Блоги

Отключение объекта КИИ от Интернет за несоблюдение требований ФСТЭК?

18.09.2020 Борисов Сергей , ведущий инженер нИБ
15 сентября в Минюсте был зарегистрирован (26 сентября 2020 г. вступает в силу) приказ ФСТЭК Росссии  от 28.05.2020 № 75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования"

Про обязательную сертификацию для всех без исключения значимых объектов КИИ

16.09.2020 Лукацкий Алексей , Бизнес-консультант по безопасности
Позавчера был опубликован принятый ФСТЭК еще в феврале приказ (видимо, на передержке держали) о внесении изменений в 239-й приказ с требованиями по обеспечению безопасности значимых объектов КИИ. Этим приказом регулятор, качество документов которого в последнее время скатилось ниже плинтуса, в очередной раз подтвердил, что думать о потребителях, то есть читателях своей нормативки, он не хочет и ему, в целом, наплевать на то, как будут выполняться новые требования. А требования достаточно примечательные.

Изменения в требованиях безопасности значимых объектов критической инфраструктуры (приказ 239)

15.09.2020 Борисов Сергей , ведущий инженер нИБ
11 сентября 2020 г. в Минюсте были зарегистрированы изменения в приказ ФСТЭКРоссии №239 "Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" Я подготовил для вас небольшой видео обзор основных изменений.

Основные федеральные законы в сфере информационной безопасности

15.09.2020 Шудрова Ксения, Эксперт по информационной безопасности
 Добрый день, коллеги! Привожу здесь свою шпаргалку по законодательству "Перечень основных федеральных законов в сфере ИБ". Список актуален на 15.09.2020.

Как ловить кибермафию с помощью анализа DNS (презентация)

15.09.2020 Лукацкий Алексей , Бизнес-консультант по безопасности
На прошлой неделе выступал на TLDCON 2020, конференции администраторов и регистраторов национальных доменов верхнего уровня, где рассказывал про возможности использования DNS для расследования инцидентов и анализа вредоносных инфраструктур, которые используют киберпреступники и мошенники для своих афер - рассылки вредоносных программ, хостинга командных серверов, фишинговых сайтов и т.п.

Видеонаблюдение и защита персональных данных

14.09.2020 Прозоров Андрей Алексеевич, Эксперт по ИБ
У меня на Патреоне (платная подписка) опубликованы 2 документа, раскрывающие требования и рекомендации по легитимному использованию систем видеонаблюдения в контексте защиты персональных данных и выполнения требований GDPR (в частности, ограничения по размещению камер, необходимые уведомления, ограничения по длительности хранения и все такое). В принципе, на них стоит ориентироваться и при обработке ПДн по 152-ФЗ.

О методологии исследования и обеспечения информационной безопасности

14.09.2020 Атаманов Геннадий Альбертович,
10-11 сентября 2020 г. на базе Елецкого государственного университета прошла IV международной научно-практической конференции...

Interesting Attack on the EMV Smartcard Payment Standard

14.09.2020 Шнайер Брюс , Американский криптограф
It’s complicated, but it’s basically a man-in-the-middle attack that involves two smartphones. The first phone reads the actual smartcard, and then forwards the required information to a second phone. That second phone actually conducts the transaction on the POS terminal. That second phone is able to convince the POS terminal to conduct the transaction without requiring the normally required PIN. From a news article:

Чужие номера телефонов

14.09.2020 Шауро Евгений Анатольевич, ИБ
Иногда бывают ситуации, когда клиент банка при заключении договора на банковское обслуживание или несколько позже сообщает чужой контактный номер телефона. Как правило это мобильный номер. Далее происходит юридическая коллизия. Если банки используют телефонный номер для идентификации клиента, то должна быть гарантия правильной принадлежности номера. Ведь на телефонные номера банки присылают одноразовые коды для подтверждения финансово значимых операций. Еще могут быть случаи, когда клиент меняет номер телефона, и последний переходит другого человеку.

Презентация по ИБ для руководства компании (презентация)

14.09.2020 Лукацкий Алексей , Бизнес-консультант по безопасности
 В пятницу, на CISO Forum, я завершал это отличное мероприятие мастер-классом о том, как надо готовить презентации и отчеты по ИБ для руководства компании. Тема эта непростая и за один час изложить ее непросто, но я попытался показать отдельные важные моменты. Рассказал и про то, на чем делать акцент, и что в отчете обязательно нужны KPI/КПЭ, привлекающие внимание, и как увязать KPI по ИБ с KPI топ-менеджера, и как учитывать интересы целевой аудитории и многое другое. Но все-таки час - это час. Границы времени не расширишь и многие практические лайфхаки остались за кадром.