Бортовой журнал
Заметки, мысли и сообщения из соцсервисов
Всего: 2361
“Ежемесячная Российская аудитория соцсети LinkedIn всё ещё превышает 1 млн человек”, освоивших VPN или Tor. https://vc.ru/29184-linkedin-poteryala-40-polzovateley-v-rossii-za-god-blokirovki?from=rss
Сегодня на #CodeIB в Ханты-Мансийске обсудим 187-ФЗ О безопасности #КИИ и проекты подзаконных актов к нему, включая вчерашний Проект приказа #ФСТЭК О реестре значимых объектов КИИ (значимых объектов,
Опубликован текст Проекта приказа ФСТЭК России «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» #КИИ http://regulation.gov.ru/projects#npa=75161
«Разработанные Минкомсвязью подзаконные акты к «закону Яровой» противоречат уголовно-процессуальному законодательству, обнаружили в Центре защиты цифровых прав. Чтобы избежать противоречия, сроки хранения сообщений пользователей не должны превышать 24 часов в общем случае или шести месяцев для конкретных лиц по решению суда. Такой формат позволил бы операторам избежать дополнительных инвестиций, оценивают эксперты.» https://www.kommersant.ru/doc/3467441
Интересно, как быстро все привыкнем и будем глотать подобные лекарства без особых раздумий? «Каждая таблетка содержит в себе крошечный чип из кремния, магния или меди. Как только она растворяется в желудке, чип сразу же отправляет сигнал на специальный пластырь с датчиком, приклеенный на торс пациента. Он регистрирует дозу и время приёма лекарства, а потом отправляет эти данные на смартфоны больного и его лечащего врача. После этого чип без малейшего вреда для организма выводится естественным путем». https://hightech.fm/2017/11/15/worlds-first-digital-drug
Использование чужих учетных данных подлежит квалификации по статье «Кража». Под использованием чужих учетных данных имеется в виду тайное или обманное использование подключенного к услуге «Мобильный банк» телефона жертвы, авторизация в системе интернет-платежей под похищенными учетными данными и т.п. Как обычное мошенничество, предусмотренное ст. 159 УК РФ, следует рассматривать хищение имущества путем распространения в Сети заведомо ложных сведений (создание поддельных сайтов, online-магазинов, использование электронной почты). К статье «Мошенничество с использованием платежных карт» (159.3 УК РФ) следует прибегать в случаях, если мошенник выдавал себя за истинного владельца банковской карты при оплате покупок или осуществлении банковских операций. Обналичивание средств через банкоматы квалифицируется как кража. http://www.securitylab.ru/news/489707.php
Чего только не придумают! «Ученые предложили использовать пот для биометрической аутентификации» http://www.securitylab.ru/news/489666.php
“Использование дронов для инспекции АЭС снижает риски и экономит деньги”, но про кибербезопасность при этом не факт, что хоть кто-то задумывается. http://www.tadviser.ru/index.php/%CA%EE%EC%EF%E0%ED%E8%FF%3ADounreay_Site_Restoration_Limited
Новая (с 01 ноября 2017 года) мера по упрощённой блокировке зеркал уже действует: Роскомнадзором приняты меры по ограничению доступа к десяти «зеркалам» пиратских сайтов. К слову, вот этот абзац больше похож на рекламу: “Ранее решения о постоянной блокировке были приняты Мосгорсудом в отношении сайтов kinoprofi-online.club, bigcinema.club, vmuzike.ru, kinoleila.ru, rutracker.cr, my-hit.fm, kinobar.cc, bigcinema-online.ru, muzuka.me, kinogo-net.co”. https://rkn.gov.ru/news/rsoc/news51920.htm
Нужно ли платить НДФЛ по сделкам с биткойнами? Позиция Минфина: Отдельной статьи нет, но “физические лица, получающие вознаграждения от физических лиц на основе заключённых договоров гражданско-правового характера, самостоятельно исчисляют суммы налога, подлежащие уплате в соответствующий бюджет,” http://base.garant.ru/71799858/
Вполне ожидаемо, да и не так уж и дорого - $150. http://www.securitylab.ru/news/489643.php
В очередном посте на ZLONOV.ru всё как обычно: громкий заголовок, только проверяемые публичные факты (с пруфлинками) и никаких домыслов. Все выводы за читателями ;-) https://zlonov.ru/2017/11/rvision-vs-ibm/
Предварительный текст Постановления о госконтроле в области обеспечения безопасности значимых объектов #КИИ http://regulation.gov.ru/Files/GetFile?fileid=88ad4f53-6cb0-4930-ae91-49955d910372
Расширены обязанности операторов связи: Закреплены положения о подтверждении соответствия персональных данных пользователей, заявленных в договоре об оказании услуг связи, фактическим сведениям. Определены способы подтверждения такого соответствия. http://www.garant.ru/hotlaw/federal/1144929/#review
2-НДФЛ теперь доступна в электронном виде с электронной подписью (больше не нужно обращаться в бухгалтерию по месту работы). http://www.garant.ru/news/1146309/
Гарант отвечает на вопрос о том, требуется ли письменное согласие на предоставление своих персональных данных при приеме на работу: “Если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, то получения согласия работника на такие действия не требуется.” http://www.garant.ru/consult/work_law/1146075/
Написал обращения по поводу фишинговый рассылки в МВД, владельцам сайта и даже в проект Антифишинг. “Отвечайте нам, а то, Если вы не отзовётесь, Мы напишем… в “Спортлото”!” (с) =) https://zlonov.ru/2017/11/phishing-complaint/
Обзор изменений в законодательстве за октябрь 2017 от #УЦСБ 1. Категорирование объектов критической информационной инфраструктуры (КИИ) 2. Курс на информационную безопасность в рамках правительственной программы «Цифровая экономика» 3. Часть государственной тайны может стать явной 4. Российским военнослужащим запретят размещать фото в интернете 5. Сертификация банковских безопасников http://www.ussc.ru/news/id/368/
Мой мартовский пост в блоге отлично ложится на сегодняшние первоноябрьские нововведения. https://zlonov.ru/2017/03/your-own-vpn-server/
С 01 ноября вступают в силу новые правила для VPN-сервисов. Кто готов работать с Роскомнадзором, а кто планирует сопротивляться? https://vc.ru/28288-novye-pravila-kak-vpn-servisy-otnosyatsya-k-zapretu-na-obhod-blokirovok?from=rss
Береги ПДн смолоду =) “Роспотребнадзор предлагает наказывать должностных лиц административным штрафом в размере от 1 тыс. до 3 тыс. руб., а юрлиц – от 10 тыс. до 20 тыс. руб. за принуждение потребителя сообщить свои персональные данные” http://www.garant.ru/news/1145381/
Познавательно, конечно… только при чём тут “Information Security”? @DLP_Expert расширяет тематику? =) http://bis-expert.ru/blog/27512/56613
Шрифты как улика: «Когда в начале этого года Наваз Шариф и его семьи стали объектом пристального внимания Панамских газет, неоспоримым доказательством разоблачения и вины фигурантов по делу оказался именно шрифт. Дочь премьер-министра Марьям Шариф представила некий оправдательный документ, набранный шрифтом Microsoft - Calibri. Как оказалось, этот шрифт был выпущен для общего пользования только через год после указанной в документе даты его составления и подписания.» https://roem.ru/29-10-2017/261044/font-detectives/
Вот заживём! “Согласно документу, перечень подозрительных операций установит Банк России, а кредитные организации получат право самостоятельно определять дополнительные признаки перевода денежных средств без согласия плательщика. А при выявлении признаков такого перевода банк будет блокировать банковскую карту на срок до двух рабочих дней и направлять клиенту запрос о подтверждении операции. Если держатель карты подтвердит выполнение операции, банк незамедлительно исполнит поручение и возобновит действие средства платежа. Причем подтверждение клиента-физлица планируется запрашивать по телефону или путем направления электронного сообщения, клиента-юрлица – в порядке, установленном договором об использовании электронного средства платежа”. http://www.garant.ru/news/1144727/
Файлообменник АО “Промышленные инновации” прекрасен: ни проверки файлов, ни авторизации… Эдакий бесплатный облачный сервис с лимитом 4000 MB и сроком хранения 940 дней. http://gpz.prominn.ru/fileshare/index.php
Если работодатель явно запретил отправку конфиденциальной информации на личные почтовые ящики, то нарушение этого запрета является достаточным основанием для уволнения: “Конституционный Суд РФ отметил, что в случае, если сотрудник отправляет информацию, касающуюся компании–работодателя с корпоративной почты на свой личный почтовый ящик, он тем самым создает условия для ее неконтролируемого использования. Соответственно, если работник нарушил локальные акты организации, исключающие отправку конфиденциальной информации на личную почту, то за это он может быть привлечен к дисциплинарной ответственности. Причем вне зависимости от того, было ли установлено ее разглашение третьему лицу или нет”. http://www.garant.ru/news/1144868/
Для удобства свёл в таблицу планируемые к принятию дополнительные к 187-ФЗ “О безопасности #КИИ” нормативные правовые акты и, так как проекты некоторых документов уже опубликованы (готовятся к публикации), привёл соответствующие ссылки на них. https://zlonov.ru/2017/10/187-fz-addons/
Действительно, к чему эти нудные формальности? «Согласно тексту документа, после принятия закона Роскомнадзор сможет самостоятельно принимать решения о блокировке в интернете «информации, содержащей призывы к массовым беспорядкам, осуществлению экстремистской деятельности, участию в массовых (публичных) мероприятиях, проводимых с нарушением установленного порядка, материалов, изданных и (или) распространяемых иностранной или международной неправительственной организацией, деятельность которой признана нежелательной. Причем для блокировки ведомству не потребуется решение суда.» http://www.securitylab.ru/news/489308.php
Лайфхак: «Упоминание блокчейна в резюме повышает стоимость работника на 25%» https://vc.ru/27964-srednyaya-zarplata-specialista-po-blokcheynu-v-rossii-sostavila-ot-200-tysyach-do-400-tysyach-rubley?from=rss
Попытка Т—Ж объять необъятное: “Персональные данные: что, зачем, как”. Так себе попытка, на мой взгляд. Интересно, а есть ли какие-то ресурсы, которые можно посоветовать совсем начинающим разбираться в теме? У нас ведь новые операторы ПДн наверняка каждый день появляются… https://journal.tinkoff.ru/slozhno/personal-data/
О! Материалы с Check Point Security Day 2017 выложили частично в .ppsx - можно ещё раз насладиться анимацией =) Правда, для скачивания нужен пароль (запросить можно по электронной почте dsorokina@idc.com) http://idcrussia.com/ru/events/64893-check-point-security-day-17/55-proceedings
Президент России поручил правительству и ЦБ узаконить ICO и криптовалюты в России: Правительству Российской Федерации совместно с Банком России обеспечить внесение в законодательство Российской Федерации изменений, предусматривающих; а) определение статуса цифровых технологий, применяемых в финансовой сфере, и их понятий (в том числе таких, как «технология распределённых реестров», «цифровой аккредитив», «цифровая закладная», «криптовалюта», «токен», «смарт-контракт») исходя из обязательности рубля в качестве единственного законного платёжного средства в Российской Федерации; б) установление требований к организации и осуществлению производства, основанного на принципах криптографии в среде распределённых реестров («майнинг»), включая регистрацию хозяйствующих субъектов, осуществляющих такую деятельность, а также определение порядка её налогообложения; в) регулирование публичного привлечения денежных средств и криптовалют путём размещения токенов по аналогии с регулированием первичного размещения ценных бумаг. Срок – 1 июля 2018 г. Ответственные: Медведев Д.А., Набиуллина Э.С. http://kremlin.ru/acts/assignments/orders/55899
Мда… «1+2+3 = 23» Apple намекает, что такое надо уметь считать в уме? :) https://appstudio.org/news/kalkulyator-v-ios-11-razuchilsya-schitat.html
что делать организации (являющейся оператором персональных данных), если она своевременно не уведомила Роскомнадзор об изменении своего наименования или адреса? https://zlonov.ru/2017/10/penalties-for-failure-to-notify/
Контролировать достоверность сведений ЕГРН предлагается с использованием технологии блокчейн: с 1 января по 1 июля следующего года в столице предполагается провести эксперимент по использованию технологии “блокчейн” для мониторинга достоверности сведений, содержащихся в ЕГРН. http://www.garant.ru/news/1143213/
Как не прослыть обнальщиком (при пользовании банком Тинькофф) 1. Проверяйте контрагентов. 2. Подробно описывайте платежи. 3. Работайте по своим оквэдам. 4. Не снимайте все наличные. 5. Платите налоги. 6. Не занимайтесь обналом. https://journal.tinkoff.ru/obnalichka/
Краткие впечатления от Check Point Security Day 2017 https://zlonov.ru/2017/10/check-point-security-day-2017/
Главный конструктор ИТ-системы МВД был арестован прямо на выставке: “18 октября 2017 года Андрей Нечаев был арестован, сообщил ряд СМИ со ссылкой на правоохранительные органы. По данным газеты «Коммерсантъ», в этот день к нему на международной выставке «Интерполитех-2017» подошли сотрудники управления «М» ФСБ России и увели на допрос.” http://www.tadviser.ru/index.php/%CF%E5%F0%F1%EE%ED%E0%3A%CD%E5%F7%E0%E5%E2_%C0%ED%E4%F0%E5%E9_%DE%F0%FC%E5%E2%E8%F7?utm_content=buffer6d545&utm_medium=social&utm_source=facebook.com&utm_campaign=buffer
За удар молотом - 30 тысяч. За то, что знаю, куда ударить - 4 миллиона =)
Уязвимости #KRACK уже в #БДУ #ФСТЭК (с BDU:2017-02263 по BDU:2017-02272) http://www.bdu.fstec.ru/vul/2017-02268
У меня повторить не получилось: “Злоумышленник может получить доступ к фото на заблокированном устройстве. Для этого нужно узнать телефонный номер устройства и позвонить на него. После этого, вместо ответа на звонок, нажать на «Сообщения» -> «Другое», а затем вставить в строку сообщения 3 каких-либо эмодзи. Далее нужно попросить голосового помощника Siri открыть какое-либо приложение, например, «Настройки». После этого при повторном звонке на заблокированном устройстве появится возможность ответить на звонок сообщением, прикрепив к нему любые фотографии пользователя.” http://www.securitylab.ru/news/489204.php?utm_content=bufferb858b&utm_medium=social&utm_source=facebook.com&utm_campaign=buffer
Судя по пресс-релизу Кода Безопасности, для заграницы - только продукты с английскими названиями. Эх, надо было в своё время Continent и Sable назвать :-) http://bit.ly/2ikQuu1
И на десерт: BalaBit Shell Control Box vs SafeInspect vs Wallix Admin Bastion vs Cyber Arc vs ObsereIT (по версии всё того же госзаказчика)
Ещё: Veeam Availability Suite vs Handy Backup vs DataRecovery+VCenter vs Zabbix vs Symantec vs Acronis (по версии того же госзаказчика)
PRTG vs 10 страйк vs Algorius Net Viewer vs Zabbix vs Nagios Core (по версии одного госзаказчика)