У меня вот такой еще есть 😊
Size: a a a
2021 July 21
2021 July 22
АНБ продолжает выпускать интересные головоломки https://t.co/4e06Gsscgu
— Alexey Lukatsky (@alukatsky) Jul 22, 2021
— Alexey Lukatsky (@alukatsky) Jul 22, 2021
Вот поэтому я забросил книгу по законодательству ИБ ;-(
👎 Вице-премьер Дмитрий Григоренко оценил качество проектов актов, подготовленных и внесенных бюрократами в Правительство за первые пять месяцев 2021 года. Выяснилось, что аж 52% поступивших проектов не соответствуют регламенту, содержат недостатки правового и лингвистического характера, грамматические и орфографические ошибки.
Топ-10 критических нарушений выглядит так:
1) Отсутствие обязательных заключений/результатов экспертиз – 37%;
2) Наплевательское отношение к пояснительной записке – 23%;
3) Отсутствие необходимых согласований – 20%;
4) Непредоставление обязательного протокола заседания Правкомиссии по проведению административной реформы – 18%;
5) Нахальное внесение актов с неурегулированными разногласиями – 13%;
6) Отсутствие внятного обоснования самой необходимости акта – 10%;
7) Отсутствие финансово-экономического обоснования – 10%;
8) Наплевательское отношение к процедуре ОРВ – 9%;
9) Внесение акта неуполномоченным самозванцем – 4%;
10) Наплевательское отношение к процедуре общественного слушания – 4%.
В аппарате Правительства устали исправлять документы, которые содержат:
1) Глупые лингвистические и стилистические ошибки – 45%;
2) Грамматические и орфографические ошибки – 43%;
3) Неверные ссылки на источник – 43%;
4) Ошибки правового характера – 32%;
5) Несоблюдение сформированных подходов и сложившейся практики – 22%;
6) Ошибки при форматировании текста – 22%;
7) Ошибки в таблицах – 11%;
8) Дублирование предложений, по которым уже приняты решения – 3%.
Дмитрий Юрьевич считает: из-за того, что ряд бюрократов не способен подготовить качественные документы в срок возникают репутационные риски для всего Правительства, а также замедляется развитие российской экономики. От самых обнаглевших чиновников господин Григоренко потребовал прекратить ставить куда ни попадя пометку «Для служебного пользования» ради очевидного обхода обязательной процедуры общественных обсуждений. А всем остальным он поручил тщательно прорабатывать как суть, так и непосредственные тексты вносимых актов, и помнить: в Правительстве фиксируют «косяки» каждого исполнителя по документу, а также его руководителя.
Топ-10 критических нарушений выглядит так:
1) Отсутствие обязательных заключений/результатов экспертиз – 37%;
2) Наплевательское отношение к пояснительной записке – 23%;
3) Отсутствие необходимых согласований – 20%;
4) Непредоставление обязательного протокола заседания Правкомиссии по проведению административной реформы – 18%;
5) Нахальное внесение актов с неурегулированными разногласиями – 13%;
6) Отсутствие внятного обоснования самой необходимости акта – 10%;
7) Отсутствие финансово-экономического обоснования – 10%;
8) Наплевательское отношение к процедуре ОРВ – 9%;
9) Внесение акта неуполномоченным самозванцем – 4%;
10) Наплевательское отношение к процедуре общественного слушания – 4%.
В аппарате Правительства устали исправлять документы, которые содержат:
1) Глупые лингвистические и стилистические ошибки – 45%;
2) Грамматические и орфографические ошибки – 43%;
3) Неверные ссылки на источник – 43%;
4) Ошибки правового характера – 32%;
5) Несоблюдение сформированных подходов и сложившейся практики – 22%;
6) Ошибки при форматировании текста – 22%;
7) Ошибки в таблицах – 11%;
8) Дублирование предложений, по которым уже приняты решения – 3%.
Дмитрий Юрьевич считает: из-за того, что ряд бюрократов не способен подготовить качественные документы в срок возникают репутационные риски для всего Правительства, а также замедляется развитие российской экономики. От самых обнаглевших чиновников господин Григоренко потребовал прекратить ставить куда ни попадя пометку «Для служебного пользования» ради очевидного обхода обязательной процедуры общественных обсуждений. А всем остальным он поручил тщательно прорабатывать как суть, так и непосредственные тексты вносимых актов, и помнить: в Правительстве фиксируют «косяки» каждого исполнителя по документу, а также его руководителя.
Думая, я не ошибусь, если предположу, что вы слышали такую аббревиатуру как MITRE ATT&CK, за которой скрывается проект, поддержанный мировым сообществом по кибербезопасности, и который позволяет описать техники и тактики атак, используемых современными злоумышленниками?! Этот проект представляет не только академический интерес, но он лежит в основе множества практических процессов информационной безопасности – тестирование и выбор средств защиты информации, поиск следов атак, моделирование угроз, оценка эффективности мониторинга ИБ в SOC и т.п. Схожая концепция сегодня принята и ФСТЭК России, которая в новой методике оценки угроз, также использует техники и тактики атак при определении негативных событий и последствий от их реализации. Чем хороша и чем плоха матрица MITRE ATT&CK? Как можно использовать ее на практике? Какие проекты на базе MITRE ATT&CK еще существуют и как их можно применять в практике обеспечения ИБ своей организации? Как MITRE ATT&CK использовать при построении и аудите SOC? Как проект MITRE Shield может быть использован для проектирования системы защиты? Как соотнести техники и тактики матрицы MITRE ATT&CK с аналогичными понятиями ФСТЭК? Наконец, как матрица MITRE ATT&CK используется в продуктах и сервисах компании Cisco? Обо всем этом я буду говорить 5-го августа на бесплатном вебинаре, зарегистрироваться на который можно будет по адресу: https://cvent.me/YP2mlE?RefId=Luk_Telegram+personal
2021 July 23
Новости законодательства #дайджест
1️⃣ ФСТЭК России анонсировала начало работ по разработке нормативных правовых актов, вносящих изменения в:
📍Положение о лицензировании деятельности по технической защите конфиденциальной информации, утверждённое постановлением Правительства Российской Федерации от 03.02.2012 № 79.
📍Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утверждённое постановлением Правительства Российской Федерации от 03.03.2012 № 171.
Изменения связаны с переходом на реестровую модель. Но текста изменений пока не выложено.
2️⃣ Минэнерго совместно c ФСБ России, ФСТЭК России и Минцифрой разработали базовую модель угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности). Структура и содержание модели угроз не соответствует методике оценки угроз ФСТЭК, утвержденной 5-го февраля, но почему-то согласована самой ФСТЭК.
3️⃣ Председатель правительства Михаил Мишустин дал поручения Минцифры и Минпромторгу, при участии ФСБ и ФСТЭК, рассмотреть предложения АО «Лаборатория Касперского» и 1С по вопросу подготовки специалистов в области информационной безопасности, а также о о корректировке правовой базы, в том числе национальных стандартов, в области информационной безопасности и по вопросам, требующим решения правительства Российской Федерации.
4️⃣ ФСТЭК подготовила проект национального стандарта ГОСТ Р “Управление инцидентами, связанными с безопасностью информации. Принципы менеджмента инцидентов”, который является гармонизированной версией международного стандарта ISO 27035-1
5️⃣ ФСТЭК подготовила проект национального стандарта ГОСТ Р “Управление инцидентами, связанными с безопасностью информации. Руководство по планированию и подготовке к реагированию на инциденты”, который является гармонизированной версией международного стандарта ISO 27035-2
6️⃣ ФСТЭК подготовила проект национального стандарта ГОСТ Р “Управление инцидентами, связанными с безопасностью информации. Руководство по реагированию на инциденты в сфере информационных и компьютерных технологий”, который является гармонизированной версией международного стандарта ISO 27035-3
7️⃣ ФСБ разработала проект приказа “”Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранным государством, его государственными органами, международной или иностранной организацией, иностранными гражданами или лицами без гражданства могут быть использованы против безопасности Российской Федерации”, который перечисляет 61 тип военных и военно-технических сведений, не отнесенных к государственной тайне, разглашение которых может представлять угрозу национальной безопасности и повлечь за собой обвинение по статье 275 УК РФ “Государственная измена”. Среди прочего к таким сведениям относятся данные о ГосСОПКЕ и инцидентах на предприятиях ОПК, а также сведения о закупках средств информатизации и защиты информации для нужд ОПК. К таким сведения согласно проекта также относятся сведения о работе государственных информационных систем, моделях угроз и нарушителей для них, систем безопасности ГИС, настройках средств защиты информации и т.п. Наконец, проект приказа упоминает и сведения об обеспечении информационной безопасности в области космической деятельности.
1️⃣ ФСТЭК России анонсировала начало работ по разработке нормативных правовых актов, вносящих изменения в:
📍Положение о лицензировании деятельности по технической защите конфиденциальной информации, утверждённое постановлением Правительства Российской Федерации от 03.02.2012 № 79.
📍Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утверждённое постановлением Правительства Российской Федерации от 03.03.2012 № 171.
Изменения связаны с переходом на реестровую модель. Но текста изменений пока не выложено.
2️⃣ Минэнерго совместно c ФСБ России, ФСТЭК России и Минцифрой разработали базовую модель угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности). Структура и содержание модели угроз не соответствует методике оценки угроз ФСТЭК, утвержденной 5-го февраля, но почему-то согласована самой ФСТЭК.
3️⃣ Председатель правительства Михаил Мишустин дал поручения Минцифры и Минпромторгу, при участии ФСБ и ФСТЭК, рассмотреть предложения АО «Лаборатория Касперского» и 1С по вопросу подготовки специалистов в области информационной безопасности, а также о о корректировке правовой базы, в том числе национальных стандартов, в области информационной безопасности и по вопросам, требующим решения правительства Российской Федерации.
4️⃣ ФСТЭК подготовила проект национального стандарта ГОСТ Р “Управление инцидентами, связанными с безопасностью информации. Принципы менеджмента инцидентов”, который является гармонизированной версией международного стандарта ISO 27035-1
5️⃣ ФСТЭК подготовила проект национального стандарта ГОСТ Р “Управление инцидентами, связанными с безопасностью информации. Руководство по планированию и подготовке к реагированию на инциденты”, который является гармонизированной версией международного стандарта ISO 27035-2
6️⃣ ФСТЭК подготовила проект национального стандарта ГОСТ Р “Управление инцидентами, связанными с безопасностью информации. Руководство по реагированию на инциденты в сфере информационных и компьютерных технологий”, который является гармонизированной версией международного стандарта ISO 27035-3
7️⃣ ФСБ разработала проект приказа “”Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранным государством, его государственными органами, международной или иностранной организацией, иностранными гражданами или лицами без гражданства могут быть использованы против безопасности Российской Федерации”, который перечисляет 61 тип военных и военно-технических сведений, не отнесенных к государственной тайне, разглашение которых может представлять угрозу национальной безопасности и повлечь за собой обвинение по статье 275 УК РФ “Государственная измена”. Среди прочего к таким сведениям относятся данные о ГосСОПКЕ и инцидентах на предприятиях ОПК, а также сведения о закупках средств информатизации и защиты информации для нужд ОПК. К таким сведения согласно проекта также относятся сведения о работе государственных информационных систем, моделях угроз и нарушителей для них, систем безопасности ГИС, настройках средств защиты информации и т.п. Наконец, проект приказа упоминает и сведения об обеспечении информационной безопасности в области космической деятельности.
8️⃣ ФСТЭК подготовила изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127. Изменения несущественные и касаются необходимости направить в ФСТЭК обновленные сведения о ОКИИ, если они изменялись, а также расширения числа органов ведомственного и отраслевого контроля/надзора, которые могут мониторить состояние дел с категорированием ОКИИ. Наконец, в проект Постановления прямо включена норма о том, что непредоставление или нарушение сроков предоставления данных о категорировании влечет за собой административную ответственность.
9️⃣ ФСТЭК подготовила еще один проект изменений в положение о лицензировании деятельности по технической защите конфиденциальной информации, в котором среди прочего запрещается получать лицензию на ТЗКИ иностранному юридическому лицу, а также запрещает осуществлять лицензируемую деятельность из дома
1️⃣0️⃣ ФСТЭК подготовила еще один проект изменений в положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, который мало чем отличается по предлагаемым изменениям от проекта, упомянутого в предыдущем пункте.
#дайджест
9️⃣ ФСТЭК подготовила еще один проект изменений в положение о лицензировании деятельности по технической защите конфиденциальной информации, в котором среди прочего запрещается получать лицензию на ТЗКИ иностранному юридическому лицу, а также запрещает осуществлять лицензируемую деятельность из дома
1️⃣0️⃣ ФСТЭК подготовила еще один проект изменений в положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, который мало чем отличается по предлагаемым изменениям от проекта, упомянутого в предыдущем пункте.
#дайджест
Гартнер выпустил новый магический квадрат по решениям по управлению привилегированным доступом. Сам отчет можно найти на сайтах упомянутых в отчете производителей - они дают ссылки на Gartner, откуда отчет можно скачать
Запилил я тут в качестве эксперимента облегченную модель зрелости по 239-му приказу ФСТЭК (для ОКИИ), которая позволяет быстро оценить, насколько хорошо у вас выстроена система ИБ и куда вам нужно стремиться. В формате Excel. Выглядит таким образом:
На выходе получается вот такой результат:
Будет ли полезна такая модель или это все нафиг никому не нужно?
Анонимный опрос
Проголосовало: 803Посмотрю на голосовалку и если голосование будет положительным, то выложу сюда файлик
2021 July 24
Принимаемый в США закон (Cyber Incident Notification Act) будет обязывать американские госорганы сообщать об инцидентах в течение 24 часов. Россия в этом вопросе обогнала американцев. Правда, у нас такое требование только для КИИ и финансовых организаций! https://t.co/N2wiYj7vHP
— Alexey Lukatsky (@alukatsky) Jul 24, 2021
— Alexey Lukatsky (@alukatsky) Jul 24, 2021
Топ8 специальностей в ИБ в США и сколько им платят https://t.co/tx3JfDRvHv
— Alexey Lukatsky (@alukatsky) Jul 24, 2021
— Alexey Lukatsky (@alukatsky) Jul 24, 2021
2021 July 25
На сайтах многих VM-вендоров можно найти ссылки на свежий Market Guide for Vulnerability Assessment от Gartner. Александр Леонов сделал обзор у себя в блоге (на английском) интересных моментов этого отчета - https://avleonov.com/2021/07/25/my-thoughts-on-the-2021-gartner-market-guide-for-vulnerability-assessment-what-about-the-quality/
2021 July 26
Минцифры таки дозрело до определения понятия «государственная информационная система» - https://t.co/j66EoBOGkV
— Alexey Lukatsky (@alukatsky) Jul 26, 2021
— Alexey Lukatsky (@alukatsky) Jul 26, 2021