Бортовой журнал

В рамках борьбы с фабриками троллей Twitter усложнил процедуру получения доступа к своему API. Даже если планируешь всего лишь использовать на сайте возможность логина через Twitter - будь добр опиши это детально. Впрочем, даже с неидеальным английским процедура вполне проходима. http://bit.ly/2AzC2nL

Какие-то у ФНС крайне не быстрые алгоритмы. Видать, жутко надёжные зато. http://bit.ly/2Sh1G7L

Пример описания, из которого не особо понятно, что конкретно делает решение… Зато много слов про преимущества, широкие возможности и новые подходы =) http://bit.ly/2P86aeQ Дополнил картинкой, которая свет немного всё же проливает.

Средства контроля пользователей неумолимо приближают далёкий 1984 год: “…теперь можно записывать звук из колонок, который слышит пользователь. Это позволяет контролировать аудиопереговоры и собирать более полную доказательную базу” http://bit.ly/2rbNm5a.

Диаграмма из свежего отчёта Black Hat Europe 2018. Демонизация России и её злобных “хакеров” в глазах европейских ИТ и ИБ профессионалов налицо. http://bit.ly/2E078sP

Плюс от встреч блогеров со ФСТЭК: вспоминаешь, как писать ручкой, так как всё электронное остаётся на входе =) Сегодня была очередная практика. Вместо общего поста по итогам планирую освещать конкретные вопросы и продолжу уже существующий раздел ЧаВо http://bit.ly/2zsBT5M

Примерно по рублю за каждого пользователя: “Взлом, в результате которого были похищены 808 тыс. электронных адресов и более 1,8 млн имен пользователей, обернулся немецкой соцсети штрафом в размере 23 тыс. евро за нарушение недавно принятого #GDPR” http://bit.ly/2TKDrAj

На случай, если пропустили новость: “C 6 мая следующего года мессенджеры будут проверять номера телефонов своих пользователей” http://bit.ly/2S5qvnd

Статью 13.11 КоАП предлагается дополнить новыми видами штрафов за нарушения законодательства в области ПДн: http://bit.ly/2FCclZr http://bit.ly/2qYi8hw

Куценько как-то, но уж что есть… http://bit.ly/2A8KN7U

Совместно с коллегами из RUSCADASEC запустили новое сообщество ruCyberSecurity на базе платформы Slack. Приглашаем вступать (потребуется электронная почта) http://bit.ly/2DOt0XP и выбирать каналы по интересам: SCADASEC, 187-ФЗ, 152-ФЗ, GDPR и другие.

Новая угроза в БДУ ФСТЭК: Угроза обхода многофакторной аутентификации http://bit.ly/2A7imah

R-Vision выпустил новую версию Incident Response Platform c возможностью подготовки инцидентов согласно требованиям регуляторов для последующей отправки в #ФинЦЕРТ и #ГосСОПКА http://bit.ly/2BkYItm

Новое заключение ФСБ России на ПАК «КриптоПро УЦ» 2.0: уровень ИБ по ГОСТ Р 34.10-2012 стал выше http://bit.ly/2TsE81m

Комментарии к посту читать не обязательно, а просто скачать и установить себе приложение - очень даже рекомендуется: DNS Over TLS & Over HTTPS теперь и на iOS/Android и для всех сетей сразу [Спасибо Cloudflare] / Хабрахабр http://bit.ly/2Q9G7J1

Код Безопасности и Gartner раньше мной упоминались совместно разве что в шутку, но коллеги молодцы - “включились” в обзор, несмотря на всю истерию вокруг “государственных русских хакеров”: http://bit.ly/2ThRihx

Желающие могут приобрести межсетевой экран, в котором “добавлены автообновляемые удаленные черные списки, в том числе списки Роскомнадзора (IP, URL)”, а то вдруг у провайдера блокировка не сработает =) http://bit.ly/2DpsjmY

А что лучше выбрать - сертифицированный целиком Linux или обычный Linux, на который установлено сертифицированное СЗИ от НСД? http://bit.ly/2DouV4q

ФСТЭК продолжает наполнять свой Банк Данных Угроз уязвимостями в иностранных продуктах, а вот выявленных в отечественных решениях уязвимостей во всей базе так и остаётся буквально несколько штук =) http://bit.ly/2zbzZq3

К вопросу об аренде объектов КИИ: при классификации факта хозяйственной жизни и определении основания для учёта объекта, следует смотреть не на форму договора, а на экономический смысл отношений, права и обязанности сторон данного договора http://bit.ly/2OImLWz

Gartner Magic Quadrant for Cloud Access Security Brokers 2018 (ещё больше квадра(н)тов по безопасности тут: http://bit.ly/2TaU0FD) http://bit.ly/2zZ5eE6

Пример про налоги, но сам подход можно считать общим: указание срока “до…” какой-либо даты равнозначно формулировке “не позднее” этой даты http://bit.ly/2RWAsDr

Коммерсантъ: Регулирование big data пришлось не в кассу http://bit.ly/2qL4uhY

Обязательность подключения к ГосСОПКА http://bit.ly/2QCqLK3

Утверждается, что “КОМРАД является самой доступной сертифицированной ФСТЭК России и Минобороны России SIEM-системой на российском рынке информационной безопасности” http://bit.ly/2FjdQLI

Суд: за майнинг биткоинов придется платить за электричество по повышенной ставке http://bit.ly/2z59N0i

«Актив» и «ОКБ САПР» заключили соглашение о сотрудничестве: “Отныне во всей линейке программно-аппаратных комплексов АККОРД в качестве инструмента строгой двухфакторной аутентификации будут использоваться токены и смарт-карты Рутокен.” http://bit.ly/2PSmOnd

Россия представила в ООН новую инициативу в сфере кибербезопасности http://bit.ly/2OEF3Ie

Встреча с ФСТЭК по вопросам безопасности КИИ http://bit.ly/2JQmTCJ

А вы знали, что статистика посещений сайта ФСТЭК открытая? С апреля 2015 года было суммарно 1,24 млн посетителей. Можно считать, что это и есть оценка размеров целевой аудитории сверху. http://bit.ly/2F9UtEL

Нюансы требований 187-ФЗ: итоги опроса (теперь с комментариями) http://bit.ly/2ROd7Uv

Примеры ТЗ на категорирование объектов КИИ из открытых конкурсов (подборка) http://bit.ly/2PcRkJb

В Италии на Apple и Samsung наложили штрафы за преднамеренное устаревание смартфонов http://bit.ly/2PFJ0RE

ФСТЭК рекламирует IV SOC-Форум http://bit.ly/2Rw6qpO

Приказом Росстандарта утверждён ГОСТ Р 58256-2018 “Защита информации. Управление потоками информации в информационной системе. Формат классификационных меток” http://bit.ly/2QgXm7Z

Обзор уязвимостей. Выпуск 4 #OpenSSH #libssh #Ghostscript #MikroTik http://bit.ly/2DiRecz

Наглядная демонстрация того, что нельзя использовать один пароль для доступа к сервисам разного уровня критичности: мой “абы какой” пароль для малозначительных сайтов утёк/был подобран. Теперь получаю такие пугалки. А письмо составлено неплохо, наверняка иногда срабатывает =) http://bit.ly/2SuxSpj

RT @maxremm: Блокировки не эффективны… http://bit.ly/2P3bTaH

Несколько странно, что уже в который раз об обновлениях безопасности для продуктов Apple приходится узнавать из рассылок US-CERT, а не от самой компании… http://bit.ly/2P3JLod

“Документом может быть введено положение, запрещающее обработку больших пользовательских данных, направленную на идентификацию конкретного физлица” - интересно, как предполагается выявлять нарушения этого положения? http://bit.ly/2PSbXGI

DATAPK: растущие объёмы – свидетельство качества =) http://bit.ly/2yuF8Jt

Комментарий + Инфографика от Роскомнадзора в связи с подписанием модернизированной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных http://bit.ly/2EyJ15w

Хранение копий документов работников возможно только при соблюдении некоторых условий http://bit.ly/2CRVdfT

РСПП намерен предложить свое видение законопроекта о регулировании криптовалют http://bit.ly/2NOXiKP

Сбербанк и ВТБ лоббируют ПЭП вместо КЭП http://bit.ly/2ExSpq0

Коммерсантъ: В общей сложности до 2024 года на цифровизацию российской экономики будет выделено 1,08 трлн руб, из них на информационную безопасность будет потрачено 18 млрд руб. http://bit.ly/2CTFtJs

Читаешь такие статьи и невольно задумываешься - кто-то пистолет у виска держал и заставлял торопиться с введением без продумывания простейших практических вопросов? Коммерсантъ: “Биометрия для больших” http://bit.ly/2P287xs

[англ.] Основные характеристики и способы быстрого обнаружения скиммеров для банкоматов / Characterization and Fast Detection of Card Skimmers http://bit.ly/2QL6vFN

ЕС признал небезопасность биометрической аутентификации для мобильного банкинга: “Биометрическая аутентификация будет считаться лишь одним этапом двухфакторной аутентификации, в качестве второго должен использоваться пароль, токен или отдельное устройство” http://bit.ly/2yc9Aru