Pdf

7 проблем при создании СОИБ АСУ ТП в 2025.pdf

Презентации с ИБ АСУ ТП КВО в публичный доступ, к сожалению, обычно попадают с большой задержкой, так что вот мой вчерашний доклад на ИБ АСУ ТП КВО.

Видеозапись докладов не велась, но, возможно, будут доступны аудиозаписи (надеюсь, наложенные на слайды).

Брошюра SFERRA.pdf

Кто-то уже давно должен был такое сделать!

Специализированный мобильный браузер SFERRA от компании SafeTech - альтернатива работе с, например, личным кабинетом банка через обычный мобильный браузер. Ждём теперь появление в магазинах приложений и запуска совместных проектов с банками.

• Пресс-релиз: https://safe.cnews.ru/news/line/2024-06-06_vozmozhnosti_nativa_dlya_web-adaptiva
• Сайт производителя: https://safe-tech.ru/products/sferra/
• SFERRA на Хабе Злонова: https://hub.zlonov.ru/products/SFERRA

Рынок инфраструктурного ПО.pdf

Обзор российского рынка инфраструктурного ПО от Strategy Partners:

• Российский рынок ПО вырос на 14% в 2023 году. Отмечается рост качества российских продуктов за счет притока финансовых и людских ресурсов на фоне ухода западных вендоров.
• Сегмент инфраструктурного ПО достиг 101 млрд рублей (прирост +31% к уровню 2022 года), но по-прежнему не достиг уровня 2021 года. Доля отечественных вендоров в сегменте превысила 50%.
• Прогноз ИТ-рынка в РФ на 2030 год сохраняется — он продолжит рост с темпами 13% год к году и достигнет 7,0 трлн рублей.
• Рынок средств резервного копирования вырос на 30% и приблизился к уровню 2021 года. Выручка лидера («Киберпротект») выросла на 122%
• Рынок решений для виртуализации вырос на 37% по причине высокого приоритета импортозамещения данного класса ПО у заказчиков

Пресс-релиз: https://strategy.ru/news/271 Новость Anti-Malware: https://www.anti-malware.ru/news/2024-05-30-114534/43479

Перечни типовых отраслевых ОКИИ.pdf

Перечни типовых отраслевых объектов КИИ - пока набралось суммарно 7 штук: транспорт, энергетика, здравоохранение, химическая, горнодобывающая, металлургическая и оборонная промышленность.

Эх, такие бы Перечни года два-три назад - сколько копий в полемиках не было бы сломано…

https://zlonov.ru/laws/перечни-типовых-отраслевых-окии/

UPD: + Перечень в сфере ТЭК

Исследование готовности субъектов КИИ к исполнению законодательства.pdf

Исследование К2 Кибербезопасность и Anti-Malware.ru о готовности субъектов КИИ к исполнению законодательства (187-ФЗ)

Другие отчёты и исследования тут: https://zlonov.ru/reports/

Pc7fHuejbNvqv17b0RJNv0RIqTo20lUV.pdf

Правительство утвердило Стратегию развития отрасли связи до 2035 года

…стратегией предусмотрено поэтапное внедрение новых поколений сетей связи на основе отечественных технологий, развитие отечественной защищённой инфраструктуры хранения данных, мероприятия для повышения надёжности, безопасности, отказоустойчивости сетей связи, развитие отечественной спутниковой группировки для оказания услуг связи на всей территории России.

Новость: http://government.ru/news/50304/

Реальность и перспективы российского рынка кибербезопасности 2023.pdf

Опубликованы результаты исследования по оценке развитости российского сегмента рынка информационной безопасности. В нём отражено мнение, полученное путём опроса представителей 120 организаций изо всех ключевых отраслей экономики и 26 вендоров в сфере ИБ.

Выборочные выводы:

• По мнению двух третей опрошенных заказчиков доля отечественного ПО в сфере ИБ в их компаниях составит, как минимум, 80% через 2 года.
• 90% компаний, штат которых превышает 10 тыс. человек, либо уже перешли, либо планируют переход на отечественное ПО с сфере ИБ в следующие 12 месяцев. В компаниях с числом сотрудников от 1 до 10 тыс. перешли только 27%. 45% организаций со штатом от 500 до 1 тыс. человек планируют переходить в ближайший год. Таким образом можно сделать вывод о том, что крупные компании, располагающие большими бюджетами, более оперативно адаптируются к новым условиям.
• 76% опрошенных заказчиков отметили рост числа киберугроз за последний год. При этом две трети компаний уверены, что способны эффективно противостоять угрозам. Однако лишь 28% привлекали для проверки сторонних экспертов. Таким образом восприятие уровня защищенности у топ-менеджмента компаний может быть искажено.
• Заказчики планируют в первую очередь переходить на отечественные решения в области ИБ в сферах аналитики и реагирования, а также сетевой безопасности. На эти две сферы пришлась почти половина ответов. Этот результат подтверждается ответами со стороны вендоров.
• Только 5% респондентов беспокоит отсутствие российских аналогов, что говорит о том, что уже сейчас отечественные разработчики предлагают аналогичные продукты во всех сферах ИБ.

Ссылка на исследование: https://worldmarketstudies.ru/article/realnost-i-perspektivy-rossijskogo-rynka-kiberbezopasnosti-2023-2025/ Статья на AM: https://www.anti-malware.ru/analytics/Market_Analysis/InfoSec-development-in-Russia-assessment Другие отчёты по ИБ: https://zlonov.ru/reports/

ПРОЕКТ стандарта защиты данных.pdf

Участники Ассоциации больших данных (АБД) работают над внедрением добровольного отраслевого стандарта защиты данных. Согласно подготовленной концепции этого стандарта планируются ежегодные аудиты кибербезопасности. Ведомости пишут, что разработка стандарта стала реакцией на обсуждаемое введение оборотных штрафов за утечки данных.

Предполагается введение 26-ти критериев/метрик. При этом, например, при наличии в БД более 500 тыс записей нужно набрать не менее 18 баллов (по каждому критерию максимум составляет 1 балл), чтобы процессы в организации были признаны эффективными.

Статья в Ведомостях: https://www.vedomosti.ru/technology/articles/2023/11/03/1004188-audit-kiberbezopasnosti-ezhegodnim Пресс-релиз АБД: https://rubda.ru/association_news/rossijskie-it-kompanii-razrabotali-konczepcziyu-otraslevogo-standarta-zashhity-dannyh/ Члены АБД: https://rubda.ru/chlenstvo/uchastniki/

Обзор российского рынка инфраструктурного ПО и перспективы его.pdf

Обзор российского рынка инфраструктурного ПО и анализ перспектив его развития от Strategy Partners.

Некоторые выводы:

• Российский ИТ-рынок находится в стадии активного формирования и обладает значительным потенциалом для дальнейшего роста. В период до 2030 г. рост российского ИТ-рынка будет существенно опережать темпы роста ВВП; ежегодный рост составит 12%, а отношение расходов на информационные технологии к размеру ВВП достигнет 2,8% к 2030 г. Фундаментом роста российского ИТ-рынка станет продолжающаяся цифровизация экономики, активное импортозамещение продуктов западных вендоров, а также беспрецедентный уровень государственной поддержки ИТ-сектора

• Продажи российских разработчиков на рынке инфраструктурного ПО будут расти с опережающей скоростью до 2030 г.: среднегодовой темп роста, по нашим оценкам, составит 31%. Рост требований к информационной безопасности и защищенным ИТ-решениям будет способствовать росту спроса на отечественные разработки и переходу в том числе на сертифицированные ИТ-продукты.

A32 36944 2022 20230629 Postanovlenie apelljacionnoj instancii.pdf

Случай явно вырожденный, но всё равно показательный: Суд в Ростове-на-Дону признал эмодзи эквивалентом подписи в документе.

Суть кратко: __Предприниматель из Ростова-на-Дону в марте 2022 года должен был поставить заказчику торговый киоск в виде ретрофургона Volkswagen. Согласно заключенному договору, обе стороны признавали юридическую силу документов, в том числе полученных по почте или в одном из мессенджеров.

Покупатель заплатил задаток в размере 480 тысяч рублей. Цветовое решение киоска стороны должны были утвердить допсоглашением. Однако цвет обсудили в мессенджере. На предложение заказчик ответил значком «рука с поднятым вверх большим пальцем».

Фургон не был поставлен в срок, в связи с чем заказчик потребовал возвратить задаток. Тогда поставщик напомнил заказчику о том, что цвет фургона в мессенджере они согласовали на четыре дня позже обещанной доставки, поэтому вовремя услугу предоставить было невозможно.

Суд счел смайл достаточным для закрепления договоренностей.__

Карта ИТ в нефтегазе.pdf

Карта российских ИТ-решений для нефтегазовой отрасли от компании КРОК

30gRZNbWYmfLN7G5BbAYMma8NlMCH7T3.pdf

Вот и “официальный наследник” Эмерсон в России: Распоряжение о специальном решении о совершении сделок ООО «Метран Холдинг».

Эмерсон в плане ИБ (АСУ ТП) был одним из активных (и успешных) игроков рынка.

ЦСР.pdf

Sozdaniye i khraneniye paroley.png.pdf

Плакат: Как безопасно использовать и хранить пароли

Biometric authentication.png.pdf

Плакат: Безопасное использование биометрии

RTK Solar issledovanie Moshennichestvo i slivy dannykh v rossyskikh.pdf

А вы верите исследованиям с ошибкой на первой же странице? =)

#DLP #аналитика

SCADAfence-2022-Industry-Report-Web-Version-1.pdf

SCADAfence опубликовала результаты глобального опроса специалистов по кибербезопасности в сферах IT и OT: Выводы показывают, что нехватка хорошо обученного персонала служб безопасности OT, человеческие ошибки и отсутствие контроля над сетями OT являются причинами увеличения числа атак OT по всему миру.

recomendovannye analogi.pdf

Минцифры России составило список социальных сетей, мессенджеров, сервисов и программ, которыми россияне смогут пользоваться вместо зарубежных аналогов.

Источник: https://d-russia.ru/mincifry-sostavilo-perechen-rekomendovannyh-rossijskih-reshenij-dlja-zameny-inostrannogo-po-i-it-servisov.html

0001202203300001.pdf

c 31 марта 2022 г. заказчики (за исключением оргaнизаций c муниципальным участием), оcyществляющие закупки в соответствии c 223-Ф3 (далее - заказчики), не могут осуществлять закупки иностранного ПО, в том числе в составе программно-аппаратных комплексов, в целях его использования на принадлежащих им значимых объектах КИИ, a также закупки услуг, необходимых для использования этого ПО на таких объектах, без согласования возможности осуществления закупок c ФОИВ, уполномоченным Правительством РФ

c 1 января 2025 г. органам государственной власти, заказчикам [определение см.выше] запрещается использовать иностранное ПО на принадлежащих им значимых объектах КИИ

http://publication.pravo.gov.ru/Document/View/0001202203300001

ALRT-20220317.1.pdf

НКЦКИ предупреждает об уязвимости в OpenSSL

Уровень угрозы: КРИТИЧЕСКИй

“В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.”

https://safe-surf.ru/specialists/news/676563/

Рекомендации, направленные на снижение риска полной блокировки.pdf

Разосланные заказчикам USSC-SOC на днях “Рекомендации, направленные на снижение риска полной блокировки FortiGate”. Быть может, ещё не поздно…

CyberLympha Защита АСУ ТП здесь и сейчас 1 0.pdf

Компания СайберЛимфа подготовила экспресс-рекомендации по настройке встроенных механизмов защиты компонентов АСУ ТП.

CSI CISCO PASSWORD TYPES BEST PRACTICES 20220217.PDF

Агентство национальной безопасности (АНБ) опубликовало руководство с рекомендациями по защите устройств сетевой инфраструктуры и их учётных данных: «Типы паролей Cisco: лучшие практики».

layering-network-security-segmentation infographic 508 0.pdf

CISA опубликовало инфографику, чтобы подчеркнуть важность сегментации сети.

**Преимущества сегментации между ИТ и ОТ сетями: **• Сегментированные зоны изолируют и защищают ценные активы и данные. • Вредоносный трафик легче обнаружить, предотвратить и сдержать. • Злоумышленники должны преодолеть несколько межсетевых экранов и других рубежей для доступа к среде OT.

Карта взаимосвязей базовых нормативных актов в области защиты информации.pdf

Карта взаимосвязей базовых нормативных актов в области защиты информации от компании Бастион.

1-025-20-20546-2019-end.pdf

В России утвержден первый (скоро ещё 8) национальный стандарт в области больших данных.

К посту приложен проект его текста.

Новость: https://www.vedomosti.ru/technology/articles/2021/07/15/878242-utverzhden-pervii-standart-v-oblasti-bolshih-dannih

CSET-AI-Accidents-An-Emerging-Threat.pdf

Аналитический центр CSET (Center for Security and Emerging Technology) опубликовал компактный (20 страниц текста) отчёт об угрозах искуственного интеллекта AI Accidents: An Emerging Threat. What Could Happen and What to Do.

По мере того как современные системы машинного обучения становятся все более широко используемыми, потенциальный ущерб от возможных ошибок возрастает. В этом документе описывается, как тенденции, которые мы наблюдаем сегодня - как в недавно развернутых системах искусственного интеллекта, так и в старых технологиях, - показывают, насколько разрушительными могут быть аварии с ИИ в будущем. В нем описывается широкий спектр гипотетических, но реалистичных сценариев, иллюстрирующих риски аварий с ИИ, и предлагаются конкретные меры по снижению этих рисков.

https://cset.georgetown.edu/publication/ai-accidents-an-emerging-threat/

document-158908.pdf

Минэнерго совместно c ФСБ России, ФСТЭК России и Минцифрой разработали базовую модель угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности). Распознанный текст приложен. Ссылка на публикацию на сайте: https://minenergo.gov.ru/node/20966

425.pdf

Плакат SANS ICS по оценке (assessment) ICS на базе NIST Cybersecurity Framework.

Kaspersky-ICS-CERT-2021-Obespechenie-bezopasnosti-kii.pdf

Обеспечение безопасности КИИ. Что год текущий нам готовит…

Перечень новаций 2021 выглядит следующим образом:

• субъекты КИИ должны создать силы обеспечения безопасности значимых обфъектов КИИ;
• вносятся изменения в Кодекс Российской Федерации об административных правонарушениях (КоАП) за нарушения в области обеспечения безопасности КИИ;
• начинает работать государственный (инспекторский) контроль обеспечения безопасности КИИ со стороны ФСТЭК России.

Приказ Министерства здравоохранения московской области №1123 от.pdf

Приказ Министерства здравоохранения московской области №1123 от 20 августа 2020 “Об утверждении методических рекомендаций по определению объектов критической информационной инфраструктуры и категорий значимости объектов критической информационной инфраструктуры на объектах информатизации медицинских организаций для учреждений государственной системы здравоохранения Московской области”

LastPass-B2C-Assets-Ebook.pdf

Отчёт LastPass по вопросам психологии и ИБ - “Psychology of Passwords: The Online Behavior That’s Putting You at Risk”.

to rkn.pdf

Роскомнадзор официально пояснил, что для предоставления сервисов IoT не требуется наличие лицензии на оказание услуг связи: Роскомнадзор рассмотрел обращение Ассоциации интернета вещей и сообщил, что услуги по предоставлению решений в области интернета вещей, таких как удаленный контроль состояния различных объектов, экологический мониторинг, сбор полевых данных для сельского хозяйства, удаленный сбор данных с приборов учета ЖКХ, объектов энергетики являются информационными услугами, а не услугами связи.

posobie po kii.pdf

Коллеги подготовили краткое пособие по безопасности КИИ.

Постановление Правительства РФ №452.pdf

В виде PDF с возможностью поиска: Постановление Правительства Российской Федерации от 13.04.2019 № 452 “О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127”