tekushchee-sostoianie-normativnogo-regulirovaniia-informatizatsii-zdravookhraneniia
А вот и официальное информационное сообщение ФСТЭК России подоспело: https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1812-informatsionnoe-soobshchenie-fstek-rossii-ot-29-marta-2019-g-n-240-24-1525
О деталях подхода ФСТЭК России в виде Требований доверия, приходящего на смену привычной проверке отсутствия недекларированных возможностей (установлены РД НДВ), публично информации немного. Соответствующий Приказ №131 от 30.07.2018 не публиковался и поговаривают, что даже ещё не все испытательные лаборатории его получили. Из открытых источников (фактически - из одного) выбрал доступную на сегодня информацию https://zlonov.ru/law/приказ-фстэк-россии-№131-от-30-07-2018/
Есть все шансы уже в этом году начать привыкать к новой реальности Интернета в России:
Операторы из «большой четверки» получили предложение властей о тестировании системы фильтрации трафика под закон о суверенном Рунете. Тест также покажет, можно ли заблокировать Telegram и снизить скорость доступа к YouTube https://www.rbc.ru/technology_and_media/28/03/2019/5c9cdfa09a79473d7d241980
Весь Reddit стонет/шутит по этому поводу, но слухи о скорой смерти мемов в Европе несколько преувеличены https://www.bfm.ru/news/410487
Те самые ФЗ с введением ответственности за распространение в СМИ и Интернете заведомо недостоверной общественно значимой информации и за выражение в Интернете явного неуважения к обществу и государству: https://zlonov.ru/law/федеральный-закон-№27-фз-от-18-03-2019/ https://zlonov.ru/law/федеральный-закон-№28-фз-от-18-03-2019/
#НПА
ФЗ-27 (недостоверная информация): Размеры штрафов для граждан варьируются в пределах от 30 тыс. до 400 тыс. руб., для должностных лиц - от 60 тыс. до 900 тыс., для организаций - от 200 тыс. до 1,5 млн руб. Возможна конфискация предмета административного правонарушения.
ФЗ-28 (неуважение обществу и государству): Размер штрафа от 30 тыс. до 100 тыс. руб. За повторное совершение - штраф в размере от 100 тыс. до 200 тыс. руб. или административный арест на срок до 15 суток. Если опубликует лицо, ранее подвергнутое административному наказанию за аналогичное правонарушение более двух раз, то его оштрафуют на сумму от 200 тыс. до 300 тыс. руб. или подвергнут административному аресту на 15 суток.
Подписан федеральный закон, которым определен статус “цифровых прав” https://zlonov.ru/laws/федеральный-закон-№34-фз-от-18-03-2019/ #НПА
- под цифровыми правами будут пониматься обязательственные и иные права, содержание и условия осуществления которых определяются в соответствии с правилами информационной системы, отвечающей установленным законом признакам;
- дистанционные сделки приравнены к письменной форме;
- для договора страхования будет возможным его заключение в форме одного электронного документа, подписанного сторонами, или обмена такими документами;
- вводится прямой запрет на составление завещания с использованием электронных либо иных технических средств;
- закон вступит в силу 1 октября 2019 года и будет применяться к правоотношениям, возникшим после этой даты (по правоотношениям, возникшим до этой даты, будет действовать в отношении тех прав и обязанностей, которые возникнут после 1 октября этого года).
Начата работа над проектом ФЗ о внесении в КоАП изменений в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ https://rucybersecurity.ru/t/645
Один из плюсов регистрации где-либо не по почте/паролю, а через внешние сервисы - это меньший ущерб от таких вот утечек. Bookmate, например, поддерживает регистрацию через Facebook, Google, Twitter и даже VK. Кстати, они не потрудились уведомить меня об утечке, да и на их сайте упоминание об этом найти не удалось.