Бортовой журнал
Заметки, мысли и сообщения из соцсервисов
Всего: 2365
2019 май
Впечатления от бесплатного вводного курса по кибербезопасности промышленных систем от Лаборатории Касперского. https://blog.zlonov.ru/kl-ics-cert-course/
Опубликован первый в России открытый патентный ландшафт по теме «Умный город» http://new.fips.ru/vse-uslugi/patent-analytics/smart-city.pdf
Подписано заключение ФСБ России на КриптоПро CSP 5.0 https://rucybersecurity.ru/t/kriptopro-csp/577/6?u=zlonov
Правда жизни: бюджет на ИБ до и после инцидента #пятничное в среду, которая как пятница
Пример того, как не надо составлять вопросы для тестов. Успешных решений всего 18%, что не удивительно. Попробуете угадать ответ? Можно выбрать несколько пунктов сразу.
Ссылка, по которой можно отключить отслеживание своих действий сервисами Google: https://myaccount.google.com/activitycontrols Вернее, можно поверить, что отключаешь =)
2019 апрель
Рубрика «Пока мы будем отдыхать»: мессенджеры будут обязаны с 5 мая идентифицировать своих пользователей по номеру телефона http://www.garant.ru/news/1271151/
В завершение этой непростой трудовой недели предлагаю немного размяться и ответить на несложный вопрос:
Каких дней в году больше - с чётной датой или с нечётной?
Желательно найти ответ исключительно рассуждениями в уме. #разминкадляума
$15 960 - это суммарная стоимость отчётов, ссылки на полные тексты которых приведены в этом посте https://blog.zlonov.ru/gartner-2018/
Решение DATAPK уже в описании вакансий появляется. Может и мелочь, но создателям приятно =)
Никак не могу решить - это “облачные технологии” или “воздушный зазор”? =) #пятничное
Обновлённая подборка нормативно-правовых документов по безопасности КИИ и ГосСОПКА https://zlonov.ru/kii/all_laws/
Роскомнадзор официально пояснил, что для предоставления сервисов IoT не требуется наличие лицензии на оказание услуг связи: Роскомнадзор рассмотрел обращение Ассоциации интернета вещей и сообщил, что услуги по предоставлению решений в области интернета вещей, таких как удаленный контроль состояния различных объектов, экологический мониторинг, сбор полевых данных для сельского хозяйства, удаленный сбор данных с приборов учета ЖКХ, объектов энергетики являются информационными услугами, а не услугами связи.
Перечень свежих изменений в законодательство о безопасности КИИ + доклад от ФСТЭК России: https://blog.zlonov.ru/kii-new-laws/
Коллеги подготовили краткое пособие по безопасности КИИ.
Согласитесь, символично, что “Услуги по технической поддержке информационных технологий” измеряются не абы в чём, а в Паскалях =) #госзакупки #пятничное в понедельник
Два свежих приказа ФСТЭК России:
- об изменении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости (меняется приказ ФСТЭК №236) https://zlonov.ru/kii/приказ-фстэк-59-от-21-03-2019/
- об изменении требований по обеспечению безопасности значимых объектов КИИ РФ (меняется приказ ФСТЭК №239) https://zlonov.ru/kii/приказ-фстэк-60-от-26-03-2019/
По ссылкам выше доступны PDF с возможностью поиска/копирования текста в них.
Типология денег по эмитентам (центральный банк или нет), формам (электронная или физическая), доступности (общая или ограниченная) и технологиям (централизованные или децентрализованные расчеты). CBDC - central bank digital currency.
Аналитическая записка от Банка России «Есть ли будущее у цифровых валют центральных банков?» https://www.cbr.ru/Content/Document/File/71328/analytic_note_190418_dip.pdf
Если CBDC (central bank digital currency) окажется достаточно ликвидной и простой в использовании, она вполне может стать полным эквивалентом наличных денег. При этом CBDC в принципе не сможет обеспечить тот же уровень анонимности, который обеспечивает наличная валюта, что является плюсом для регуляторов, но минус для потребителей, которых беспокоит вопрос невмешательства в их личную жизнь.
Постановление Правительства РФ №127 от.rtf
Текст ПП-127 о Правилах категорирования и показателях критериев значимости в обновлённой редакции от 13.04.2019, вступает в силу с 24.04.2019. Ссылка на сайте: https://zlonov.ru/kii/пп-рф-№127-от-08-02-2018/
Постановление Правительства РФ №452.pdf
В виде PDF с возможностью поиска: Постановление Правительства Российской Федерации от 13.04.2019 № 452 “О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127”
Официально внесены изменения в Правила категорирования и перечень показателей критериев значимости объектов КИИ РФ (ПП-127). Срок, до которого надо утвердить Перечень своих объектов, 01 сентября 2019 года (обязателен для госорганов и госучреждений, для остальных - рекомендация). http://publication.pravo.gov.ru/Document/View/0001201904160054
Опубликован текст проекта изменений в КоАП в части установления ответственности за нарушения законодательства в области обеспечения безопасности КИИ https://regulation.gov.ru/projects#npa=89944
В своей обновлённой статье “Security Tip: Protecting Against Ransomware” (https://www.us-cert.gov/ncas/tips/ST19-001) с основными рекомендациями по защите от программ-вымогателей NCCIC в очередной раз напоминает, что Федеральное правительство (США) не поддерживает оплату требований вымогателей.
В качестве аргументации ссылаются на вот эту позицию ФБР: «Paying a ransom doesn’t guarantee an organization that it will get its data back—we’ve seen cases where organizations never got a decryption key after having paid the ransom. Paying a ransom not only emboldens current cyber criminals to target more organizations, it also offers an incentive for other criminals to get involved in this type of illegal activity. And finally, by paying a ransom, an organization might inadvertently be funding other illicit activity associated with criminals».
Созвучно моим собственным представлениям: https://blog.zlonov.ru/protect-your-site/
Рассмотрел в блоге, что интересного появилось в реестре ФСТЭК России за первые три месяца этого года. https://blog.zlonov.ru/fstec-certs-2019-q1/
«На пленарном заседании Госдумы во втором чтении был принят законопроект, которым планируется минимизировать передачу за рубеж данных, которыми обмениваются между собой пользователи нашей страны. В этих целях предполагается создать национальную системы маршрутизации интернет-трафика» https://rucybersecurity.ru/t/685/2?u=zlonov
#Продуктивность Наконец дочитал давно добавленную в закладки длинную статью «How to Configure Your iPhone to Work for You, Not Against You». Далеко не все советы (а всего их 45) счёл пригодными в своём случае, какие-то хитрости/трюки применяю уже давно, но парочку ценных приёмов всё-таки для себя отобрал и буду пробовать. https://betterhumans.coach.me/how-to-set-up-your-iphone-for-productivity-focus-and-your-own-longevity-bb27a68cc3d8
#Полезное Купон на 5 бесплатных книг на ЛитРес от KIA. Активируется по ссылке: https://www.litres.ru/?kia= Тематика самая разная - практически на любой вкус.
Любопытно, что у большинства это вызывает возмущение, не вызывая при этом сомнений =) «Голосовой помощник Echo Amazon, который распознает речь пользователей, за этими же пользователями следит, утверждает Bloomberg» https://www.bfm.ru/news/411714
Минкомсвязь России планирует разработку законопроекта, направленного на «обеспечение преимущественного использования гражданами, юридическими лицами, в том числе органами государственной власти и управления, цифровых каналов взаимодействия». Полезное начинание. Главное, чтобы невыполнимыми требованиями по ИБ всё не испортили. https://rucybersecurity.ru/t/670
Сайт, случайным образом выдающий фотореалистичные изображения людей, которые в реальности не существуют. https://thispersondoesnotexist.com Все лица созданы генеративно-состязательной сетью (один из алгоритмов машинного обучения без учителя). Можно использовать в научных целях - например, делать фейковые страницы в соцсетях =)
Простенькая игра «Защитите сервер»: https://vc.ru/special/server-defence
Не самый удачный выбор терминов (перевод?), так себе геймплей и весьма спорные пропорции стоимостей средств защиты.
Зато наглядно учит как минимум двум вещам:
- Не бывает 100% защиты, всегда что-то да пострадает.
- Нельзя продать одно средство защиты и купить другое, даже если это другое сейчас нужнее =)
В общем, минут 10 развлечься можно. Да, ещё выдают ссылку на скачивание книги (я бы сказал - рекламного буклета) «Как построить защищенные информационные системы». Вот прямая ссылка, чтобы не регистрироваться: https://selectel.ru/media/files/landings/information-security-in-the-cloud.pdf
Картинка-напоминание о том, что различные устройства “знают” о своём владельце (о вас).
Сайт МВД присылает немного непривычные кириллические коды для проверки валидности электронной почты. “Подтвердите, что адрес действителен и что вы владеете русской раскладкой” =)
Забота о безопасности как двигатель непрогресса: МТС, «Мегафон» и «Вымпелком» опасаются, что внедрение eSim приведет к ценовым войнам и обострению конкуренции. У ФСБ мотивация другая. https://www.bfm.ru/news/411403
Восхитительный вымогательский текст =) Особенно про блокнот понравилось: “Если вам нужно больше времени, чтобы купить и отправить BTC, откройте блокнот и напишите «48h BTC». Таким образом, вы можете связаться со мной. Я подумаю над тем, чтобы дать вам еще 48 часов до выпуска видео, но только тогда, когда я увижу, что вы действительно изо всех сил пытаетесь купить биткойн. Я ЗНАЮ, что ты можешь себе это позволить - так что не играй со мной.”
Грамматические ошибки - всё ещё не изжившая себя проблема (или хитрость?) системы госзакупок.
Не буду приводить примеры из сферы ИБ, но вот поставщикам и ремонтникам «картриджей» до сих пор надо на всякий случай искать и «катриджи»: http://zakupki.gov.ru/epz/order/quicksearch/search.html?searchString=катридж&sortBy=PUBLISH_DATE
Ещё более исковерканный “картредж” тоже порой встречается. Зато заменить часть букв латиницей уже не выйдет: “kaptpидж” даже поисковики не предлагают исправить (буквы максимально заменены на нерусские аналоги), но Госзакупки справляются на ура: http://zakupki.gov.ru/epz/order/quicksearch/search.html?searchString=kaptpидж&sortBy=PUBLISH_DATE
С 1 апреля в России действует первый национальный стандарт интернета вещей ПНСТ 354-2019 «Протокол беспроводной передачи данных на основе узкополосной модуляции радиосигнала (NB-Fi)». http://nd.gostinfo.ru/document/6446213.aspx Стандарт был утвержден Росстандартом в феврале 2019 года и будет действовать до 1 апреля 2022 года. Защите данных (по сути - шифрованию) посвящено Приложение Ж.
- Перечислите ваши основные достижения как участника команды проекта.
- Научил подрядчика пользоваться кнопкой «Ответить всем» при переписке. #пятничное в четверг
Неожиданность - это…
__Найти на сайте свою статью, которую ты для этого сайта не писал. __ http://www.itsec.ru/blog/sovershenstvovaniye-reyestra-fstek-rossii
Отличная подборка нормативных документов для погружения в тему: Современное состояние НПА по информатизации здравоохранения http://www.kmis.ru/blog/tekushchee-sostoianie-normativnogo-regulirovaniia-informatizatsii-zdravookhraneniia
А вот и официальное информационное сообщение ФСТЭК России подоспело: https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1812-informatsionnoe-soobshchenie-fstek-rossii-ot-29-marta-2019-g-n-240-24-1525
2019 март
О деталях подхода ФСТЭК России в виде Требований доверия, приходящего на смену привычной проверке отсутствия недекларированных возможностей (установлены РД НДВ), публично информации немного. Соответствующий Приказ №131 от 30.07.2018 не публиковался и поговаривают, что даже ещё не все испытательные лаборатории его получили. Из открытых источников (фактически - из одного) выбрал доступную на сегодня информацию https://zlonov.ru/law/приказ-фстэк-россии-№131-от-30-07-2018/