📢Как оценить объем необходимых ресурсов ИБ на реагирование?
Начало поста тут.

➡️В первую очередь, важно сверить, какие риски были идентифицированы в текущем периоде и занесены в реестр рисков. В том случае, если идентификация происходила только на основе исторических данных о произошедших инцидентах ИБ за предшествующий период, есть смысл задуматься о полноте реестра риска.

Тот факт, что какие-либо рисковые события не происходили ранее, вовсе не означает что они исключены в будущем. На основе реестра риска производится порядок оценки потерь и выбор способа реагирования, что существенным образом влияет на запрос требуемых ресурсов ИБ на реагирование.

➡️Затем, на этапе утверждения контрольных показателей, директору по ИБ предоставляется отличная возможность для обоснования затребованных ресурсов с использованием соотношения размеров расходов с размерами установленных КПУР риска ИБ и операционной надежности.

➡️Процессы дальнейшего сбора и регистрации событий в большинстве организаций уже отлажены, и передавать данные в систему управления оперрисками и опернадежностью – дело техники. Но при наличии информации о соотношении оперативных данных с установленными контрольными показателями, можно делать выводы о влиянии функции ИБ на технологические и бизнес-процессы организации, а также на основные показатели её деятельности. В свою очередь, такие связи помогают принимать решения о необходимости изменений и дальнейшему совершенствованию.

💬tg_AC

⌨️Ровно 11 лет назад была запущена первая программа Bug Bounty в России. Мы решили рассмотреть, используют ли сегодня этот инструмент отечественные компании, и как он регулируется в нашей стране?

Начнем с краткого ликбеза.

💡Bug Bounty дает возможность объединить усилия тех, кто хочет продать свои услуги в области оценки защищенности, и тех, кто хочет их купить. Если кратко, компании могут разместить на специализированной платформе свой код/приложение/информационную систему, и затем все желающие проверяют их на прочность. Белые хакеры тестируют программы и получают денежное вознаграждение за найденные уязвимости.

🟢Bug Bounty в свое время пользовались такие гиганты, как Facebook, Yahoo!, Google, Apple, Microsoft и т.д. А как же российские компании?

Известно не так много кейсов, но среди них, к примеру, VK, которая использовала отечественную платформу Standoff 365 Bug Bounty. На платформе исследователям предлагалось проверить 19 сервисов, принадлежащих группе компаний. За найденные уязвимости представители VK выплатили более 3 млн рублей. Размер выплат составил от 3 тысяч до 750 тысяч рублей в зависимости от критичности уязвимости.

Кроме очевидных преимуществ Bug Bounty имеет ряд недостатков, среди которых отсутствие четкого правового статуса данной деятельности в нашей стране. Поговорим об этом в следующих постах.
#bugbounty

💬tg_AC

✅В июле этого года Банк России опубликовал два проекта Положений: о платформе цифрового рубля, а также о требованиях к обеспечению защиты информации для участников платформы цифрового рубля.

Алексей Филиппов, методолог по ИБ AKTIV.CОNSULTING, специально для Cyber Media рассмотрел основные моменты данных Положений ЦБ РФ.

📣Начнем с основного: что представляет собой цифровой рубль?

Цифровой рубль — это цифровое представление российской национальной валюты, которую ЦБ РФ планирует выпускать в дополнение к существующим формам денег. Всего у национальной валюты 3 формы: наличная, безналичная и цифровая — и все они равноценны. В отличии от безналичной формы рубля цифровой рубль будет храниться именно в Банке России, а не у банков-участников.

💡Платформа цифрового рубля по сути представляет собой систему взаимодействия между ЦБ и пользователями платформы. Она, как и аналогичные платформы, будет представлена в виде удобного для пользователя приложения, доступ и бесперебойное функционирование которого будут обеспечивать посредники между ЦБ и пользователями – банки-участники цифровой платформы. #цифровой_рубль

Читать статью

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣Правительство может разрешить пользоваться импортными ПАК после 1 января 2025 года
Такую поправку к указу разработал Минпромторг, сообщают «Ведомости» со ссылкой на «федерального чиновника и топ-менеджера одной из нефтегазовых компаний».

🗣За повторные утечки персональных данных может быть наложен штраф до 3% от годового оборота компании
Законопроект планируется рассмотреть в осеннюю сессию. Действующее административное законодательство устанавливает максимальную ответственность за утечку ПДн до 100 тыс. руб.

🗣Роскомнадзор выявил атаку на 6 тыс. сайтов в Рунете с конца мая
С зараженных ресурсов злоумышленники совершали DDoS-атаки на инфраструктуру объектов государственного, транспортного, банковского, энергетического и других секторов.

🗣«ГосТех» представил методические рекомендации для разработки ПО ГИС на своей платформе
Это позволит внедрить единый структурированный подход к созданию ПО на платформе «ГосТех», а также соблюдать стандарты и требования платформы.

🗣РКН пояснил, как правильно подать заявление об утечке данных
Также регулятор рассказал про типовые ошибки, которые совершают операторы при подаче уведомления.

🗣Минцифры подготовило проект Цифрового кодекса
Закон должен систематизировать разрозненные нормативные акты в сфере IT и связи.

🗣53% DDoS-атак хактивистов на российские компании оказываются успешными
Эффективность атак проверялась с 1 июня по 31 августа 2023 года.

💬tg_AC

⚡️Олег Симаков, директор по развитию AKTIV.CОNSULTING, стал одним из спикеров конференции Guardant Day, которая прошла сегодня в Москве.

На мероприятии эксперт напомнил о важности и нужности внедрения процессов безопасной разработки.

👆Подробности — на видео!

Guardant Day — ежегодная конференция для специалистов в области разработки ПО. На встрече обсуждались способы решения самых актуальных задач, стоящих сегодня перед каждым вендором: обеспечение технической защиты, выбор бизнес-модели лицензирования и определение стратегии развития продукта.

💬tg_AC

🫥10 октября в Москве состоится ежегодная межотраслевая Конференция по вопросам регуляторики в сфере информационной безопасности.

На сайте уже доступна полная программа мероприятия, которая включает Пленарную сессию на тему «Регуляторика как эффективный инструмент взаимодействия» и 4 тематические сессии:

▶️КИИ — теория и практика исполнения законодательства.

▶️Финансовая отрасль: операционная надежность и киберриски.

▶️Безопасная разработка — лучшие практики и нормативы сезона 2023-2024.

▶️Комплаенс и оценки соответствия.


К участию в мероприятии приглашены представители ФСТЭК России, ЦБ, Минцифры, Роскомнадзора, Ассоциации банков России и многие другие.


▶️Регистрируйтесь!◀️
Будет интересно.


ℹ️Конференция по вопросам регуляторики в сфере информационной безопасности призвана объединить специалистов, деятельность которых сопряжена с обеспечением соответствия ИБ-требованиям. Программа мероприятия формируется программным комитетом на основании присланных заявок и не предполагает спонсорских докладов. Организатор — Ассоциация пользователей стандартов по информационной безопасности АБИСС.

💡Для чего нужен цифровой рубль?

Для обычных пользователей (физических и юридических лиц) платформа позволит создать единый счет («кошелек») у оператора платформы (Банка России) через посредника (банка-участника).

Доступ к счету будет возможен через любой банк, участвующий в проекте по цифровому рублю. Такой вариант является несомненным плюсом для конечного пользователя при осуществлении переводов и платежей. Но важно знать, что для открытия такого счета пользователи должны будут пройти идентификацию через ЕСИА «Госуслуги».

🏦На текущий момент, перечень банков-участников пилотного проекта по цифровому рублю включает:
• АО «АЛЬФА-БАНК»
• АО «Банк ДОМ.PФ»
• АО Ингосстрах Банк
• Банк ВТБ (ПАО)
• Банк ГПБ (АО)
• КИВИ Банк (АО)
• ПАО «АК БАРС» БАНК
• ПАО «МТС-Банк»
• ПАО «Промсвязьбанк»
• ПАО «Совкомбанк»
• ПАО Банк Синара
• ПАО РОСБАНК
• ТКБ БАНК ПАО
Обратим внимание, что в Сбер и Тинькофф не принимают участие в тестировании цифрового рубля, хотя изначально были заявлены в пилотной группе.

В чем плюсы цифрового рубля?

✅Для государства цифровой рубль является перспективным инструментом, который поможет упростить трансграничные платежи, в том числе минуя международную систему SWIFT.

✅Преимуществом же для банков-участников платформы станет повышение своей конкурентоспособности на рынке благодаря созданию инновационных продуктов и новой платежной инфраструктуры. #цифровой_рубль

💬tg_AC

📢Продолжаем говорить о рисках в проектах по информационной безопасности. Сегодня разберем один из трудновыявляемых рисков:

Неготовность к изменениям в устоявшихся процессах со стороны команды заказчика.

❗Основная сложность обнаружения данного риска в том, что его никогда и никто не озвучивает вслух, тем более на установочной встрече представителей исполнителя и заказчика. При этом нужно понимать, что люди, принимающие решение о реализации проекта на стороне заказчика, и команда, которая его действительно будет реализовывать — это не всегда одни и те же люди. У специалистов, включенных в команду проекта, могут быть собственные задачи, взгляды на безопасность процессов, а также внутреннее сопротивление изменениям.

В том случае, если риск неготовности к изменениям актуален для вашей команды, работа над проектом может существенно замедлиться или совсем остановится на каком-то из этапов.

Для консультанта это выглядит следующим образом. Представители заказчика:

▶️выполняют собственные задачи в приоритете над проектными;

▶️боятся новых объемных задач по проекту;

▶️тормозят процесс сбора информации или внедрения требований;

▶️замедляют реализацию проекта, ожидая увеличение нагрузки по ходу реализации проекта и кардинальных изменений в своей привычной деятельности по его завершению.

Завтра рассмотрим, как бороться с данным риском.
#практика_РП

💬tg_AC

☯️Что нужно знать о практике идентификации и управления изменениями элементов критичной архитектуры для финансовых организаций?

Об этом 10 октября на Конференции по вопросам регуляторики в сфере информационной безопасности расскажет Александр Моисеев, главный консультант по ИБ AKTIV.CОNSULTING.

✅️️️️️️Эксперт примет участие в сессии 2 «Финансовая отрасль: операционная надежность и киберриски», в рамках которой будут обсуждаться вопросы реализации регуляторных требований по ИБ в организациях кредитно-финансовой сферы и возможное распределение зон ответственности. Модератором сессии станет Анастасия Харыбина, председатель Ассоциации АБИСС и руководитель AKTIV.CОNSULTING.

В своем докладе Александр Моисеев:

✅рассмотрит примеры типовой реализации процессов идентификации и управления изменениями элементов критичной архитектуры в финансовых организациях;

✅сравнит преимущества и недостатки существующих подходов;

✅представит рекомендации по внедрению тем организациям, у которых данные процессы не формализованы.


💡Кроме того, в рамках сессии 2 пройдет Круглый стол «Управление операционной надежностью и рисками информационных угроз», участие в котором примут руководители ведущих банков России. Модератором также выступит Анастасия Харыбина.

➡️ Узнать подробнее и зарегистрироваться на мероприятие


💬tg_AC

🗣Многие программные реализации схемы заполнения PKCS#1 v1.5 для обмена ключами RSA, которые ранее считались устойчивыми к широко известной атаке Даниэля Блейхенбахера, на самом деле уязвимы.

Уязвимость появлялась неоднократно, в последний раз в 2017 году, когда исследователи безопасности обнаружили, что по крайней мере 8 IT-поставщиков и открытых проектов были уязвимы для вариации оригинальной атаки Блейхенбахера.

↔️Эксперты обращают внимание, что атаки в стиле Блейхенбахера на протокол RSA все еще возможны и что уязвимые реализации распространены.

💬tg_AC

🫥Вчера мы обсуждали один из рисков в проектах по ИБ — неготовность к изменениям в устоявшихся процессах со стороны команды заказчика.

Как мы предлагаем бороться с данным риском:

▶️ Работаем со страхами на стороне команды заказчика: для начала нужно убедиться, что сопротивление действительно есть, и выяснить, почему оно возникает. Возможно, специалисты боятся увеличения нагрузки, опасаются за свою квалификацию или до конца не понимают целесообразность проекта. Со всем этим можно и нужно работать, так как это способно стать треком для развития как отдельных сотрудников, так и всей команды.

▶️ Дробим задачи на более мелкие: всем известно, что «слона нужно есть по частям».

▶️ Контролируем соблюдение сроков на всех этапах.

▶️ Упрощаем задания по трансформации текущей безопасности заказчика без потери содержания.

▶️ Убеждаем заказчика в необходимости внедрения тех или иных требований для соблюдения качества проекта.

Если все вышеперечисленное не помогло, необходимо эскалировать проблему инициатору проекта со стороны заказчика и предложить внедрить требования для соблюдения качества проекта.


❓Поделитесь в комментариях, как часто вы в своей практике сталкивались с данным риском и сопротивлением изменениям со стороны проектной команды?

В следующих постах разберем остальные наиболее существенные риски из анонсированного списка. Оставайтесь с нами – будет интересно. #практика_РП


💬tg_AC

🌩Если вы задумываетесь о передаче части своих функций в облако, рано или поздно перед вами встанет вопрос: как же выбрать подрядчика? Давайте разбираться.

В первую очередь, необходимо:

1. Определить цели: почему ваша организация хочет воспользоваться услугами облачного провайдера. Это может быть экономическая целесообразность, развитие бизнеса, новые цели, которые организация ставит перед службой ИТ и ИБ и т.д.

2. Составить список процессов, которые вы планируете передать подрядчику.

3. Позаботиться о рисках передачи работы на аутсорсинг и подготовить «план Б» на случай отказа от услуг провайдера или перехода к другому оператору.

Только после этого можно приступать к поиску подрядчика. Так как, собственно, его выбирать?

Во втором выпуске подкаста «Безопасный выход» данному вопросу посвящен целый блок. Эксперты подробно обсудили различные критерии, начиная со стандартных:

💛есть ли у компании компетенции в необходимой области;
💛был ли похожий опыт;
💛есть ли у провайдера SLA, и что в него входит;
💛готов ли подрядчик брать ответственность за процессы и покрывать возможные риски;
💛есть ли у оператора карта процесса, т.е. поэтапное понимание, как и что нужно делать.

И заканчивая не такими популярными, но очень важными:

💛занимается ли оператор добровольной сертификацией, а также аттестацией своей платформы;
💛готов ли подрядчик показать, как устроена его инфраструктура;
💛может ли провайдер организовать встречу со своими заказчиками, которые готовы рассказать о своем клиентском опыте.

‼️Также важно помнить, что как бы четко не был прописан SLA, всегда будет некая «серая» зона. Поэтому чем лучше клиент с подрядчиком понимают свои риски и умеют с ними работать, тем меньше останется непроясненных моментов на старте. #подкаст

Еще больше информации вы найдете, посмотрев подкаст.


◀️ Видео

🎧 Аудио

Ждем ваших комментариев!


💬tg_AC

🗣Учёные обнаружили, что тысячи компьютеров и других устройств, подключенных к интернету, непреднамеренно или целенаправленно предоставляют доступ к миллионам файлов с потенциально чувствительной информацией.

Исследователи выявили около 314 000 отдельных устройств и веб-серверов с открытыми каталогами. Анализ показал, что сотни устройств содержат резервные копии баз данных, а также файлы с расширениями таблиц. Более 9 000 из них связаны с финансовой информацией, а тысячи других файлов могут содержать данные для аутентификации, сетевые данные и многие другие.

❗️Открытые каталоги, через которые можно получить доступ к файлам, обычно закрыты для свободного доступа, но из-за ошибок в настройке иногда становятся общедоступны. Поиск таких каталогов для некоторых стал хобби, в то время как утечка информации из них может привести к серьёзным последствиям.

Подробнее

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣В Правительстве одобрили компенсации пострадавшим от утечек
Минцифры в своем Telegram-канале расписали порядок действий для получения выплат.

🗣Представлен проект федерального закона «О технологической политике в РФ»
В документе предусмотрено улучшение защиты информационных ресурсов, а также укрепление безопасности личности, общества и государства.

🗣ЦБ разрешил ИТ- и ИБ-руководителям без опыта работы в банковской сфере становиться зампредами правления банков
Такое решение приняла рабочая группа Банка России по оптимизации регуляторной нагрузки на участников финансового рынка.

🗣У платформы «ГосТех» появится центр реагирования и мониторинга кибератак
Минцифры до конца года выделит 450 млн рублей на обеспечение кибербезопасности государственной платформы.

🗣На этой неделе системы бронирования авиакомпаний подверглись мощным DDoS-атакам
В «Ростехе» целью атак называют остановку авиаперевозок в России.

🗣Злоумышленники составляют профили потенциальных жертв при разработке мошеннических схем
По словам экспертов, информацию о россиянах ищут не только в украденных базах данных, но и в социальных сетях.

🗣В России могут запустить трансграничные расчеты на базе блокчейна и цифровых активов
Правительством в координации с Банком России подготовлен пошаговый план по созданию такой системы.

💬tg_AC