📢Как оценить объем необходимых ресурсов ИБ на реагирование?
Начало поста тут.

➡️В первую очередь, важно сверить, какие риски были идентифицированы в текущем периоде и занесены в реестр рисков. В том случае, если идентификация происходила только на основе исторических данных о произошедших инцидентах ИБ за предшествующий период, есть смысл задуматься о полноте реестра риска.

Тот факт, что какие-либо рисковые события не происходили ранее, вовсе не означает что они исключены в будущем. На основе реестра риска производится порядок оценки потерь и выбор способа реагирования, что существенным образом влияет на запрос требуемых ресурсов ИБ на реагирование.

➡️Затем, на этапе утверждения контрольных показателей, директору по ИБ предоставляется отличная возможность для обоснования затребованных ресурсов с использованием соотношения размеров расходов с размерами установленных КПУР риска ИБ и операционной надежности.

➡️Процессы дальнейшего сбора и регистрации событий в большинстве организаций уже отлажены, и передавать данные в систему управления оперрисками и опернадежностью – дело техники. Но при наличии информации о соотношении оперативных данных с установленными контрольными показателями, можно делать выводы о влиянии функции ИБ на технологические и бизнес-процессы организации, а также на основные показатели её деятельности. В свою очередь, такие связи помогают принимать решения о необходимости изменений и дальнейшему совершенствованию.

💬tg_AC

⌨️Ровно 11 лет назад была запущена первая программа Bug Bounty в России. Мы решили рассмотреть, используют ли сегодня этот инструмент отечественные компании, и как он регулируется в нашей стране?

Начнем с краткого ликбеза.

💡Bug Bounty дает возможность объединить усилия тех, кто хочет продать свои услуги в области оценки защищенности, и тех, кто хочет их купить. Если кратко, компании могут разместить на специализированной платформе свой код/приложение/информационную систему, и затем все желающие проверяют их на прочность. Белые хакеры тестируют программы и получают денежное вознаграждение за найденные уязвимости.

🟢Bug Bounty в свое время пользовались такие гиганты, как Facebook, Yahoo!, Google, Apple, Microsoft и т.д. А как же российские компании?

Известно не так много кейсов, но среди них, к примеру, VK, которая использовала отечественную платформу Standoff 365 Bug Bounty. На платформе исследователям предлагалось проверить 19 сервисов, принадлежащих группе компаний. За найденные уязвимости представители VK выплатили более 3 млн рублей. Размер выплат составил от 3 тысяч до 750 тысяч рублей в зависимости от критичности уязвимости.

Кроме очевидных преимуществ Bug Bounty имеет ряд недостатков, среди которых отсутствие четкого правового статуса данной деятельности в нашей стране. Поговорим об этом в следующих постах.
#bugbounty

💬tg_AC

✅В июле этого года Банк России опубликовал два проекта Положений: о платформе цифрового рубля, а также о требованиях к обеспечению защиты информации для участников платформы цифрового рубля.

Алексей Филиппов, методолог по ИБ AKTIV.CОNSULTING, специально для Cyber Media рассмотрел основные моменты данных Положений ЦБ РФ.

📣Начнем с основного: что представляет собой цифровой рубль?

Цифровой рубль — это цифровое представление российской национальной валюты, которую ЦБ РФ планирует выпускать в дополнение к существующим формам денег. Всего у национальной валюты 3 формы: наличная, безналичная и цифровая — и все они равноценны. В отличии от безналичной формы рубля цифровой рубль будет храниться именно в Банке России, а не у банков-участников.

💡Платформа цифрового рубля по сути представляет собой систему взаимодействия между ЦБ и пользователями платформы. Она, как и аналогичные платформы, будет представлена в виде удобного для пользователя приложения, доступ и бесперебойное функционирование которого будут обеспечивать посредники между ЦБ и пользователями – банки-участники цифровой платформы. #цифровой_рубль

Читать статью

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣Правительство может разрешить пользоваться импортными ПАК после 1 января 2025 года
Такую поправку к указу разработал Минпромторг, сообщают «Ведомости» со ссылкой на «федерального чиновника и топ-менеджера одной из нефтегазовых компаний».

🗣За повторные утечки персональных данных может быть наложен штраф до 3% от годового оборота компании
Законопроект планируется рассмотреть в осеннюю сессию. Действующее административное законодательство устанавливает максимальную ответственность за утечку ПДн до 100 тыс. руб.

🗣Роскомнадзор выявил атаку на 6 тыс. сайтов в Рунете с конца мая
С зараженных ресурсов злоумышленники совершали DDoS-атаки на инфраструктуру объектов государственного, транспортного, банковского, энергетического и других секторов.

🗣«ГосТех» представил методические рекомендации для разработки ПО ГИС на своей платформе
Это позволит внедрить единый структурированный подход к созданию ПО на платформе «ГосТех», а также соблюдать стандарты и требования платформы.

🗣РКН пояснил, как правильно подать заявление об утечке данных
Также регулятор рассказал про типовые ошибки, которые совершают операторы при подаче уведомления.

🗣Минцифры подготовило проект Цифрового кодекса
Закон должен систематизировать разрозненные нормативные акты в сфере IT и связи.

🗣53% DDoS-атак хактивистов на российские компании оказываются успешными
Эффективность атак проверялась с 1 июня по 31 августа 2023 года.

💬tg_AC

⚡️Олег Симаков, директор по развитию AKTIV.CОNSULTING, стал одним из спикеров конференции Guardant Day, которая прошла сегодня в Москве.

На мероприятии эксперт напомнил о важности и нужности внедрения процессов безопасной разработки.

👆Подробности — на видео!

Guardant Day — ежегодная конференция для специалистов в области разработки ПО. На встрече обсуждались способы решения самых актуальных задач, стоящих сегодня перед каждым вендором: обеспечение технической защиты, выбор бизнес-модели лицензирования и определение стратегии развития продукта.

💬tg_AC

🫥10 октября в Москве состоится ежегодная межотраслевая Конференция по вопросам регуляторики в сфере информационной безопасности.

На сайте уже доступна полная программа мероприятия, которая включает Пленарную сессию на тему «Регуляторика как эффективный инструмент взаимодействия» и 4 тематические сессии:

▶️КИИ — теория и практика исполнения законодательства.

▶️Финансовая отрасль: операционная надежность и киберриски.

▶️Безопасная разработка — лучшие практики и нормативы сезона 2023-2024.

▶️Комплаенс и оценки соответствия.


К участию в мероприятии приглашены представители ФСТЭК России, ЦБ, Минцифры, Роскомнадзора, Ассоциации банков России и многие другие.


▶️Регистрируйтесь!◀️
Будет интересно.


ℹ️Конференция по вопросам регуляторики в сфере информационной безопасности призвана объединить специалистов, деятельность которых сопряжена с обеспечением соответствия ИБ-требованиям. Программа мероприятия формируется программным комитетом на основании присланных заявок и не предполагает спонсорских докладов. Организатор — Ассоциация пользователей стандартов по информационной безопасности АБИСС.

💡Для чего нужен цифровой рубль?

Для обычных пользователей (физических и юридических лиц) платформа позволит создать единый счет («кошелек») у оператора платформы (Банка России) через посредника (банка-участника).

Доступ к счету будет возможен через любой банк, участвующий в проекте по цифровому рублю. Такой вариант является несомненным плюсом для конечного пользователя при осуществлении переводов и платежей. Но важно знать, что для открытия такого счета пользователи должны будут пройти идентификацию через ЕСИА «Госуслуги».

🏦На текущий момент, перечень банков-участников пилотного проекта по цифровому рублю включает:
• АО «АЛЬФА-БАНК»
• АО «Банк ДОМ.PФ»
• АО Ингосстрах Банк
• Банк ВТБ (ПАО)
• Банк ГПБ (АО)
• КИВИ Банк (АО)
• ПАО «АК БАРС» БАНК
• ПАО «МТС-Банк»
• ПАО «Промсвязьбанк»
• ПАО «Совкомбанк»
• ПАО Банк Синара
• ПАО РОСБАНК
• ТКБ БАНК ПАО
Обратим внимание, что в Сбер и Тинькофф не принимают участие в тестировании цифрового рубля, хотя изначально были заявлены в пилотной группе.

В чем плюсы цифрового рубля?

✅Для государства цифровой рубль является перспективным инструментом, который поможет упростить трансграничные платежи, в том числе минуя международную систему SWIFT.

✅Преимуществом же для банков-участников платформы станет повышение своей конкурентоспособности на рынке благодаря созданию инновационных продуктов и новой платежной инфраструктуры. #цифровой_рубль

💬tg_AC

📢Продолжаем говорить о рисках в проектах по информационной безопасности. Сегодня разберем один из трудновыявляемых рисков:

Неготовность к изменениям в устоявшихся процессах со стороны команды заказчика.

❗Основная сложность обнаружения данного риска в том, что его никогда и никто не озвучивает вслух, тем более на установочной встрече представителей исполнителя и заказчика. При этом нужно понимать, что люди, принимающие решение о реализации проекта на стороне заказчика, и команда, которая его действительно будет реализовывать — это не всегда одни и те же люди. У специалистов, включенных в команду проекта, могут быть собственные задачи, взгляды на безопасность процессов, а также внутреннее сопротивление изменениям.

В том случае, если риск неготовности к изменениям актуален для вашей команды, работа над проектом может существенно замедлиться или совсем остановится на каком-то из этапов.

Для консультанта это выглядит следующим образом. Представители заказчика:

▶️выполняют собственные задачи в приоритете над проектными;

▶️боятся новых объемных задач по проекту;

▶️тормозят процесс сбора информации или внедрения требований;

▶️замедляют реализацию проекта, ожидая увеличение нагрузки по ходу реализации проекта и кардинальных изменений в своей привычной деятельности по его завершению.

Завтра рассмотрим, как бороться с данным риском.
#практика_РП

💬tg_AC

☯️Что нужно знать о практике идентификации и управления изменениями элементов критичной архитектуры для финансовых организаций?

Об этом 10 октября на Конференции по вопросам регуляторики в сфере информационной безопасности расскажет Александр Моисеев, главный консультант по ИБ AKTIV.CОNSULTING.

✅️️️️️️Эксперт примет участие в сессии 2 «Финансовая отрасль: операционная надежность и киберриски», в рамках которой будут обсуждаться вопросы реализации регуляторных требований по ИБ в организациях кредитно-финансовой сферы и возможное распределение зон ответственности. Модератором сессии станет Анастасия Харыбина, председатель Ассоциации АБИСС и руководитель AKTIV.CОNSULTING.

В своем докладе Александр Моисеев:

✅рассмотрит примеры типовой реализации процессов идентификации и управления изменениями элементов критичной архитектуры в финансовых организациях;

✅сравнит преимущества и недостатки существующих подходов;

✅представит рекомендации по внедрению тем организациям, у которых данные процессы не формализованы.


💡Кроме того, в рамках сессии 2 пройдет Круглый стол «Управление операционной надежностью и рисками информационных угроз», участие в котором примут руководители ведущих банков России. Модератором также выступит Анастасия Харыбина.

➡️ Узнать подробнее и зарегистрироваться на мероприятие


💬tg_AC

🗣Многие программные реализации схемы заполнения PKCS#1 v1.5 для обмена ключами RSA, которые ранее считались устойчивыми к широко известной атаке Даниэля Блейхенбахера, на самом деле уязвимы.

Уязвимость появлялась неоднократно, в последний раз в 2017 году, когда исследователи безопасности обнаружили, что по крайней мере 8 IT-поставщиков и открытых проектов были уязвимы для вариации оригинальной атаки Блейхенбахера.

↔️Эксперты обращают внимание, что атаки в стиле Блейхенбахера на протокол RSA все еще возможны и что уязвимые реализации распространены.

💬tg_AC