Dow Jones неправильно настроил сервер AWS и раскрыл данные 2,4 млн банковских клиентов, в том числе политиков https://t.co/DaKB0HPvOe
— TAdviser (@TAdviser) March 1, 2019
Size: a a a
2019 March 01
Третья игра будет посвящена сетевой безопасности https://t.co/njFJdsT08L
— Alexey Lukatsky (@alukatsky) March 1, 2019
— Alexey Lukatsky (@alukatsky) March 1, 2019
2019 March 04
Какое главное слово в словосочетании "Threat Intelligence"? https://t.co/GrNXymHEFn
— Alexey Lukatsky (@alukatsky) March 4, 2019
— Alexey Lukatsky (@alukatsky) March 4, 2019
Доставили. Занимательная книжка pic.twitter.com/e2fYWSc4KO
— Alexey Lukatsky (@alukatsky) March 4, 2019
— Alexey Lukatsky (@alukatsky) March 4, 2019
@alukatsky "По данным института Карнеги — Меллона, который уже много лет занимается исследованиями надежности ПО, среднестатистическая программа содержит до 15 ошибок/уязвимостей на 1000 строк кода и 5% из них критичны для безопасности" https://t.co/HFQpXv958O #иб #CyberSecurity pic.twitter.com/4USts2R4kO
— ALLCIO (@Allcio_Manager) March 4, 2019
— ALLCIO (@Allcio_Manager) March 4, 2019
Статистика аудита по 382-П. Новость от 04.03.2019 https://t.co/jmGGLzwH8v
— Александр Цахариас (@atsakharias) March 4, 2019
— Александр Цахариас (@atsakharias) March 4, 2019
Написал статью про установку и настройку СКЗИ, в качестве примера - подключение к НКЦКИ https://t.co/QAEuA1WKRH pic.twitter.com/Ia12aAAhZG
— Alexander Veselov (@a1ex_vese1ov) March 4, 2019
— Alexander Veselov (@a1ex_vese1ov) March 4, 2019
Предполагаемые изменения в 239 приказ ФСТЭК России
В след за изменениями в 235 и 236 приказы ФСТЭК России подготовила щепотку уточнений и в свой 239 приказ. Таким образом регулятор предлагает:
- допустить возможность уточнение категории значимого объекта в процессе его проектирования;
- установить требования к средствам защиты информации по уровням доверия в зависимости от категории значимого объекта;
- установить обязательность применения в значимых объектах только сертифицированных на соответствие требованиям по безопасности информации маршрутизаторов;
- запретить в значимом объекте обработку информации за пределами территории Российской Федерации;
- обязать размещать программные и программно-аппаратные средства, в том числе средства защиты информации, входящие в состав значимого объекта только на территории Российской Федерации.
Кроме этого ФСТЭК России предлагает ряд мелких правок, а также изменения в обязательность реализации тех или иных мер по обеспечению безопасности для значимого объекта в зависимости от категории значимости.
Ждем размещения предложений на Федеральном портале проектов нормативных правовых актов для публичного обсуждения.
В след за изменениями в 235 и 236 приказы ФСТЭК России подготовила щепотку уточнений и в свой 239 приказ. Таким образом регулятор предлагает:
- допустить возможность уточнение категории значимого объекта в процессе его проектирования;
- установить требования к средствам защиты информации по уровням доверия в зависимости от категории значимого объекта;
- установить обязательность применения в значимых объектах только сертифицированных на соответствие требованиям по безопасности информации маршрутизаторов;
- запретить в значимом объекте обработку информации за пределами территории Российской Федерации;
- обязать размещать программные и программно-аппаратные средства, в том числе средства защиты информации, входящие в состав значимого объекта только на территории Российской Федерации.
Кроме этого ФСТЭК России предлагает ряд мелких правок, а также изменения в обязательность реализации тех или иных мер по обеспечению безопасности для значимого объекта в зависимости от категории значимости.
Ждем размещения предложений на Федеральном портале проектов нормативных правовых актов для публичного обсуждения.
2019 March 05
ФСТЭК планирует внести в 239-й приказ требование о размещении применяемых в ЗОКИИ средств, в том числе СЗИ, только на территории РФ.
Прощай облачная аналитика по ИБ и получение IoC (и сервера патчей)! Да здравствует Средневековье! С таким регулированием никаких врагов не надо!— Alexey Lukatsky (@alukatsky) March 5, 2019
Прощай облачная аналитика по ИБ и получение IoC (и сервера патчей)! Да здравствует Средневековье! С таким регулированием никаких врагов не надо!— Alexey Lukatsky (@alukatsky) March 5, 2019
Прекрасное название документа «О форме и порядке направления в Банк России уведомления, содержащего информацию, которая не раскрывается и (или) не предоставляется» ;-) Перечитываю уже седьмой раз и пытаюсь въехать в название, но увы...
— Alexey Lukatsky (@alukatsky) March 5, 2019
— Alexey Lukatsky (@alukatsky) March 5, 2019
АНБ по тихому перестала СОРМить звонки граждан США, которые плавно перетекли в мессенджерами. Королями теперь являются не ОпСоСы, выброшенные на свалку истории, а владельцы мессенджеров https://t.co/l9QF6wPj7s
— Alexey Lukatsky (@alukatsky) March 5, 2019
— Alexey Lukatsky (@alukatsky) March 5, 2019
200 записанных докладов с RSA Conference в режиме onDemand. Будет доступно в записи, начиная с 5-го марта (по времени Калифорнии) по мере выступлений - https://t.co/5CK3zPjS7T
— Alexey Lukatsky (@alukatsky) March 5, 2019
— Alexey Lukatsky (@alukatsky) March 5, 2019
Банк России выпустил интересный отчет "Облачные технологии на финансовом рынке: практика и перспективы" - https://t.co/3lOWwEfvRu Вот ЦБ вполне себе видит применение такой модели у финансовых организаций. А натянуть 239-й приказ ФСТЭК на финтех-облака оооочень проблематично.
— Alexey Lukatsky (@alukatsky) March 5, 2019
— Alexey Lukatsky (@alukatsky) March 5, 2019
Презентации с конференции ИБ АСУ ТП КВО - http://www.ибкво.рф/prezentatsii-2019.html
— Alexey Lukatsky (@alukatsky) March 5, 2019
— Alexey Lukatsky (@alukatsky) March 5, 2019
2019 March 06
Киберучения, VR-экскурсия, ИБ-баня и куча эксклюзивных мастер-классов! https://t.co/rqsNsJQNGr
— Alexey Lukatsky (@alukatsky) March 6, 2019
— Alexey Lukatsky (@alukatsky) March 6, 2019
Проект изменений в 239-й приказ ФСТЭК по КИИ - https://t.co/q5zyhEhjds
— Alexey Lukatsky (@alukatsky) March 6, 2019
— Alexey Lukatsky (@alukatsky) March 6, 2019
2019 March 10
Наблюдение из SOC на RSAC (поддерживался Cisco и RSA): более 100 тысяч логинов и паролей передавалось в открытом виде. И это на выставке по безопасности!
— Alexey Lukatsky (@alukatsky) March 10, 2019
— Alexey Lukatsky (@alukatsky) March 10, 2019
Исследователи опросили разработчиков-фрилансеров о том, как они реализуют хранение паролей? 60% хранят пароли в открытом виде. SDLC? SecDevOps? Нет, не слышали. https://t.co/cEeEyHkuoi
— Alexey Lukatsky (@alukatsky) March 10, 2019
— Alexey Lukatsky (@alukatsky) March 10, 2019