🫥Продолжаем рассуждать про роль информационной безопасности в импортозамещении.

Импортозамещение для организации – это всегда дополнительные ресурсы, поэтому с целью их оптимизации многие начинают рассматривать для себя использование программного обеспечения с SaaS-моделью. И здесь кроется огромный пласт пока еще не решенных вопросов, связанных с обеспечением ИБ. Многие специалисты понимают, что за облачными решениями будущее, но как разделить ответственность между организацией и провайдером, ведь часть контура безопасности выносится на сторону последнего.

📄Несмотря на то, что в настоящее время нет регуляторики, описывающей требования к ИБ-аутсорсингу, уже сейчас нужно выстраивать процессы таким образом, чтобы субъекты КИИ могли управлять соответствующими рисками, так как это зона их прямой ответственности. В начале сентября наши эксперты подробно разберут тему ИБ-аутсорсинга в новом выпуске подкаста "Безопасный выход".

Создание архитектуры процессов, перечисленных в этом и прошлом постах, а также их внедрение требует точечных компетенций, которыми не должны обладать штатные специалисты, так как ситуация с импортозамещением сложилась, можно сказать, нештатная.

📌И здесь подключается профессиональное сообщество в виде консультантов, которые способны собрать проектную команду под уникальные потребности конкретной организации, тем самым ускорить процесс и снизить операционные издержки.
#КИИ

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣Минцифры: все операторы связи будут обязаны передавать в Роскомнадзор данные абонентов
Соответствующий документ размещен на портале нормативных правовых актов.

🗣Бизнес получит платный доступ к информации из госсистем
Правительство должно разработать принципы очистки данных от любых конфиденциальных сведений.

🗣Спрос на услуги предотвращения киберинцидентов увеличивается на 20–40% год к году
Сейчас объем данных услуг оценивается на уровне 15 млрд рублей— около 8% от всего рынка ИБ.

🗣Доля россиян, беспокоящихся о безопасности своих детей в интернете, за год увеличилась с 11% до 30%
Эксперты отмечают, что резкий рост обусловлен участившимися случаями интернет-мошенничества, нарушения безопасности и угроз для детей в цифровой среде.

🗣Банки начинают гарантировать людям защиту от телефонных мошенников
Накануне «Тинькофф» объявил о готовности в течение суток возвращать похищенные таким способом деньги.

🗣Компания Apple объявила набор желающих присоединиться к своей программе Bug Bounty в 2024 году
С момента запуска программы в 2019 участники обнаружили 130 критических уязвимостей iPhone, 37 из которых были найдены за прошедшие полгода.

🗣Новый банковский троянец научился использовать редкий протокол
Вредоносная программа может быстро передавать большое количество данных и скрываться от обнаружения.

💬tg_AC

​​📝 Перечень НПА, подлежащих оценке применения в 2024 году,
‌‎в сфере обработки ПДн

Минцифры подготовило проект Перечня нормативных правовых актов, содержащих обязательные требования, подлежащих оценке применения в 2024 году,
‌‎в сфере обработки персональных данных. Данный перечень включает следующие НПА:

• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

• Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

• Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

• Приказ Роскомнадзора от 22.07.2015 № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи».

• Приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».

⌨️В первой половине 2023 года средняя продолжительность кибератак сократилось до 8 суток, что на два дня короче, чем было в 2022 году. Эксперты компании Sophos уверены, что это позволяет ИБ-специалистам оперативнее реагировать на угрозы, сокращая время активности злоумышленников в скомпрометированных сетях.

При этом специалисты отмечают, что киберпреступники также становятся быстрее. Опытные и хорошо обеспеченные ресурсами хакеры проводят свои кибератаки с еще большей скоростью, несмотря на улучшение мер безопасности со стороны многих организаций по всему миру.

❗️Одной из новых тактик, которую активно используют хакеры, является запуск атак тогда, когда большинство сотрудников службы кибербезопасности отсутствует на рабочем месте. К примеру, 81% атак программ-вымогателей, проанализированных экспертами, были осуществлены в нерабочее время. Почти половина (43%) таких атак была выявлена либо в пятницу, либо в субботу.

Кроме того, специалисты обратили внимание, что злоумышленники стали быстрее получать доступ к системам Active Directory. Теперь этот процесс занимает всего около 16 часов. Исследование показало, что большинство сервисов Active Directory защищены лишь с помощью Microsoft Defender. Этот метод оказался неэффективным в 43% случаев атак в I полугодии 2023 года, в то время как в 2022 году этот показатель составлял 36%.

Источник: Cisoclub

🫥Сегодня хотим рассмотреть ещё одно важное регуляторное событие, которое сильно повлияло на всех участников КИИ, а именно вовлечение менеджмента в ИБ.

Указ Президента №250 возложил на руководителей организаций, в том числе субъектов КИИ, персональную ответственность за обеспечение информационной безопасности. Помимо этого, в Указе говорится о требовании по созданию службы ИБ и передачи полномочий по обеспечению ИБ на заместителя руководителя организации. Для субъектов КИИ это зачастую означает перестройку всех процессов по информационной безопасности, а для менее зрелых – постановку функции ИБ с нуля.

Персональная ответственность требует от руководителя понимания процессов ИБ и их влияния на бизнес. Естественно, руководитель организации не должен обладать глубокими знаниями по защите информации, поэтому функция обеспечения процессов ИБ ложится на заместителя руководителя организации.

💡Для заместителя по ИБ Постановлением Правительства было утверждено типовое положение, которое описывает квалификационные требования, требования к опыту работы, а также должностные обязанности. По сути, это топ-менеджер с соответствующей управленческой квалификацией, который также хорошо понимает вопросы цифровизации и автоматизации для предприятий своей отрасли и, разумеется, обладает высокой экспертизой по информационной безопасности и управлению рисками информационных угроз.
#КИИ

💬tg_AC

💫AKTIV.CОNSULTING станет участником ежегодной межотраслевой Конференции по вопросам регуляторики в сфере информационной безопасности, которая пройдет 10 октября в Москве. Организатором мероприятия выступает Ассоциация пользователей стандартов по информационной безопасности АБИСС.

⚡️На конференции AKTIV.CОNSULTING представит свой стенд, на котором все желающие смогут пообщаться с нашими экспертами, узнать подробнее об услугах компании и задать любые интересующие вопросы. Также в деловой программе встречи в качестве спикера выступит ведущий консультант по ИБ Александр Моисеев.

Конференция по вопросам регуляторики в сфере информационной безопасности призвана объединить специалистов, деятельность которых сопряжена с обеспечением соответствия ИБ-требованиям. Программа мероприятия формируется программным комитетом на основании присланных заявок и не предполагает спонсорских докладов.

‼️Любой желающий, чья деятельность связана с реализацией требований по информационной безопасности, может выступить в качестве спикера конференции. Участие с докладом или мастер-классом бесплатное. Срок подачи заявок на доклад — до 20 сентября.

Узнать больше о форматах участия в конференции можно на сайте мероприятия.

💬tg_AC

🗣Шведские ученые разработали новый тип генератора случайных чисел для шифрования, что делает обмен цифровой информацией безопаснее, дешевле и экологически чище. Данное новшество, по мнению исследователей, открывает путь к новому виду квантовой коммуникации.

Шифрование остается основной стратегией обеспечения безопасности данных. Различные генераторы случайных чисел предоставляют разные уровни случайности и, следовательно, безопасности. Наиболее безопасным является аппаратный метод на основе квантовых явлений - так называемый квантовый генератор случайных чисел (QRNG).

📌Особенностью нового QRNG является использование светодиодов на основе кристаллического материала — перовскита. Благодаря свойствам перовскитов новый генератор случайных чисел обладает потенциалом быть дешевым и экологически чистым.

💬tg_AC

⚡️Приглашаем вас на вебинар «Практические вопросы проведения категорирования КИИ», который состоится 13 сентября в 11:00.

Эксперты Ассоциации АБИСС поделятся практическими советами по реализации требований законодательства в области защиты КИИ. Особое внимание будет уделено такому важному этапу как «категорирование».

В рамках вебинара эксперты обсудят:

⏩ особенности расчета финансовых показателей при категорировании;

⏩ на что стоит обратить внимание при категорировании объектов КИИ;

⏩ практику расчета показателя №9;

⏩ последние изменения в правилах категорирования;

⏩ исполнение 250 Приказа.


Ведущие вебинара:
• Федор Музалевский, RTM Group
• Александр Иванцов, Deiteriy Compliance
• Александр Хонин, Angara Security
• Александр Моисеев, AKTIV.CОNSULTING

Участие в вебинаре бесплатное.
Необходима предварительная регистрация.

13 сентября, 11:00
Не пропустите!

▶️Узнать подробнее и зарегистрироваться

💬tg_AC

⏳Контроль времени простоя или деградации в технологических процессах финансовых организаций.

Положения Банка России №787-П и №779-П предъявляют требования к операционной надежности (ОН) определенного набора технологических процессов финансовых организаций (ФО). Для этих целей ФО внедряют организационные и технические условные системы «контроля», которые выявляют, регистрируют и реагируют на инциденты ОН, а также обеспечивают восстановление после них.

✔️Для исполнения нормативных требований компании финансовой отрасли могут ограничиться предложенным ЦБ перечнем техпроцессов. Но если организация внедряет и в дальнейшем использует системы контроля, не стоит ли дополнить требуемый список теми технологическими процессами, которые влияют на достижение интересов самой организации?

Действительно, в части случаев перечни техпроцессов из Положений №787-П и №779-П будут совпадать с теми процедурами, которые обеспечивают бизнес-процессы, приносящие основную часть доходов. Но в некоторых ситуациях могут быть расхождения.

💡Для выявления и устранения таких расхождений, а также для большей отдачи бизнесу от системы контроля, можно воспользоваться известными методами анализа влияния на бизнес (BIA) или сценарным анализом. И уже в дальнейшем по результатам этих методов принять решение о расширении практик контроля на иные технологические процессы организации.
#опернадежность

💬tg_AC

⚙️Согласно исследованию команды «Экспресс 42» больше четверти опрошенных компаний в России отмечают нехватку знаний в области выстраивания процессов DevSecOps.

В отчете «Исследование состояния DevOps в России» приняли участие более 2000 специалистов и руководителей из организаций различных сфер деятельности. Лидирующими отраслями по количеству опрошенных стали информационные технологии, финансы и банковское дело, а также ритейл.

Исходя из результатов опроса, эксперты обнаружили рост интереса к DevSecOps (выстраиванию процессов безопасности разработки ПО), как к отдельному направлению деятельности в организациях. Респонденты стали обособлять DevSecOps от работы основных core-команд ИБ (сетевой безопасности, администрирования СЗИ, комплаенса, и т.п.).

❗Согласно отчету 27% респондентов признаются в недостатке знаний и опыта в области DevSecOps. При этом 42% опрошенных ставят перед своими командами цели по повышению безопасности разрабатываемых ими продуктов.

Эксперт AKTIV.CОNSULTING Александр Моисеев отмечает, что причинами этого могут быть:

▶️появление большого числа регуляторных требований за последнее время (ЦБ РФ, ФСТЭК России, Минцифры);

▶️обострившиеся атаки на инфраструктуру отечественных компаний (в т.ч. при помощи эксплуатации уязвимостей заимствованных компонент и библиотек);

▶️повышение инженерной культуры и внедрение лучших практик разработки (особенно это касается IT-вендоров и тех IT-команд, которые занимаются поддержкой высоконагруженных проектов);

▶️повышение зрелости бизнеса в этом направлении (многие компании поняли ценность DevSecOps для своей деятельности).

Подробнее ознакомиться с исследованием вы можете по ссылке.

💬tg_AC

🗣Компания Qualys представила рейтинг из 20 самых эксплуатируемых уязвимостей, которые используются для совершения атак и распространения вредоносного или вымогательского ПО. Что интересно, 15 из представленных в рейтинге уязвимостей затрагивают продукты Microsoft.

❗️Так, например, первое место занимает уязвимость CVE-2017-11882: повреждение памяти в Microsoft Office, позволяющее выполнить код при открытии специально оформленного документа. Уязвимость использовалась для компрометации систем в 467 вредоносных ПО, атаках 53 злоумышленников и 14 вымогательских программах.

Ознакомиться с рейтингом уязвимостей

💬tg_AC

🗣Представлено обновление инструмента Caldera. Новый модуль будет использоваться в промышленных системах для тестирования защиты критически важных объектов.

Caldera — программа открытого типа, которая позволяет имитировать действия потенциального атакующего. Основой для этого процесса служит известный фреймворк MITRE ATT&CK — своего рода справочник для понимания и реагирования на киберугрозы.

⚔️Обновление будет поддерживать ключевые промышленные протоколы: BACnet, Modbus и DNP3. Программа поможет моделировать сценарии, которые представляют угрозу конкретно для производственных механизмов. На GitHub уже доступны подробные инструкции по установке.

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣Подготовлены поправки в законопроект о порядке обезличивания персональных данных
Поправки предусматривают установление порядка того, как будут обезличиваться ПДн, а также механизм получения согласия на их обработку.

🗣Начал работу первый Межвузовский SOC в нашей стране
Главная задача нового Центра – повысить уровень информационной безопасности в российских вузах и готовить практикующих ИБ-специалистов со студенческой скамьи.

🗣Минцифры пересмотрит стандарты подготовки специалистов в сфере кибербезопасности
Ведомство готовит обновление с учетом текущего уровня угроз, заявил глава министерства.

🗣В России предложили создавать «школы киберразведки» для студентов
Их выпускники должны будут иметь возможность претендовать на гарантированное трудоустройство в области кибербезопасности в крупнейших компаниях страны.

🗣Сбер предлагает применять оборотные штрафы в отношении оператора персональных данных только в исключительных случаях
В письме правительству банк уточнил, что основным критерием для квалификации нарушения и назначения наказания за утечку ПДн должно стать их неправомерное распространение неограниченному кругу лиц.

🗣В Telegram наблюдается существенный рост объёма фишинга
По экспертным оценкам, количество фишинговых ресурсов в мессенджере выросло в пять раз за первую половину этого года.

🗣В Томском университете открыли лабораторию по кибербезопасности КИИ
Новый центр поможет студентам получить комплексное представление о процессе управления инцидентами в безопасности компьютерных систем.

💬tg_AC

⚡️Сегодня хотим поделиться списком интересных отраслевых мероприятий, которые пройдут в октябре.

🌐 Конференция АБИСС по вопросам регуляторики в сфере ИБ
10 октября, Москва
Мероприятие призвано объединить специалистов, деятельность которых сопряжена с обеспечением соответствия ИБ-требованиям.

🌐 Конференция TAdviser «IT Government Day»
3 октября, Москва
Представители госструктур и поставщики ИТ-продуктов, решений и услуг рассмотрят проблемы информатизации госсектора.

🌐 Инфофорум-Центр
3-6 октября, Тула
Целью мероприятия является развитие деловых контактов между специалистами ИБ-отрасли.

🌐 Конференция TAdviser «Banks IT Day»
4 октября, Москва
Участники обсудят актуальные вопросы цифровизации финансовой отрасли.

🌐 МедИнфоБез — Всероссийская конференция «Информационная безопасность в сфере здравоохранения»
5 октября, Москва
Главными темами мероприятия станут вопросы импортозамещения и обеспечения ИБ организаций сферы здравоохранения.

🌐 БИТ Санкт-Петербург
5-6 октября, Санкт-Петербург
Конференция «Безопасность информационных технологий» будет посвящена факторам обеспечения киберустойчивости.

🌐 GITEX Global 2023
16-20 октября, Дубай
Самая значимая выставка в сфере информационных технологий и потребительской компьютерной техники на Ближнем Востоке.

🌐 Конференция TAdviser SummIT Кибербезопасность
18 октября, Москва
Мероприятие посвящено обсуждению основных аспектов практической информационной безопасности.

🌐 ИНФОТЕХ 2023
18-19 октября, Тюмень
В программе этого года – NGFW-битва, обзор актуальных кейсов, ИБ StandUp, презентация решений по защите данных и многое другое.

🌐 Международный форум ВБА
24-25 октября, Москва
Выставка и деловая программа охватят практически все важнейшие направления использования информационных технологий в финансах.

💬tg_AC

⚡️Напоминаем, что уже послезавтра, 13 сентября, состоится вебинар «Практические вопросы проведения категорирования КИИ».

Эксперты Ассоциации АБИСС поделятся практическими советами по реализации требований законодательства в области защиты КИИ. Особое внимание будет уделено такому важному этапу как «категорирование».

В рамках вебинара эксперты обсудят:

✅ особенности расчета финансовых показателей при категорировании;

✅ на что стоит обратить внимание при категорировании объектов КИИ;

✅ практику расчета показателя №9;

✅ последние изменения в правилах категорирования;

✅ исполнение 250 Приказа.

Ведущие вебинара:
• Федор Музалевский, RTM Group
• Александр Иванцов, Deiteriy Compliance
• Александр Хонин, Angara Security
• Александр Моисеев, AKTIV.CОNSULTING

Участие в вебинаре бесплатное.
Необходима предварительная регистрация.

13 сентября, 11:00
Не пропустите!


▶️▶️Зарегистрироваться◀️◀️


💬tg_AC

🗣Исследователи обнаружили новую хакерскую кампанию, в ходе которой с марта 2021 по июнь 2022 года было атаковано 34 организации в различных странах.

Хакеры использовали ранее неизвестное вредоносное ПО под названием «Sponsor». Одной из заметных особенностей является способность Sponsor скрывать свои конфигурационные файлы на диске жертвы, что позволяет ему успешно уклоняться от обнаружения.

❗️Основными целями атак стали организации в сферах госуправления, здравоохранения, финансовых услуг, инжиниринга, производства, технологий, юриспруденции и телекоммуникаций.

Для первоначального доступа к сетям целей хакеры эксплуатировали уязвимость CVE-2021-26855 в Microsoft Exchange. Затем для дальнейшего проникновения и эксфильтрации данных использовались различные открытые инструменты, которые облегчают кражу данных, мониторинг системы и проникновение в сеть, а также помогают злоумышленникам поддерживать доступ к взломанным компьютерам.

Подробнее

💬tg_AC

⚡️Новый выпуск видеоподкаста «Безопасный выход» уже на YouTube!

Ведущие Александр Сухарев, Анастасия Харыбина и Тимофей Матреницкий обсудили вопросы безопасности ИТ- и ИБ-аутсорсинга в разрезе облаков: SaaS, PaaS и IaaS.

Вы узнаете:

⏩как выбрать провайдера, и на какие ключевые моменты стоит обратить внимание;

⏩как грамотно распределить риски между организацией и провайдером;

⏩почему важно до передачи функции на аутсорсинг подготовить «план Б», который предусматривает отказ от услуг облачного провайдера;

⏩какие требования предъявляет регуляторика к аутсорсингу.


◀️ Видео

🎧 Аудио


Ждём ваших комментариев!
Пишите свои впечатления, предлагайте темы и героев для следующих выпусков. И не забудьте поделиться подкастом с друзьями и коллегами. #подкаст

Приятного просмотра!

💬tg_AC

Мы начинаем цикл постов по

💛💛💛💛💛💛💛💛💛💛

💛💛💛💛💛💛💛 в проектах

по информационной безопасности.

Сергей Сугоняев, эксперт AKTIV.CОNSULTING, расскажет, какие типовые риски на старте проекта рекомендуется учесть с целью их минимизации. Все посты можно будет найти по тегу #практика_РП.

В рамках цикла постов рассмотрим:
• какие риски свойственны проектам по ИБ;
• как провести классификацию и оценку риска;
• как выработать правильные мероприятия по работе с риском;
• как управлять рисками по ходу реализации проекта;
• почему важно назначать ответственного за риск;
• чем отличаются консалтинговые проекты от всех остальных.


Также эксперт детализирует наиболее существенные риски в консалтинговых проектах по ИБ, с которыми на практике сталкиваются руководители проектов:

▶️Непредоставление заказчиком всей полноты данных — этот пункт мы рассмотрим подробнее уже завтра!

▶️Недостаток специфических компетенций исполнителей проекта или представителей заказчика.

▶️Отсутствие тестовых данных в системах для испытаний.

▶️Неготовность к изменениям в устоявшихся процессах со стороны команды заказчика.

▶️Несвоевременное предоставление доступов и документов со стороны заказчика.

▶️Недостаток ресурсов для реализации проекта или пересечение с другими проектами.

▶️Выбывание на время ключевых исполнителей проекта.

▶️Увольнение или болезнь сотрудников.

▶️Привлечение подрядчиков и управление риском невыполнения ими обязательств.


Поделитесь в комментариях, с какими рисками в проектах по ИБ сталкивались вы? О каких рисках хотели бы прочитать подробнее?

💬tg_AC