📍Сегодня бизнес всё чаще располагает рабочие нагрузки в облаках, чему способствуют как рыночные условия, так и возможность оптимизации затрат.

Рассказали об экономике владения ИТ “на земле” и в облаке:
✅ как рассчитать полную стоимость владения ИТ-инфраструктурой;
✅ из чего состоят расходы;
✅ чем они отличаются в локальной и облачной среде;
✅ 5 способов получения более выгодных условий.

Подробнее здесь

#бизнес_ИТ #полезное

🔑Значимые утечки данных в 2022 году

Утечки данных происходят каждый второй день – подсчитали в новом отчёте “Лаборатории Касперского”.

Из результатов:
– 168 – количество значимых* утечек;
– 2,1 млрд строк данных опубликовано;
– примерно 300 млн – общее количество слитых данных пользователей;
– в 16% случаев встречаются утечки паролей;
– 28% компаний открыто прокомментировали факт утечки;
– на 20% – вырастет количество сливов в 2023 году.

Подробнее:
🔐 об утечках в цифрах;
🔐 реакции бизнеса на взломы;
🔐 мерах защиты -

🗣рассказали в материале.

*Значимая утечка — утечка данных, в результате которой было скомпрометировано более 5 тысяч строк пользовательских данных или которая получила резонанс в СМИ.

#утечки

📣📣📣📣📣Вступление в силу НПА по ПДн

Коллеги, напоминаю, что с сегодняшнего дня вступают в силу следующие подзаконные нормативные правовые акты, обеспечивающие реформу 152-ФЗ:

✅Постановление Правительства Российской Федерации от 29.12.2022 № 2526 «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3 — 6, 8 — 11 статьи 12 Федерального закона „О персональных данных“».

✅Постановление Правительства Российской Федерации от 10.01.2023 № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении».

✅Постановление Правительства Российской Федерации от 16.01.2023 № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».

✅Приказ Роскомнадзора от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».

✅Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона „О персональных данных“».

✅Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

✅Приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».

✅Приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных».

#персданные

⌨️“Минцифры предложит механизм использования зарубежного ПО до конца марта” – Шадаев

Минцифры РФ до конца марта планирует представить предложения по легализации использования ПО из недружественных стран, правообладатели которого ушли из РФ, сообщил глава министерства Максут Шадаев.

"До конца марта Минцифры даст предложения по вариантам использования такого ПО. Мы говорим про случаи вынужденного использования ПО до перехода на российские аналоги. То есть мы должны отрегулировать эти условия" - сказал министр.

Он подчеркнул, что речь идет об определении правил на "переходный период" – время разработки конкурентных российских аналогов и перехода на отечественный софт.

По словам министра, основная сложность в согласовании проекта заключается в том, как в УК РФ прописать исключения для случаев вынужденного временного использования западного ПО.

Анализ Минцифры показал, что лишь 20% категорий софта, используемого компаниями и промпредприятиями, имеют "адекватные зрелые российские аналоги", необходимо 2-3 года на его доработку и внедрение.

👤Gmail запустил опцию шифрования на стороне клиента

Google объявил, что в Gmail теперь доступен режим шифрования на стороне клиента для корпоративных пользователей.

По словам представителей, даже Google не может видеть содержимое электронных писем, а данные «зашифровываются до того, как попадают на серверы Google».

В компании отметили, что шифрование на стороне клиента даёт организациям «единоличный контроль над своими ключами шифрования — и, таким образом, полный контроль над всем доступом к данным». Это может быть полезно для тех, кто обязан соблюдать строгие стандарты конфиденциальности.

Пользователи могут шифровать электронные письма, которые они отправляют внутри своей организации и другим сторонам, даже если получатель не использует Gmail.

Чтобы воспользоваться функцией, необходимо кликнуть на значок замка, после чего написать письмо и добавить вложения, как показано на скриншоте.

🔨Госстандарты для искусственного интеллекта

Росстандарт заказал разработку и подготовку к утверждению стандартов в области искусственного интеллекта для применения в сферах медицины, образования и транспорта. На это выделено 130,4 млн руб.

Согласно техническому заданию, исполнитель должен разработать окончательную редакцию национальных стандартов ИИ, а также обоснование принципов закрепления в нормативно-технических документах требований к созданию и эксплуатации систем ИИ.

Цели работ:
– Сокращение возможного ущерба безопасности России от применения искусственного интеллекта.
– Гармонизация национальных стандартов с международными и актуализация фонда стандартов в области искусственного интеллекта.

Согласно плану, работы должны быть выполнены до 29 ноября 2024 года. Те же сроки установлены для реализации федерального проекта "Искусственный интеллект". В рамках проекта должны быть разработаны стандарты, которые будут регламентировать безопасность систем ИИ не только для людей, но и для окружающей среды в различных областях: строительство, медицина и т.д. Всего программа включает 217 документов.

⌨️Выпуск Wine 8.3

Состоялся экспериментальный выпуск открытой реализации WinAPI - Wine 8.3. С момента выпуска версии 8.2 было закрыто 29 отчётов об ошибках и внесено 230 изменений.

Наиболее важные изменения:
➖Добавлена поддержка смарткарт, реализованная при помощи прослойки PCSC-Lite.
➖При выделении памяти добавлена поддержка кучи с низкой фрагментацией.
➖В состав включена библиотека Zydis для более корректного дизассемблирования.
➖Закрыты отчёты об ошибках, связанные с работой игр: Escape from Tarkov, Hardwar UIM6.0, 3D Sexvilla 2, Saints Row: The Third, Heavy Rain.
➖Закрыты отчёты об ошибках, связанные с работой приложений: Office 2007 Installer, Untis 2015, AusweisApp2 1.x, Seneka EBDYS client, Aruba Key, Wavelab, KeePassXC, SpeedCommander 20, Rich Edit.

🔑Функция обнаружения утечек секретов GitHub теперь открыта для общедоступных репозиториев

GitHub объявил, что функция оповещений о сканировании секретов «Secret Scanning» теперь открыта для всех общедоступных репозиториев и может быть включена для обнаружения утечек секретов во всей истории публикаций.

Секреты — это конфиденциальные данные, случайно добавленные в репозитории GitHub, включая API-ключи, пароли учетных записей и др.

⌨️Пять самых громких кибератак 2022 года: чему они могут научить

2022 год запомнился рекордным количеством кибератак, направленных на российские организации.

В новом материале рассматриваем самые крупные кибер-инциденты 2022 года, а заодно изучаем успешный (и не очень) опыт их отражения.

Подробнее об:

🔵Атаках на ИТ-инфраструктуру ВТБ

🔵Попытках обрушить “Госуслуги”

🔵Потерях бизнеса в цифрах

🔵Тенденциях в кибербезопасности в 2023 году

- можно прочитать здесь

#инфобез #утечки #полезное

🇷🇺«Атомэнергопром» начал проект по созданию импортонезависимой информационно-аналитической системы «Корпоративное хранилище данных» (ИАС КХД 2.0). Бюджет – 1,11 млрд руб. – выставлен в тендере в формате открытого конкурса.

Действующее хранилище данных реализовано на базе программного продукта немецкой компании SAP — NetWeaver Business Warehouse (SAP BW/4HANA).

Подрядчику предстоит до мая 2024 года решить ряд задач, среди которых:
– проектирование и развертывание технической целевой архитектуры ИАС КХД 2.0;
– проектирование и реализация форм отчетности;
– автоматизация формирования аналитической отчетности по данным единой отраслевой системы электронного документооборота (ЕОСДО);
– миграция исторических данных;
– выполнение требований по информбезопасности в части подключения к корпоративному центру ГосСОПКА и проведения аттестации.

Серверная часть системы ориентировочно задействует ОС Astra Linux Special Edition группы «Астра» и «Альт 8 СП» компании «Базальт СПО», а также СУБД Postgres Pro.

Для рабочих станций планируется использовать ОС Astra Linux Common Edition, пакет офисных приложений «Мой офис» либо Libre Office 6.4.5.2.

Лицензии на некоторые продукты подрядчик должен получить самостоятельно, например, на прикладное ПО «Форсайт. Аналитическая платформа», «Форсайт. Бюджетирование» и т.д.

Ранее, в мае 2022 года стало известно о планах «Росатома» перевести 130 тыс. рабочих мест на отечественную ОС Astra Linux до конца 2024 года.

Помимо ОС, стали замещать и СУБД. Так, в мае 2021 года корпорация начала переносить финансовую систему с Oracle на Postgres Pro.

✅Напомним, что всё о миграции баз данных рассказывали здесь.

❗️O’Reilly: Инфраструктура как код
📚 Infrastructure as Code: Dynamic Systems for the Cloud Age

📕Описание
IaC (Infrastructure as Code) — это способ предоставления облачных ресурсов и управления ими как кодом. Использование шаблонов IaC позволяет получить определенные преимущества — повышение согласованности, возможность контроля версий и сокращение времени развертывания.

Еще десять лет назад концепцию IaC можно было назвать «инопланетной». Сегодня её применяют банки, телекомы и правительственные организации.

O’Reilly рассказывает о построении динамических облачных сред. Автор утверждает, что книга пригодится тимлидам и архитекторам инфраструктуры.

Структурно материал разбит на четыре части:

✅ в первой автор закладывает основы — как IaC помогает оптимизировать рабочие процессы в облаке;

✅ во второй — говорит о подходах к настройке, тестированию и мониторингу инфраструктурного стека;

✅ третий блок посвящен работе с кластерами и развертке приложений;

✅ четвертый — рассказ о построении бизнес-процессов в условиях, когда за инфраструктуру отвечает сразу несколько специалистов.

Читатели отмечают, что в целом книга стоит потраченного на неё времени. Однако в ней нет практики, только теория. Автор не приводит развернутые примеры конкретных реализаций облачной инфраструктуры и старается не упоминать реальные продукты cloud-провайдеров. Автор подразумевает, что читатель знаком с принципами Infrastructure as Code, поэтому не «закапывается» в базу.

В целом этот материал — must read для инженеров компаний, намеревающихся трансформировать корпоративную облачную инфраструктуру.

#полезное

​​❌ Новости инфобеза

Отмена административных регламентов ФСБ России

⛔️ ФСБ России признала утратившим силу Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны.

​​⛔️ Информация о прекращении применения некоторых СрЗИ

ФСТЭК России информирует о прекращении применения с 01.05.2023 отдельных средств активной акустической и вибрационной защиты акустической речевой информации в связи с несоответствием требованиям по технической защите информации и отсутствием технической поддержки.

📝Перечень таких средств защиты информации приводится в информационном сообщении ФСТЭК России от 22.02.2023 «О прекращении применения отдельных средетв активной акустической и вибрационной защиты акустической речевой информации».

#инфобез

🔑 Как влезают в линуксовые бинарники?
Ниже серия постов с описанием и примерами методик вторжения и способами защиты.

Помимо описательной части, все сопровождается примерами на С/С++ и массой ссылок на первоисточники. Любителям основательного подхода рекомендуем!

Раз
Два
Три
Четыре
Пять

#полезное #заметкитехдира

👤75% компаний не выполняют требования закона о персональных данных

#нечаянный_инфобез

Компания «К2 Интеграция» провела опрос среди компаний и выяснила, что только 3% готовы к выполнению требований закона № 152-ФЗ "О персональных данных", вступивших в силу 1 марта 2023 года.

75% компаний до сих пор не выполнили требования первых поправок, действующих с 1 сентября 2022 года.

Также по результатам исследования:
– 66% компаний не начинали подготовку;
– 56% компаний сталкиваются с проблемами уведомления об инцидентах;
– 53% не разобрались с нюансами оценки вреда субъектам.

Напомним, что подготовили ряд материалов по выполнению требований № 152-ФЗ:

🛡Перечень НПА по ПДн с 01.03.2023 года

🛡Все цели обработки ПДн одним файлом

🛡Ответственность за несоблюдение требований законодательства в сфере защиты персональных данных

🛡Чек-лист по выполнению новых требований закона №152-ФЗ

#персданные