Сегодня в финансовой организации около половины доходов уходит на операционную деятельность, также создаются резервы, уплачиваются налоги и другие накладные расходы. В итоге остается прибыль, часть которой акционеры могут отправлять в качестве инвестиций на развитие бизнеса.
Как найти золотую середину в определении размера расходов на обеспечение операционной надежности? Мы будем говорить об этом в следующих постах. #опернадежность
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥2🤔2
Утечка затронула данные 6791 человек. Теперь всем пострадавшим будут предоставлены бесплатные услуги кредитного мониторинга и восстановления личности.
Please open Telegram to view this post
VIEW IN TELEGRAM
XAKEP
Компания Sony подтвердила утечку данных тысяч сотрудников
Компания Sony уведомила нынешних и бывших сотрудников (а также членов их семей) о кибератаке, в результате которой была раскрыта их личная информация. Также в компании подтвердили, что утечка произошла в результате атаки на 0-day уязвимость в MOVEit Transfer.
👍3🤔2
Forwarded from Листок бюрократической защиты информации
📖 Сведения о принятых национальных и международных стандартах за III квартал 2023 года
ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за III квартал 2023 года.
ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за III квартал 2023 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
В 2023 году ведомство хочет запустить программы поиска уязвимостей за вознаграждение для 20 информационных систем.
Глава платформы подчеркнул, что с момента проектирования в программные продукты должны закладываться безопасные решения.
Рассчитывать оборотный штраф за повторную утечку предлагают таким образом: размер предыдущего штрафа умножается на порядковый номер правонарушения.
Первоначально в нее будет включено около 30% доверенных отечественных решений, а к 2030 году этот показатель достигнет 80%.
Самые большие затраты пришлись на информационную безопасность.
По результатам проверки будет получена оценка сохранения системой работоспособности в условиях внешнего воздействия.
В мировом масштабе число утечек конфиденциальной информации возросло в 2,4 раза, если сравнивать с показателями предыдущего отчетного периода.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3👏2
Для этого будет полезно связать инциденты, с которыми сталкивается финансовая организация при осуществлении своей операционной деятельности, и возможный ущерб от них.
Проведение такого анализа состоит из шести этапов:
1. Инициация
2. Определение границ анализа
3. Разработка шкалы критичности
4. Обследование процессов финансовых организаций
5. Анализ данных
6. Подведение итогов
Далее о каждом этапе подробнее.
Собираем команду и определяемся с целями анализа. Рекомендуем включать в команду специалистов следующих направлений:
Формируя цели анализа, можно опираться на текущую ситуацию и задачи организации в настоящий момент. Цели могут быть оформлены в аналитический отчет, который готовится для принятия решений руководством. Помимо этого, можно изучить бизнес-кейс, где описаны планируемые изменения в организации, а также дорожную карту, разработанную на несколько лет. В рамках этих стратегических планов полезно посмотреть, чем компания рискует и как события могут повлиять на ее доходы. #опернадежность
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍2👏2😁1
Чем подобные сбои чреваты для российских предприятий?
В промышленности используется широкий класс умных устройств. Это всевозможные умные датчики, исполнительные устройства, системы видеоаналитики и т.п., которые применяются в производственных линиях, при изготовлении продукции, для учета потребляемых ресурсов. Зачастую умные устройства IoT могут иметь подключения к платформам сбора, накопления и обработки данных, построенных на принципах облачных технологий.
Подробнее в комментарии нашего эксперта Александра Моисеева.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤2🤔1
Наш эксперт Варвара Шубина кратко рассказала о мероприятии и поделилась, что сегодня ждет гостей и участников встречи.
Будем держать вас в курсе происходящего на конференции и по возможности делиться ключевыми тезисами.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
Forwarded from Листок бюрократической защиты информации
🫥 Изменения в 149-ФЗ в части облаков
Хасин Е. В. (Заместитель директора Департамента обеспечения кибербезопасности Минцифры) в ходе пленарной сессии конференции АБИСС
по вопросам регуляторики
информационной безопасности анонсировал (но не раскрыл подробностей) скорое внесение изменения в Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» в части регулирования (в т.ч. по ИБ?) области облачных вычислений.
Хасин Е. В. (Заместитель директора Департамента обеспечения кибербезопасности Минцифры) в ходе пленарной сессии конференции АБИСС
по вопросам регуляторики
информационной безопасности анонсировал (но не раскрыл подробностей) скорое внесение изменения в Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» в части регулирования (в т.ч. по ИБ?) области облачных вычислений.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🤔3
Forwarded from ISACARuSec
Управление риском ИБ в относительно недавно вышедших нормах ЦБ и планируемой правке в ФЗ-149. Вслед за правкой планируется подзаконный акт ЦБ РФ. В качестве основы подзаконного акта планируется использовать СТО БР.
#Абисс_конф
#Абисс_конф
👍9
Наш эксперт Алексей Филиппов делится важной информацией с сессии "КИИ – теория и практика исполнения законодательства", которая прошла в рамках Конференции АБИСС по регуляторике информационной безопасности.
🔽
🔽
🔽
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
Спасибо организаторам, участникам и гостям мероприятия!
⚡️В нашем telegram-канале мы обязательно поделимся важными мыслями и ключевыми моментами Конференции.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤3👏3
Исследователи отмечают, что использование страниц 404 усложняет задачу администраторам, которым становится труднее обнаруживать вредоносный код на скомпрометированных сайтах и избавляться от него.
Please open Telegram to view this post
VIEW IN TELEGRAM
XAKEP
Хакеры используют ошибку 404, чтобы воровать данные банковских карт
Обнаружена новая Magecart-кампания, в ходе которой хакеры внедряют веб-скиммеры для кражи данных банковских карт на страницы с ошибкой 404 на сайтах интернет-магазинов. По данным экспертов Akamai, атаки сосредоточены на сайтах Magento и WooCommerce, а среди…
👍3
В нем приводятся рекомендации по обеспечению безопасности систем промышленной автоматики, технологических сетей, АСУ ТП и т.п. Данный стандарт будет интересен прежде всего специалистам по информационной безопасности и инженерам АСУ ТП в промышленности.
Cтандарт получил ряд обновлений, среди которых хотим отметить следующие:
• cистемы автоматизации зданий и сооружений (BAS), управляющие широким спектром инженерных систем;
• системы контроля физического доступа (PACS);
• системы, связанные с безопасностью (Safety Systems, «SS»), предназначены для снижения вероятности и/или последствий потенциально опасных ситуаций;
• промышленный интернет вещей (IIoT);
Подробнее ознакомиться с финальной редакцией стандарта NIST SP 800-82 можно по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥3👏2
Forwarded from Новости информационной безопасности
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
После вступления в силу в декабре новых правил категорирования объектов критической информационной инфраструктуры (КИИ) и перечня показателей критериев значимости категория значимости была увеличена для более чем 40 объектов КИИ, сообщил во вторник представитель ФСТЭК России Михаил Марченко на конференции, организованной Ассоциацией пользователей стандартов по информационной безопасности АБИСС.
Какие это были объекты, он не уточнил. Всего, напомним, есть три категории значимости объектов КИИ.
За последние два года была проведена актуализация записей о более чем четырёх тысячах объектов КИИ в реестре значимых объектов КИИ.
Марченко также напомнил о законодательстве в сфере КИИ – на слайдах более десятка различных нормативных документов, в том числе о проверках субъектов КИИ.
За два года было проверено более 400 объектов КИИ, принадлежащие 73 субъектам. По результатам госконтроля (как планового, так и внепланового), по словам представителя ФСТЭК, было выявлено более 600 нарушений, были составлены предписания об их устранении. Возбуждено около 27 административных дел. Статистики уголовных дел у ведомства нет, так как «оно лишь даёт оценку некоторым действиям», сказал Марченко.
Статья 274.1 УК РФ, напомним, устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним, вплоть до лишения свободы сроком на шесть лет.
Планы проверок на следующий год ведомство публикует в конце года.
Субъекты КИИ – это организации и индивидуальные предприниматели, владеющие или арендующие информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети, функционирующие в сферах: здравоохранение, наука, транспорт, связь, финансовая сфера, энергетика, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая, химическая промышленность и топливно-энергетический комплекс, госрегистрация прав на недвижимое имущество, а также те, кто обеспечивает взаимодействие таких систем. Объекты КИИ – любые информсистемы, сети, системы управления, функционирующие в этих сферах.
После вступления в силу в декабре новых правил категорирования объектов критической информационной инфраструктуры (КИИ) и перечня показателей критериев значимости категория значимости была увеличена для более чем 40 объектов КИИ, сообщил во вторник представитель ФСТЭК России Михаил Марченко на конференции, организованной Ассоциацией пользователей стандартов по информационной безопасности АБИСС.
Какие это были объекты, он не уточнил. Всего, напомним, есть три категории значимости объектов КИИ.
За последние два года была проведена актуализация записей о более чем четырёх тысячах объектов КИИ в реестре значимых объектов КИИ.
Марченко также напомнил о законодательстве в сфере КИИ – на слайдах более десятка различных нормативных документов, в том числе о проверках субъектов КИИ.
За два года было проверено более 400 объектов КИИ, принадлежащие 73 субъектам. По результатам госконтроля (как планового, так и внепланового), по словам представителя ФСТЭК, было выявлено более 600 нарушений, были составлены предписания об их устранении. Возбуждено около 27 административных дел. Статистики уголовных дел у ведомства нет, так как «оно лишь даёт оценку некоторым действиям», сказал Марченко.
Статья 274.1 УК РФ, напомним, устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним, вплоть до лишения свободы сроком на шесть лет.
Планы проверок на следующий год ведомство публикует в конце года.
Субъекты КИИ – это организации и индивидуальные предприниматели, владеющие или арендующие информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети, функционирующие в сферах: здравоохранение, наука, транспорт, связь, финансовая сфера, энергетика, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая, химическая промышленность и топливно-энергетический комплекс, госрегистрация прав на недвижимое имущество, а также те, кто обеспечивает взаимодействие таких систем. Объекты КИИ – любые информсистемы, сети, системы управления, функционирующие в этих сферах.
Digital Russia
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
После вступления в силу в декабре новых правил категорирования объектов критической информационной инфраструктуры (КИИ) и перечня показателей критериев
👍6🔥3⚡2
По завершении первого этапа мы определили цели дальнейшего развития. Далее переходим к формированию границ анализа. Для этого выделите ключевые финансовые продукты/услуги для вашей организации. Учтите те продукты, которые планируется запустить в рамках стратегии развития.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥1👏1
В настоящее время можно выделить две основные категории:
1. Вендоры коммерческого ПО, разрабатывающие решения по информационной безопасности, которые потом сертифицируются в системе ФСТЭК России, а также те вендоры, кто поставляет определенные решения для финансовой отрасли.
2. Организации, которые имеют высоконагруженные решения (маркетплейсы, финтех компании, ритейл). Зрелость ИБ таких организаций позволяет зачастую без каких-либо обязательных требований регулятора реализовывать данные процессы, укомплектовывать внутренний штат разработчиков и безопасности необходимыми специалистами, а также внедрять необходимые инструментальные средства.
а) погружен в проект и остается в разработке;
б) имеет желание продвигать идеи security между другими участниками;
в) находится в коммуникации с командой AppSec/DevSecOps и обменивается с ними опытом и знаниями.
Подробнее — в статье ComNews с комментарием нашего эксперта Александра Моисеева.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥3⚡2