Министр цифрового развития РФ Максут Шадаев сообщил, что в России работает более 1 млн камер видеонаблюдения, каждая третья задействована в системе распознавания лиц.
“На сегодня у нас фактически каждая третья камера подключена к системе распознавания лиц. Все камеры, которые стоят на дорогах, автоматически распознают номера”, - пояснил глава Минцифры на пленарной сессии дня искусственного интеллекта в рамках Международной выставки-форума “Россия” (цитата по ТАСС).
Шадаев также отметил, что всего в России стоит больше миллиона камер, которые смотрят за безопасностью - в местах проживания, в общественных местах, на объектах транспорта и на дорогах.
Как следует из презентации главы Минцифры, также в 14 регионах ведется внедрение систем обработки фото- и видеоизображений дорог и объектов благоустройства.
Опубликованы результаты исследования по оценке развитости российского сегмента рынка информационной безопасности. В нём отражено мнение, полученное путём опроса представителей 120 организаций изо всех ключевых отраслей экономики и 26 вендоров в сфере ИБ.
Выборочные выводы:
По мнению двух третей опрошенных заказчиков доля отечественного ПО в сфере ИБ в их компаниях составит, как минимум, 80% через 2 года.
90% компаний, штат которых превышает 10 тыс. человек, либо уже перешли, либо планируют переход на отечественное ПО с сфере ИБ в следующие 12 месяцев. В компаниях с числом сотрудников от 1 до 10 тыс. перешли только 27%. 45% организаций со штатом от 500 до 1 тыс. человек планируют переходить в ближайший год. Таким образом можно сделать вывод о том, что крупные компании, располагающие большими бюджетами, более оперативно адаптируются к новым условиям.
76% опрошенных заказчиков отметили рост числа киберугроз за последний год. При этом две трети компаний уверены, что способны эффективно противостоять угрозам. Однако лишь 28% привлекали для проверки сторонних экспертов. Таким образом восприятие уровня защищенности у топ-менеджмента компаний может быть искажено.
Заказчики планируют в первую очередь переходить на отечественные решения в области ИБ в сферах аналитики и реагирования, а также сетевой безопасности. На эти две сферы пришлась почти половина ответов. Этот результат подтверждается ответами со стороны вендоров.
Только 5% респондентов беспокоит отсутствие российских аналогов, что говорит о том, что уже сейчас отечественные разработчики предлагают аналогичные продукты во всех сферах ИБ.
❗️❗️❗️ Минпромторг установил план, по которому до конца 2024 года объекты критической информационной инфраструктуры должны полностью перейти на российский софт.
👔Доля российского софта в госкомпаниях оценивается в промежутке 40–50%. А за последние полтора года импортозамещение ускорилось.
Об этом 66.RU рассказал эксперт УЦСБ Евгений Баклушин. По его словам, госкомпании стали чаще переходить на отечественный софт из-за необходимости повышать уровень своей безопасности.
Подробнее о том, с каким какими трудностями сталкиваются предприятия при переходе с зарубежного софта на отечественный читайте в материале 66.ru
Всем здравствуйте!
При просмотре обновления реестра сертифицированных СЗИ увидел множественные возобновления сертификатов соответствия и решил свести эти данные в табличку.
Может быть, кому-то пригодится :)
Российские госкомпании с 2025 года должны перейти на отечественные ОС и офисные пакеты
«Президентом подписано поручение было, 12 июня, в праздник, о том, что по всем госкомпаниям к 1 января 2025 г. обеспечить тотальное замещение операционных систем, офисного пакета, систем виртуализации, систем управления баз данных», – сообщил Шадаев. Он уточнил журналистам, что ранее аналогичное требование действовало только к объектам критической информационной инфраструктуры (КИИ).
Опубликован текст проекта постановления Правительства РФ “О реализации пилотного проекта по обеспечению технологической независимости КИИ РФ в атомной и космической отраслях”.
Деталей пока немного, но задумка впечатляет масштабами:
__Задачами пилотного проекта являются:
__ - __разработка и апробация критериевтехнологической независимости […];
__
__**разработка **[…] **правил формирования и ведения реестра доверенных ПАК **для КИИ;
__
__[…] __
__формирование предложений по изменению и принятию новых нормативных правовых актов […];
__
__организация и полномасштабное развертывание системы испытательных полигонов атомной отрасли […], включая вычислительную технику, телекоммуникационное оборудование и АСУ ТП, на их соответствие требованиям по надежности, функциональности, производительности и совместимости […];
__
проведение тестирования и апробации технических решений __[…];
__
внедрение доверенных ПАК на значимых объектах КИИ в атомной и космической отраслях.
Добавьте в свой пароль запятую или несколько, чтобы «сломать» CSV-файл, в который будут экспортированы ваши украденные учётные данные #АктивнаяЗащита #пятничноевпонедельник
⚡️ Максут Шадаев: «Мы начали работу по импортозамещению в госорганах заблаговременно, они сделали значимый прорыв, перешли на наши системы, софт и тд. Если отраслевой регулятор уже завершает переход на российское ПО, то ему и отрасль убедить проще. Главный риск для нас, что многие компании, вложив деньги в зарубежные продукты, останутся на них. Иногда сами компании не относят системы первостепенной значимости к критической информационной инфраструктуре, но теперь правительство сможет определять, какие решения будут относиться к КИИ. Кабмин сможет устанавливать срок перехода на наши решения. Сроки будут ставиться исходя из готовности решений. Государство готово софинансировать до 80%».
Приказом Федерального агентства по техническому регулированию и метрологии от 5 августа 2022 г. № 740-ст утверждён национальный стандарт Российской Федерации ГОСТ P 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации».
Указанный национальный стандарт размещён на официальном сайте Федерального агентства по техническому регулированию и метрологии.
Разработчикам средств защиты информации, испытательным лабораториям и органам по сертификации при разработке и испытаниях средств защиты информации необходимо руководствоваться положениями указанного национального стандарта.
На основании приказа Федерального агентства по техническому регулированию и метрологии от 8 августа 2022 г. № 746-ст отменён ГОСТ P 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».
🗃В связи с недавними новостями относительно обеспечения технологической независимости на значимых объектах КИИ, актуализирован состав базовых нормативных правовых актов, методических и информационных документов в области обеспечения безопасности КИИ.
Агентство национальной безопасности (АНБ) опубликовало руководство с рекомендациями по защите устройств сетевой инфраструктуры и их учётных данных: «Типы паролей Cisco: лучшие практики».
«Мы на это не подписывались!» Как цифровые двойники зарабатывают деньги на госконтрактах
В редакцию Business FM обратилась компания, которая выяснила, что от ее имени кто-то получил цифровую подпись, после чего принял участие в госзакупках, выиграл торги и получил аванс от государства. Госзаказы псевдокомпания явно выполнять не собирается. При этом остановить процесс оказалось невозможно.
На всех станциях московского метро начала работать система оплаты по лицу
Face Pay – это один из способов оплаты, к которому можно подключиться по желанию. Для использования оплаты проезда по лицу пассажиру нужно привязать свою фотографию, банковскую карту и карту «Тройка» к сервису в приложении «Метро Москвы». Затем камера на турникете будет распознавать лицо человека, и система автоматически спишет деньги за проезд.
2fa.directory - ресурс с информацией о вариантах поддержки двухфакторной аутентификации (2FA) популярными сайтами. Всё разбито по категориям, есть поиск и ссылки на документацию. Вот, например, информация о социальных сетях/сервисах: https://2fa.directory/#social
Использование «мастер-лиц» для обхода систем идентификации с распознаванием лиц (англ.)
«Мастер-лицо» - это изображение лица, которое проходит идентификацию на основе лица для значительной части населения, и может использоваться для обмана алгоритмов распознавания лиц с высокой вероятностью успеха без доступа к какой-либо пользовательской информации. Мы оптимизируем эти лица, используя эволюционный алгоритм в скрытом пространстве встраивания генератора лиц StyleGAN. Представленные нами результаты демонстрируют, что для трех ведущих систем глубокого распознавания лиц можно получить высокий охват населения (более 40%) с помощью менее 10 мастер-лиц.
Проект изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127»
Электронные документы можно сдать на хранение нотариусу
ФНП сообщила о новом нотариальном действии, которое введено в практику нотариусов – это принятие на хранение и выдача электронного документа. Палата разъясняет, что теперь, кроме бумаг, нотариусу могут быть переданы электронные документы, аудио- и видеофайлы, программные коды, базы данных и др. Возможность создать свой цифровой архив у нотариуса гарантирует сохранность и неизменяемость файлов, а также их защиту от доступа третьих лиц.
Методика применяется для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых принято после даты ее утверждения, а также в эксплуатируемых системах и сетях.
__
Модели угроз безопасности информации систем и сетей, разработанные и утверждённые до утверждения Методики, продолжают действовать и подлежат изменению в соответствии с настоящей Методикой при развитии (модернизации) соответствующих систем и сетей.__
__
В связи с утверждением настоящего методического документа и для оценки угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).__
**
**Методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).
⚡️**Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации
**ФСТЭК России на своём сайте представила для общественного обсуждения проект методического документа «Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации».
Свои предложения и замечания можно отравить на адрес электронной почты otd84@fstec.ru до 1 марта 2021 года.
Минцифры вновь представило для общественного обсуждения проект постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядок перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции».
Изменения в Правила субсидирования на создание центров ГосСОПКА
Утверждены изменения в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах.
Официально опубликовано постановление Правительства Российской Федерации от 26.01.2021 № 50 «О внесении изменений в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах».
Дума одобрила введение штрафов за нарушения при защите критической IT-инфраструктуры
Согласно пояснительной записке к законопроекту, “размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности”.
Forwarded from Валерий Комаров @blog_ruporsecurite
Алексей Лукацкий собирает вопросы для ФСТЭК (Лютиков В.С.) по 187-ФЗ. “17 февраля на Магнитке замдиректора ФСТЭК Виталий Лютиков будет отвечать на самые острые вопросы профессионального сообщества. Если вам есть, что спросить регулятора, то задайте свой вопрос по ссылке https://ib-bank.ru/uralcyber/#formats, а уже на форуме вопрос будет озвучен регулятору”
⚡️НКЦКИ предупреждает об угрозе проведения целенаправленных компьютерных атак⚡️
В условиях постоянных обвинений в причастности к организации компьютерных атак, высказываемых в адрес Российской Федерации представителями США и их союзниками, а также звучащих с их стороны угроз проведения «ответных» атак на объекты критической информационной инфраструктуры Российской Федерации, Национальный координационный центр по компьютерным инцидентам (НКЦКИ) рекомендует принять следующие меры по повышению защищённости информационных ресурсов.
Приведите в актуальное состояние имеющиеся в организации планы, инструкции и руководства по реагированию на компьютерные инциденты.
Проинформируйте сотрудников о возможных фишинговых атаках с использованием методов социальной инженерии.
Проведите аудит сетевых средств защиты информации и антивирусных средств, убедитесь в их корректной настройке и функционировании на всех значимых узлах сети.
Избегайте использования сторонних DNS-серверов.
Используйте многофакторную аутентификацию для удаленного доступа в сеть организации.
Определите перечень доверенного программного обеспечения для доступа в сеть организации и ограничьте использование не входящих в него средств.
Удостоверьтесь в корректном журналировании сетевых и системных событий на важных элементах информационной инфраструктуры, организуйте их сбор и централизованное хранение.
Удостоверьтесь в наличии и корректной периодичности создания резервных копий данных для важных элементов информационной инфраструктуры.
Удостоверьтесь в корректности имеющихся политик разграничения прав доступа для устройств в сети.
Ограничьте доступ к сервисам во внутренней сети средствами межсетевого экранирования, при необходимости предоставления общего доступа к ним организуйте его через демилитаризованную зону.
Для работы с внешними ресурсами, в том числе в сети Интернет, используйте терминальный доступ через внутренний сервис организации.
Обновите пароли всех пользователей в соответствии с парольной политикой.
Обеспечьте анализ входящей и исходящей электронной почты средствами антивирусной защиты.
Осуществляйте мониторинг безопасности систем с повышенной бдительностью.
Следите за наличием необходимых обновлений безопасности для Вашего программного обеспечения.
Из 16 (без учёта повторных после апелляций) уголовных дел, возбуждённых по статье 274.1 (неправомерное воздействие на КИИ), по состоянию на сегодня только 4 были прекращены, по 10 вынесены обвинительные приговоры и ещё по двум решение публично пока недоступно. https://zlonov.com/kii/criminal_cases
Вышел свежий выпуск журнала «CONNECT. Мир информационных технологий» с моей статьёй про общее состояние дел с выполнением требований законодательства в области защиты КИИ https://zlonov.com/kii-subjects-take-your-time-slowly
ФСТЭК России информирует о размещении на своем официальном сайте в разделе «Техническая защита информации/Сертификация/Специальные нормативные документы» выписки из Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76, для 6, 5 и 4 уровней доверия.
Forwarded from Валерий Комаров @blog_ruporsecurite
Судя по законопроекту, для безопасности ЗОКИИ будем использовать исключительно отечественные СЗИ. А за что центры ГосСОПКА попали вообще не понял. Судя по разъяснениям НКЦКИ они вне ОКИИ и в состав СБ ЗОКИИ не входят. https://valerykomarov.blogspot.com/2020/11/2.html
О проекте
федерального закона «О внесении изменений в Кодекс Российской Федерации об
административных правонарушениях в части установления административной
ответственности за нарушение законодательства в области обеспечения
безопасности критической информационной инфраструктуры Российской Федерации»
Законопроект направлен
на правовое регулирование обеспечения безопасности объектов критической
информационной инфраструктуры, нарушение функционирования которых может
привести к выходу из строя объектов обеспечения жизнедеятельности населения,
транспортной инфраструктуры, сетей связи, прекращению или нарушению оказания
государственных услуг, нанесению ущерба жизни и здоровью людей, возникновению
ущерба субъектам критической информационной инфраструктуры и бюджетам
Российской Федерации.
Законопроектом
предусматривается дополнить Кодекс Российской Федерации об административных
правонарушениях статьями, устанавливающими административную ответственность за
нарушение требований в области обеспечения безопасности критической
информационной инфраструктуры Российской Федерации и за неисполнение
обязанности по представлению сведений, предусмотренных законодательством в
области обеспечения безопасности критической информационной инфраструктуры.
Решение Правительства:
Одобрить проект федерального закона
«О внесении изменений в Кодекс Российской Федерации об административных
правонарушениях в части установления административной ответственности за
нарушение законодательства в области обеспечения безопасности критической
информационной инфраструктуры Российской Федерации» и внести его в
Государственную Думу в установленном порядке. https://gov-news.ru/news/1162812
Минцифры подготовило проект Указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры».
Проектом документа предполагается переход субъектов КИИ на преимущественное использование российского:
Меняется приказ о Требованиях доверия, множатся уголовные дела по теме КИИ, СМИ и блогеры публикуют материал за материалом - читайте в Дайджесте КИИ 187-ФЗ 2020-44 https://zlonov.com/kii187fz-2020-44
📣Информация ФСТЭК России об уровнях доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий
ФСТЭК России информирует об утверждении требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее - средства).
➡️ ⚠️ С 1 января 2021 г. признается утратившим силу приказ ФСТЭК России от 30 июля 2018 г. № 131 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
➡️ Устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.
Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории, в государственных информационных системах 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.
Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.
Средства, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
➡️ Устанавливается 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый.
В соответствии с Требованиями по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, средства должны проходить исследования по выявлению уязвимостей и недекларированных возможностей по уровню контроля, соответствующему уровню доверия.
Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля, 5 уровню доверия – по 5 уровню контроля, 4 уровню доверия – по 4 уровню контроля, 3 уровню доверия – по 3 уровню контроля, 2 уровню доверия – по 2 уровню контроля, 1 уровню доверия – по 1 уровню контроля.
Соответствующее информационное сообщение ФСТЭК России от 15 октября 2020 г. № 240/24/4268 «Об утверждении требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» опубликовано на сайте регулятора.
Forwarded from Валерий Комаров @blog_ruporsecurite
Очередное уголовное дело по 274.1 УК РФ передано в суд. География применения расширяется. “По версии следствия, обвиняемый, работая параллельно в двух компаниях сотовой связи, решил увеличить объем продаж одной из организаций за счет привлечения абонентов сторонних операторов.
Осознавая, что клиентская база абонентов является охраняемой компьютерной информацией, фигурант уголовного дела с 8 по 26 ноября 2019 года произвел выгрузку реестров, содержащих персональные данные более пяти тысяч абонентов в память собственного персонального компьютера.
Полученную в результате неправомерного доступа компьютерную информацию, являющуюся, в том числе, коммерческий тайной, мужчина использовал для продвижения на рынке услуг связи компании-конкурента.
Расследование уголовного дела проводилось УФСБ России по Волгоградской области, сотрудники которого также выявили и пресекли указанные деяния.” (Ahtuba34.ru). Карточка дела https://zent--vol.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&case_id=201447577&case_uid=9c279e17-9b2e-4ff6-8eb1-6ce3278cf33e&delo_id=1540006 Заседание назначено на 20.10.2020
Обновили список сертифицированных по требованиям безопасности ФСТЭК решений Cisco - https://t.co/PHMwaGhXwc
— Cisco Russia&CIS (@CiscoRussia) January 30, 2019
