Для общественного обсуждения представлен проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».
Проект направлен на установление требования о защите информации от угроз типа «отказ в обслуживании».

Возвращаясь к теме ИИ! Смотрите какую интересную информацию публикует МинЗдрав РФ - системы на основе ИИ с удостоверением.

https://portal.egisz.rosminzdrav.ru/files/Перечень%20ИИ%20изделий%2018.07.2024.pdf

И немного про футбол в Казани:)
1) На этой седьмице многие в России узнали о футбольном клубе Сокол из Казани

https://fc-sokol.ru/?ysclid=lyuhb3lcqb86529347
Чем же он стал известен?
Это первое размещение футбольного клуба на продажу в Avito.
2) Недавно стали обсуждать и Рубин в разрезе информационной безопасности:)
Точнее тоже прекрасный PR ход, https://www.rubin-kazan.ru/season/uniform/, но в одном из варианте форм:
Зеленый комплект посвящен болельщикам клуба. Основной цвет - «кобальт зеленый светлый» из флага Республики Татарстан. В градиенте зеленого вшиты имена владельцев абонементов, которые поддерживали команду непрерывно последние 5 лет. Этот жест – дань уважения болельщикам, которые были с командой как в минуты побед, так и в непростые периоды.
С другой стороны однозначная идентификация отсутствует:)

традиционное фото. 15 этаж. ИТИС:)

В качестве продолжения!:) И, конечно, с пятницей.
Периодически на меня накатывает желания что-либо написать.
В итоге из изданий, которые известны (более или менее) список такой:
Журнал «Персональные данные» «Очередная удавка на малый бизнес?», сентябрь 2011 год.
Журнал «Персональные данные» «Аудит информационной системы – необходимый шаг», ноябрь 2011 год.
Журнал «Персональные данные» «Коробочные решения для защиты персональных данных» март, 2012 год.
Журнал «Директор по безопасности» «Как упорядочить данные в разросшейся корпоративной сети», октябрь 2013 год.
Журнал «Персональные данные» «Мертвые души наших дней» июнь, 2013 год.
Журнал «Директор по безопасности» «Что нужно знать предприятию малого бизнеса о персональных данных», январь 2014 год.
Журнал «Директор по безопасности» «Контроль интернет трафика в организации», апрель 2014 год.
Журнал «Директор по безопасности» «Контроль социальных сетей», ноябрь 2014 год.
И последнее на ХАБРе:
https://habr.com/ru/articles/826896/
https://habr.com/ru/articles/802819/
https://habr.com/ru/articles/800635/
https://habr.com/ru/articles/796823/

Кстати статья "Мертвые души наших дней" выиграла конкурс и я получил годовую бесплатную подписку на журнал, а "Директор по безопасности" ранее даже выдавал гонорар.
Но не хочется писать про ИТ, ИБ, ИИ, ЦТ и прочее. Хочется написать художственную книгу для детей:)
В институте написал одну главу своего исторического романа, где главными героями были аллюзии на всех преподавателей, но дальше не пошло.

И еще пара постов в канал:)
В информационном поле много новостей, полна горница дайджестов и т.д.
Я бы хотел обратить внимание на две новости.
1) Про Калугу-Астрал - здесь подобью некоторые цифры и распишу позже.
2) Закон http://publication.pravo.gov.ru/document/0001202307240049 внесение изменений в ФЗ "О национальной платежной системе", который должен дать инструмент возвращать финансы после мошеннических действий вступил в силу с 25 июля (был дан год на подготовку).
Основные моменты:
2.1. При наличии признаков перевода без добровольного согласия клиента оператор должен будет приостанавливать прием к исполнению распоряжения клиента на два дня, а если операция производится с использованием платежных карт или путем перевода электронных денежных средств, то отказать в выполнении операции.
2.2. Банк обязан будет проверять и счет, НА КОТОРЫЙ перечисляют деньги и сверять информацию использовался ли он ранее как мошеннический. То есть операцию проверяет не только БАНК-отправитель, но и БАНК-получатель.
2.3. Если же клиент перевел по ошибке деньги мошенникам, а кредитная организация не заблокировала этот платеж, то ее обяжут вернуть средства в полном объеме. Сделать это банк должен в течение 30 дней после заявления клиента (60 дней, если перевод за рубеж).
Но теперь надо будет смотреть судебную практику - и это очень интересно.
Очень давно один из банков предлагал мне направлять клиентов, которые потеряли деньги для расследований - заниматься форензикой и рекомендациями.
В целом, также по одной активности, изучил (для объективности это было 8 лет назад) условия всех банков по предоставлению услуг банк-клиент и везде были рекомендации, которые было необходимо выполнить для обеспечения безопасности.
Ни одна организация данные рекомендации в полном объеме не выполняла.
Но в моем чек-листе аудита появился блок и рекомендации как проводить платежи и с точки зрения ИБ, и с точки зрения цифровизации.

Но если вам отзывается канал и вы еще здесь, то прошу рекомендовать канал друзьям, коллегам, родственникам и другим лицам (безусловно, если это не противоречит вашим убеждениям:)
И, конечно, пишите свои вопросы.
Хороших выходных!

Этим сообщением я начну серию сообщений про экономику злоумышленников и известные кейсы.
Собственно логика и экономика очевидна.
Легче вскрывать большие источники данных: все централизованно, аккуратно собрано и приготовлено:)
Плюс к этому утверждению, часто, когда, компании "бегут" в управление большими данными, по той же
концепции ELK, мало кто думает о рисках (в том числе информационной безопасности).
ELK это аббревиатура от Elasticsearch (search engine – для хранения и быстрого поиска структурированных данных),
Logstash (collector – для приема в различном формате данных, их фильтрации и преобразования, и последующей отправки в различные базы данных) и
Kibana (инструмент для визуализации).
Концепция так и стала называться ELK, но продукты могут быть (и бывают) другие.
В канале я писал уже об этом, например, https://tttttt.me/dorofeevvi/777
Но утечки данных через ELK не единичны:
1) в 2020 году утечку данных из ELK допустим Decathlon.
2) в том же году Microsoft (некорректная настройка ELK).
3) в 2019 года утечка из ELK Ascencion.
4) в 2022 году писали об утечке "Билайн" из ELK, которую в дальнейшем "Билайн" не подверждал.
Если продолжать список, то нередко в этом списке будут представители ИТ и (или) ИБ рынка.
Сапожник без своих изделий проговорите Вы? Не совсем, но и такое бывает.
Недавно в новостной ленте одного из интеграторов Республики Татарстан была новость, что они выплатят финансовую мотивацию за реализацию фишинговой атаки.
Прочитав подробности, предположил (мое оценочное суждение), что это скорее именно маркетинговый ход, но молодцы в любом случае:)
Потенциальной угрозой вполне могут быть и они - ведь сколько у них всего "вкусного" о многих компаниях.

ГОСТ по безопасности и защите систем контроля промышленной автоматизации (IACS)

Опубликован ГОСТ Р 71452-2024 «Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла», который содержит требования и рекомендации по обеспечению и подтверждению функциональной безопасности и защиты информации на различных этапах жизненного цикла систем промышленной автоматизации (IACS).
Указанный стандарт вводится в действие 01.07.2025.

И, по этой же методике, мне недавно заблокировали оплату за тлг-премиум.
Оператору звонил и уточнил, наверное, мой звонок далеко не первый? говорит да.
Стали интересны цифры:
1) на конец года (2023) платных подписчиков у тлг было около 4 млн. (сейчас наверняка более). Но это цифра мало, что нам скажет, так как аудитория тлг большая и много приходится и на азиатские страны.
2) предположим, что 2 млн. премиальных аккаунтов в России.
3) сбербанк по использованию в России на 1 месте и забирает до 35% рынка, то есть это 500-700 тысяч переводов, которые могли бы банком быть заблокированы, что превратится в лишние звонки, работу операторов, которую можно было бы проанализировать и секвестировать.

С пятницей друзья, хороших выходных:)

Слежу за «квантовыми проектами». Когда читаю про сквозные технологии цифровой трансформации иногда и до квантовых технологий дохожу. Интересная новость: https://strana-rosatom.ru/2024/08/01/kvantovyj-skachok-kakie-proekty-poluch/ - какие проекты получат федеральную поддержку.

Об угрозе безопасности информации при использовании браузера «Спутник»
НКЦКИ предупреждает о рисках компрометации информации при использовании браузера «Спутник»
Первая версия Спутник Браузера была представлена в сентябре 2015 года в рамках государственной задачи по разработке доступных социальных сервисов для работы в интернете.
В 2016 году Спутник Браузер начал поддерживать российскую криптографию (КриптоПро, версия 4 и выше), а вскоре прошёл сертификацию на соответствие требованиям ФСБ России.

С 2020 года поддержку и разработку браузера осуществляла компания ООО «СпутникЛаб», входящая в группу компаний ПАО «Ростелеком».

Техническая поддержка браузера прекращена в 2022 году, а связанное с ним доменное имя принадлежит американской компании.
Браузер Спутник один из немногих браузеров, который поддерживал ГОСТовое шифрование. 1 апреля 2024 года Госзакупки отказались от поддержки данного браузера.

Проверил себя.
Еще 17 июля 2023 года публиковал отчет Navigating Third-Party Security Risks in 2023: Mid-Year Insights and Trend (https://panorays.com/resources/guides/third-party-security-risks/).
В целом, как я вижу, это пошел новый тренд - управление безопасностью цепочек поставок.
В информационном поле все больше подобных докладов, но это было всегда! Это в целом давно описано и в стандартах, например, ISO 27001.
Как всегда пример на пальцах:
Вы отдаете в починку свой телефон? как вы обезопасили себя, от риска, что мастер скопирует себе всю переписку, все фотографии.
Крупная компания отдает компьютеры на обслуживание, вопрос тот же самый?
Злоумышленнику стало легче атаковать компанию по цепочке. Как быть? есть основные три варианта.
Так вот про цепочку?
Какой рынок занимал ИБ-интегратор Аванпост? https://www.avanpost.ru
Но 28 июля сего года они также сообщили об атаке на себя и рекомендовали всем своим партнерам изменить данные для доступа, которые были выделены компаниями для выполнения функций их сотрудникам (аванпост).
Размещаю данный пост с утра понедельника, чтобы вы о нем задумались.
Причем не только о рисках ИБ по всей цепочке, но иб об обучении их базовым навыкам, например, я как-то считал, что легче партнерам самим оплатить доступ в ЭДО и обучить их, чем ждать от них этого:)

Прекрасной среды коллеги!
К чему я писал последний абзац, я, все-таки, сел и написал три главы приключенческой книги - отправил на модерацию - буду ждать:)

"Бескондукторная система оплаты проезда доберется и до автобусов Казани" - такая новость в казанских пабликах.
Но я точно помню этот проект еще из детства:)

Всегда говорил, что сбор отпечатков пальцев это хорошо, но всегда будет утверждение, что это избыточный сбор персональных данных.
Пример про РязГМУ.
С 1 сентября решили запустить СКУД по отпечаткам пальцев, что привело к возмущению и вопросам обоснованности.
В своих комментариях РязГМУ сослалось на ФЗ «О противодействии терроризму».
https://www.ryazan.kp.ru/daily/27617/4968736/