Исследователи отмечают, что использование страниц 404 усложняет задачу администраторам, которым становится труднее обнаруживать вредоносный код на скомпрометированных сайтах и избавляться от него.
Please open Telegram to view this post
VIEW IN TELEGRAM
XAKEP
Хакеры используют ошибку 404, чтобы воровать данные банковских карт
Обнаружена новая Magecart-кампания, в ходе которой хакеры внедряют веб-скиммеры для кражи данных банковских карт на страницы с ошибкой 404 на сайтах интернет-магазинов. По данным экспертов Akamai, атаки сосредоточены на сайтах Magento и WooCommerce, а среди…
👍3
В нем приводятся рекомендации по обеспечению безопасности систем промышленной автоматики, технологических сетей, АСУ ТП и т.п. Данный стандарт будет интересен прежде всего специалистам по информационной безопасности и инженерам АСУ ТП в промышленности.
Cтандарт получил ряд обновлений, среди которых хотим отметить следующие:
• cистемы автоматизации зданий и сооружений (BAS), управляющие широким спектром инженерных систем;
• системы контроля физического доступа (PACS);
• системы, связанные с безопасностью (Safety Systems, «SS»), предназначены для снижения вероятности и/или последствий потенциально опасных ситуаций;
• промышленный интернет вещей (IIoT);
Подробнее ознакомиться с финальной редакцией стандарта NIST SP 800-82 можно по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥3👏2
Forwarded from Новости информационной безопасности
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
После вступления в силу в декабре новых правил категорирования объектов критической информационной инфраструктуры (КИИ) и перечня показателей критериев значимости категория значимости была увеличена для более чем 40 объектов КИИ, сообщил во вторник представитель ФСТЭК России Михаил Марченко на конференции, организованной Ассоциацией пользователей стандартов по информационной безопасности АБИСС.
Какие это были объекты, он не уточнил. Всего, напомним, есть три категории значимости объектов КИИ.
За последние два года была проведена актуализация записей о более чем четырёх тысячах объектов КИИ в реестре значимых объектов КИИ.
Марченко также напомнил о законодательстве в сфере КИИ – на слайдах более десятка различных нормативных документов, в том числе о проверках субъектов КИИ.
За два года было проверено более 400 объектов КИИ, принадлежащие 73 субъектам. По результатам госконтроля (как планового, так и внепланового), по словам представителя ФСТЭК, было выявлено более 600 нарушений, были составлены предписания об их устранении. Возбуждено около 27 административных дел. Статистики уголовных дел у ведомства нет, так как «оно лишь даёт оценку некоторым действиям», сказал Марченко.
Статья 274.1 УК РФ, напомним, устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним, вплоть до лишения свободы сроком на шесть лет.
Планы проверок на следующий год ведомство публикует в конце года.
Субъекты КИИ – это организации и индивидуальные предприниматели, владеющие или арендующие информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети, функционирующие в сферах: здравоохранение, наука, транспорт, связь, финансовая сфера, энергетика, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая, химическая промышленность и топливно-энергетический комплекс, госрегистрация прав на недвижимое имущество, а также те, кто обеспечивает взаимодействие таких систем. Объекты КИИ – любые информсистемы, сети, системы управления, функционирующие в этих сферах.
После вступления в силу в декабре новых правил категорирования объектов критической информационной инфраструктуры (КИИ) и перечня показателей критериев значимости категория значимости была увеличена для более чем 40 объектов КИИ, сообщил во вторник представитель ФСТЭК России Михаил Марченко на конференции, организованной Ассоциацией пользователей стандартов по информационной безопасности АБИСС.
Какие это были объекты, он не уточнил. Всего, напомним, есть три категории значимости объектов КИИ.
За последние два года была проведена актуализация записей о более чем четырёх тысячах объектов КИИ в реестре значимых объектов КИИ.
Марченко также напомнил о законодательстве в сфере КИИ – на слайдах более десятка различных нормативных документов, в том числе о проверках субъектов КИИ.
За два года было проверено более 400 объектов КИИ, принадлежащие 73 субъектам. По результатам госконтроля (как планового, так и внепланового), по словам представителя ФСТЭК, было выявлено более 600 нарушений, были составлены предписания об их устранении. Возбуждено около 27 административных дел. Статистики уголовных дел у ведомства нет, так как «оно лишь даёт оценку некоторым действиям», сказал Марченко.
Статья 274.1 УК РФ, напомним, устанавливает уголовную ответственность должностных лиц субъекта КИИ за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним, вплоть до лишения свободы сроком на шесть лет.
Планы проверок на следующий год ведомство публикует в конце года.
Субъекты КИИ – это организации и индивидуальные предприниматели, владеющие или арендующие информационные системы, автоматизированные системы управления и информационно-телекоммуникационные сети, функционирующие в сферах: здравоохранение, наука, транспорт, связь, финансовая сфера, энергетика, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая, химическая промышленность и топливно-энергетический комплекс, госрегистрация прав на недвижимое имущество, а также те, кто обеспечивает взаимодействие таких систем. Объекты КИИ – любые информсистемы, сети, системы управления, функционирующие в этих сферах.
Digital Russia
ФСТЭК сообщила об увеличении категории значимости для более чем 40 объектов КИИ в 2023 году
После вступления в силу в декабре новых правил категорирования объектов критической информационной инфраструктуры (КИИ) и перечня показателей критериев
👍6🔥3⚡2
По завершении первого этапа мы определили цели дальнейшего развития. Далее переходим к формированию границ анализа. Для этого выделите ключевые финансовые продукты/услуги для вашей организации. Учтите те продукты, которые планируется запустить в рамках стратегии развития.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥1👏1
В настоящее время можно выделить две основные категории:
1. Вендоры коммерческого ПО, разрабатывающие решения по информационной безопасности, которые потом сертифицируются в системе ФСТЭК России, а также те вендоры, кто поставляет определенные решения для финансовой отрасли.
2. Организации, которые имеют высоконагруженные решения (маркетплейсы, финтех компании, ритейл). Зрелость ИБ таких организаций позволяет зачастую без каких-либо обязательных требований регулятора реализовывать данные процессы, укомплектовывать внутренний штат разработчиков и безопасности необходимыми специалистами, а также внедрять необходимые инструментальные средства.
а) погружен в проект и остается в разработке;
б) имеет желание продвигать идеи security между другими участниками;
в) находится в коммуникации с командой AppSec/DevSecOps и обменивается с ними опытом и знаниями.
Подробнее — в статье ComNews с комментарием нашего эксперта Александра Моисеева.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥3⚡2
Сегодня же эта ситуация вопросов не вызывает и, к примеру, в рамках второй конференции АБИСС по вопросам регуляторики информационной безопасности все сообща пытались понять, как эффективно выстроить процессы с учетом их кросс-функциональной специфики.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🔥2
Кодекс будет представлять собой систематизированный свод законов, что позволит комплексно прописать все базовые понятия и явления по каждому из направлений: связь, информация, ПДн, интернет, СМИ.
По мнению экспертов, это позволит достичь технологического суверенитета в перспективе 2030 года.
Инициатива предполагает внесение поправок в УК РФ, направленных на исключение возможных рисков привлечения к уголовной ответственности лиц, тестирующих защищенность информсистем.
В Совете Федерации обсуждают идею разделения пользовательского соглашения и согласия на обработку ПДн.
За восемь месяцев 2023 года было совершено 226,8 тыс. таких преступлений, отметили в ведомстве.
Член IT-комитета Госдумы рассказал, как уберечь свои персональные данные.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1👏1
1 ноября, Москва
Цель мероприятия – предоставить независимую площадку для обсуждения ключевых вопросов и актуальных проблем рынка ИКТ, инновационных технологий, подходов к реализации ИТ-проектов.
3 ноября, Алматы, Казахстан
Форум посвящен развитию роли CISO, новым вызовам ИБ, Zero Trust, безопасности в облаке, безопасности приложений и данных, управлению уязвимостями, обнаружению и реагированию на угрозы.
8—10 ноября, Подмосковье
На встрече эксперты обсудят ИТ- и ИБ-тренды, которые будут формировать новый облик рынка кибербезопасности в ближайшем будущем.
8—10 ноября, Москва
На встрече пройдут обсуждения тенденций и возможностей применения современных цифровых технологий в финансовом секторе.
9—10 ноября, Санкт-Петербург
Мероприятие станет площадкой для выработки решений и рекомендаций по вопросам обеспечения национальной безопасности в условиях глобальных цифровых преобразований.
9—11 ноября, Санкт-Петербург
Ключевой темой форума будет кибербезопасность государства и бизнеса. Главная цель мероприятия — обмен практическим опытом цифровой трансформации между регионами и отраслями.
14—15 ноября, Москва
Место встречи экспертов по кибербезопасности. Мероприятие пройдет как в офлайн, так и в онлайн-форматах.
29 ноября, Москва
Главной темой докладов станет повышение эффективности бизнеса и государства с помощью технологий. Ведущие ИТ-компании расскажут о передовых разработках, которые готовятся к выходу на рынок.
30 ноября, Москва
Эксперты поделятся своим опытом и подходами к интеграции и применению актуальных технологий SOC.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤1
Forwarded from AM Live (oleg IV)
В Минцифры подготовили перечень СМИ, которые должны до 2025 года создать структурные подразделения, отвечающие за информационную безопасность, а также перейти на российские средства защиты информации (СЗИ).
Anti-Malware
ИТАР-ТАСС, РГ и телеканалы обяжут к 2025 году создать подразделения ИБ
В Минцифры подготовили перечень СМИ, которые должны до 2025 года создать структурные подразделения, отвечающие за информационную безопасность, а также перейти на российские средства защиты информации
👍4🤔2🤯2
Forwarded from Листок бюрократической защиты информации
🔗 Индикаторы риска нарушений в сфере электронной подписи
Для общественного обсуждения представлен проект приказа Минцифры «О внесении изменений в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 7 декабря 2021 г. № 1312».
Для общественного обсуждения представлен проект приказа Минцифры «О внесении изменений в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 7 декабря 2021 г. № 1312».
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2❤1🤔1
This media is not supported in your browser
VIEW IN TELEGRAM
Обсудим трансформацию ИБ в бизнес-функцию.
Не пропустите!
#подкаст
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8⚡2❤2🤩2
Forwarded from Банковское обозрение
🛟Цена безопасности
Риск-ориентированный подход в ИБ необходим для понимания того, как именно IT-система защищается в то или иное время. Вторая межотраслевая конференция АБИСС по регуляторике в сфере ИБ доказала этот факт
📲ЧИТАТЬ
#БО_аналитика
Риск-ориентированный подход в ИБ необходим для понимания того, как именно IT-система защищается в то или иное время. Вторая межотраслевая конференция АБИСС по регуляторике в сфере ИБ доказала этот факт
📲ЧИТАТЬ
#БО_аналитика
🔥3👍2
Первый этап
Второй этап
Для формирования шкалы критичности составьте перечень последствий, которые могут наступить в случае инцидента операционной надежности, и присвойте каждому последствию уровень критичности воздействий.
В качестве показателей критичности можно использовать денежные или процентные суммы, связанные с получением дохода или с его возможной потерей. Помимо этого можно использовать качественные характеристики, например, показатели, связанные с репутационным ущербом. К этой шкале всегда можно вернуться и актуализировать ее в зависимости от новых факторов. #опернадежность
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2👏1
В этот раз ведущие Анастасия Харыбина, Тимофей Матреницкий и приглашенный независимый эксперт Фаина Митрофанова говорили о том, каким образом можно трансформировать ИБ в полноценную бизнес-функцию организации.
Участники подкаста обсудили:
Смотрите и слушайте, где вам будет удобно:
Приятного просмотра!
#подкаст
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥3❤1👏1
Первый этап
Второй этап
Третий этап
На практике данный этап выходит самым ресурсоемким и длительным. Он включает в себя картирование основных бизнес-процессов и исследование технологических участков. На этом этапе уже установлено, как то или иное событие скажется на бизнес-процессах компании.
Бизнес-процесс неразрывно связан с определенными информационными системами, которые помогают его осуществлять. Информационные системы, в свою очередь, напрямую зависят от той инфраструктуры, на которой они развернуты. Если происходит какое-то негативное событие, оно может стать причиной деградации или даже полной остановки бизнес-процесса, что приводит к потере доходов финансовой организацией.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥2
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤4🔥2⚡1
Первый этап
Второй этап
Третий этап
Четвёртый этап
На данном этапе проводится анализ последствий негативных событий и ранжирование возможного ущерба. Можно изучить опыт российских и зарубежных компаний: посмотреть причины и размеры ущербов, которые понесли финансовые организации за последние несколько лет.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Forwarded from AM Live (oleg IV)
Тема категорирования объектов КИИ по требованиям 187-ФЗ была одной из основных для обсуждения во время проведения в Москве второй межотраслевой конференции по регуляторике в сфере ИБ. Мероприятие организовала ассоциация пользователей стандартов по информационной безопасности (АБИСС).
Anti-Malware
Категорирование объектов КИИ по 187-ФЗ
Тема категорирования объектов КИИ по требованиям 187-ФЗ была одной из основных для обсуждения во время проведения в Москве второй межотраслевой конференции по регуляторике в сфере ИБ. Мероприятие
👍1