Кислотный дизайн какой-то... Тяжело воспринимать. При этом спикерша вещает про то, как доносить MITRE ATT&CK до бизнеса... Боюсь, что с таким дизайном ее мало куда пустят. А может и вообще никуда не пускали... Судя по  советам это вполне реально. "Научитесь считать ROI от ваших инвестиций по ИБ, а потом научите ваших топ-менеджеров"... Ага, щазззз

Другое выступление тоже страдает от излишнего оформительства 😞 Даже читать такое сложно

Есть такая организация "Cyber Security Challenge UK" (под покровительством NCA) у которой есть сайт "Cyber Games UK", где публикуют различные браузерные игры на тему ИБ. Вот, сейчас новая игра доступна CyberLand - можно использовать в образовательных целях
https://cybergamesuk.com/cybergames

Новости законодательства

1️⃣ Официально опубликован Федеральный закон от 11.06.2021 №206-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который вносит изменения в КоАП, предусматривающие усиление административной ответственности за разглашение информации с ограниченным доступом, а также вводится новый состав правонарушения, которым устанавливается ответственность за незаконное получение информации с ограниченным доступом.

2️⃣  Госдума поддержала во втором чтении проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» в части уточнения перечня информации, распространение которой запрещено. Банк России сможет принимать решения, которые станут основанием для блокировки мошеннических и опасных сайтов, вводящих клиентов кредитных организаций или некредитных финансовых организаций в заблуждение относительно принадлежности информации в интернете, а также вследствие сходства доменных имен, оформления и содержания сайтов. ЦБ получит право блокировать определённый контент до решения суда, а также обращаться по такого рода делам в суд как заявителю, чего ранее регулятор был лишён. Это должно снизить масштаб хищений у граждан как мошенниками, так и хакерами.

3️⃣ С 01.07.2021 года вступает в силу Федеральный закон от 11.06.2021 №170-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации”, 74-я статья которого вносит изменения в ФЗ “О персональных данных”, позволяющие Роскомнадзору контролировать не только исполнение не только ФЗ-152 и подзаконных актов, но и другие федеральные законы, определяющие случаи и особенности обработки персональных, и нормативно-правовых актов изданных с целью их исполнения. На мой взгляд изменения носят скорее косметический, чем принципиальный характер.

4️⃣ ЦБ выпустил проект указания об отмене перечня угроз биометрическим ПДн, утвержденного совместным Указанием ЦБ и Ростелекома №4859-У/01/01/782-18. Сделано это в связи с принятием новых нормативных актов Банка России с перечнями угроз биометрическим персональным данным.

5️⃣ В Госдуму внесен законопроект, предусматривающий штрафы за принуждение потребителей к предоставлению персональных данных. Ответственность по данному законопроекту наступает в случае, если запрашиваемые ПДн не связаны напрямую со сделкой, которую заключает потребитель, и не требуются по закону. Штраф для юрлица, нарушившего требования нового закона, в случае его принятия, составит 30 – 50 тысяч рублей.

6️⃣ Госдума поддержала во втором чтении законопроект “О деятельности иностранных лиц в информационно-телекоммуникационной сети “Интернет” на территории Российской Федерации”, который распространяется не только на владельцев информационных ресурсов, доступ к которым в течение суток составляет более пятисот тысяч российских пользователей, но и на провайдеров хостинга, операторов рекламных систем, организаторов распространения информации в интернете, а также иных лиц, обеспечивающих размещение информационных ресурсов в Интернете, пользователи которых находятся в России. Иными словами, законопроект распространяются на любую иностранную компанию, которая имеет сайт в Интернете и на который заходят (или могут зайти) россияне. Перечень таких лиц должен быть составлен Роскомнадзором и они должны соблюдать требования законопроекта в случае его утверждения. За отказ предусмотрены различные меры понуждения к исполнению, вплоть до полного ограничения доступа к информационному ресурсу.

Вообще забавно читать комментарии про 16 отраслей американской экономики, которые Байден попросил Путина не атаковать. Сразу видно, насколько люди погружены в тему КИИ. Это не просто 16 отраслей, которые придумали к встрече в Женеве. Этот список КИИ был утвержден еще в 2013-м году Указом Президента США №13636 и его же директивой PPD-21. Точно такие же списки есть во многих странах мира, включая и Россию. Разве что наполнение немного отличается, но во многих аспектах эти перечни схожи

Что касается договоренности "не атаковать", то Россия может подписать все, что угодно. Но пока Россия официально не признала (и не признает) факт атак, всем подписанным соглашениям грош цена. На любую новую атаку, которая будет происходить с российских IP-адресов или от русскоговорящих групп, Россия ответит "это не мы" и формально к ней нельзя будет придраться (пока не будет представлено доказательств, которых пока еще ни разу не представили). Понятно, что американцы нам не поверять и будут вводить новые санкции. И эта музыка будет вечной. Поэтому даже если предположить, что Россия подпишет какой-нибудь меморандум о ненападении (в условиях, когда США доктринально готовы отвечать на кибератаки традиционными вооружениями), никаких изменений не произойдет.

Ну ,и наконец, последнее по поводу встречи Путина и Байдена. Любые переговоры - это предмет договоренностей и уступок "ты мне, я тебе". Все пишут только о том, что Байден "попросил" не атаковать критическую инфраструктуру США. Но никто не пишет, что взамен попросил Путин. И похоже, что Путин ничего не просил. А что он может просить в сфере кибербезопасности? Он не дурак и прекрасно понимает, что просить Америку не атаковать Россию бессмысленно. В условиях войны никто не будет соблюдать эти договоренности, а в условиях мира ни одно государство не признает, что оно стояло за атакой. А как бывший разведчик Путин прекрасно понимает, что работа деятельность спецслужб за пределами своего государства всего была, есть и будет незаконной в рамках законодательства государства, в котором действует разведчик (даже с приставкой "кибер"). Поэтому на словах можно соглашаться не вести разведывательную деятельность в киберпространстве, но на деле от этого никто не откажется - ни Россия, ни США. Путин это понимает и просить об этом смысла не имеет. Что же ему просить по вопросам киберпространства? Отмены санкций против Позитива, Инфотекса, Кванта и др.? Смешно. Просить отмены санкций на поставки ПО и железа в ряд предприятий ОПК? Тоже смешно и не сработает. Просить поделиться технологиями? Аналогично. Поэтому Путин ничего и не просил и поэтому по вопросам кибератак президенты двух стран так и не договорились ни о чем конкретном, кроме "обмена мнениями". И ждать изменений в этой сфере особо не приходится. Американцам предложить России нечего. А Путин просить у США ничего не будет. Так что "улыбаемся и машем" 😊

Планы по блокировкам VPN в России

Вот тут https://t.me/usher2/2044 идет дискуссия, что это, возможно, фейковый список. А возможно и нет. Но как говорится, praemonitus praemunitus, что с латыни переводится как "кто предупрежден, тот вооружен"

GitHub - google/kctf: kCTF is a Kubernetes-based infrastructure for CTF competitions https://t.co/1ZbDDXYqPf
— Alexey Lukatsky (@alukatsky) Jun 17, 2021

Introducing SLSA, an End-to-End Framework for Supply Chain Integrity

Под конец рабочей недели еще один пост с материалами от Google. Компания представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), в котором обобщён имеющийся опыт по защите инфраструктуры разработки от атак, осуществляемых на стадии написания кода, тестирования, сборки и распространения продукта. Фреймворк учитывает 8 видов атак, связанных с угрозами внесения вредоносных изменений на стадиях, указанных выше. Каждая атака описана существующим примером. Оригинал можно прочитать здесь.

#dev #ops

https://www.rbc.ru/society/18/06/2021/60cceeb19a79470455a6874d - надо давно признать, что в министерских коридорах давно уже нет адекватных людей и тех, кто мог бы неадекватным указать на их адекватность. Что мешает просто идентифицировать пользователей сайтов авиакомпаний, авиаагрегаторов и других продавцов авиабилетов через ЕСИА, которая ровно для этого и предназначена? Почему надо предлагать совершенно идиотские схемы, где верификатором станет сертификат о прививке (оставим в стороне тот факт, что его можно купить на черном рынке), который привязан к профилю в госуслугах, который в свою очередь завязан на ЕСИА? Или, по мнению авторов инициативы, это должно увеличить число прививающихся? Ну так вообще запретите покупать билеты на любой транспорт без прививки или ПЦР. А то ишь, полумеры и видимость бурной деятельности

Новости законодательства

1️⃣ Банк России разработал проект положения «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении деятельности в сфере финансовых рынков в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)». Скоро должно быть выпущено аналогичное положение для финансовых положений, а также два ГОСТа по операционной надежности.

2️⃣ Министерство цифрового развития, связи и массовых коммуникаций разработало проект приказа "Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации” (опупеть название).

3️⃣ На сайте Росстандарта выложен стандарт ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных». ГОСТ подготовлен на основе международного стандарта ISO/IEC 29101:2018 «Информационная безопасность – Меры безопасности – Концепция архитектуры, обеспечивающей защиту персональных данных» (Information technology - Security techniques - Privacy architecture framework).

4️⃣ На сайте Росстандарта выложен стандарт ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции». ГОСТ подготовлен на основе международного стандарта ISO/IEC 24760-1:2019 «Безопасность информационных технологий и обеспечение неприкосновенности частной жизни - Концепция управления идентификационными данными - Часть 1: Терминология и понятия» (IT Security and Privacy - A framework for identity management - Part 1: Terminology and concepts).

5️⃣ Банк России разработал проект положения “О требованиях к обеспечению бюро кредитных историй защиты информации”. Проект схож по своей концепции, структуре и требованиям с другими нормативными актами регулятора по защите информации, выпущенными в последнее время - выполнение ГОСТ 57580.1, уведомление ФинЦЕРТа об инцидентах, защита электронных сообщений и т.п.

Список ГОСТов по ИБ за июнь от Росстандарта:
ГОСТ Р 59343-2021
ГОСТ Р 59346-2021
ГОСТ Р 59352-2021
ГОСТ Р 59356-2021
ГОСТ Р 59381-2021
ГОСТ Р 59382-2021
ГОСТ Р 59383-2021
ГОСТ Р 59407-2021
ГОСТ Р 59494-2021
ГОСТ Р 59502-2021
ГОСТ Р 59503-2021
ГОСТ Р 59515-2021
ГОСТ Р 59516-2021
ГОСТ Р ИСО/МЭК 27000-2021
ГОСТ Р ИСО/МЭК 27003-2021
ГОСТ Р ИСО/МЭК 27017-2021
ГОСТ Р ИСО/МЭК 27033-2-2021
ГОСТ Р ИСО/МЭК 27033-4-2021
ГОСТ Р ИСО/МЭК 27033-5-2021
ГОСТ Р ИСО/МЭК 27034-2-2021
ГОСТ Р ИСО/МЭК 27034-3-2021
ГОСТ Р ИСО/МЭК 27036-1-2021
ГОСТ Р МЭК 63057-2021

​​Министерство
труда и социальной защиты Российской Федерации представило для общественного обсуждения проект профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере».

Что лучше - длина или объем или почему спецсимволы в пароле не нужны? https://t.co/2NEGtNo5L1
— Alexey Lukatsky (@alukatsky) Jun 22, 2021