ZLONOV

Большое обновление подборки чатов и каналов Telegram по информационной безопасности: https://zlonov.ru/blog/telegram-security-list-2025/

Сама подборка: https://zlonov.ru/lists/telegram/

Минтруд пополнил перечень уполномоченных органов, ответственных за организацию перехода субъектов КИИ на преимущественное применение ДПАК на принадлежащих им ЗО КИИ в банковской сфере и иных сферах финансового рынка (в части вопросов организации перехода субъектов КИИ, созданных РФ в целях осуществления государством пенсионного обеспечения, обязательного пенсионного страхования и обязательного соцстрахования).

https://hub.zlonov.ru/laws/Постановления-Правительства-РФ/ПП-1915-от-26.12.2024

Что-то вроде итогов 2024-го года https://zlonov.ru/top-2024/

Опубликован свежий обзор изменений законодательства ИТ и ИБ за ноябрь 2024 года: https://www.ussc.ru/news/novosti/obzor-izmeneniy-v-zakonodatelstve-it-i-ib-za-noyabr-2024-goda/

В свою очередь разместил у себя в Хабе его адаптированную версию с ссылками на карточки упоминаемых НПА в виде вставок с комментариями: https://hub.zlonov.ru/laws/reviews/2024-11-USSC-review

#пятничное

Уже скоро мне предстоит в очередной раз обновить обзор чатов и каналов Telegram по информационной безопасности, но совсем недавно узнал о канале, молчать про который, дожидаясь ежегодного обзора, сил моих нет =)

100+ ИБ-шпаргалок публикуют PDF-файлы из свёрстанных, полагаю, в Word таблиц с подборками на самые разные ИБ-тематики. Может, формат и не самый удачный, но контент точно достоин внимания. 363 подписчика не должно никого смущать - это явно недоразумение и вы, подписавшись, можете помочь его устранить ;-)

Мои коллеги из УЦСБ подготовили вебинар по свежим изменениям в законодательстве о персональных данных: “Ответственность за нарушение 152-ФЗ: Новые составы правонарушений и оборотные штрафы – что нас ждет?”. Пройдёт 10 декабря в 12:00 (МСК), регистрация тут: https://sec.ussc.ru/shtrafy_pdn

Минпромторг проводит конкурс на НИР стоимостью 1 036 000 000,00 ₽ по теме перехода субъектов КИИ на ДПАК. Любопытно, во сколько можно оценить сам переход?

Выполнение научно-исследовательской работы «Организация перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры», шифр «Технологический суверенитет»

https://zakupki.gov.ru/epz/order/notice/ok20/view/documents.html?regNumber=0173100009524000188

В опросе к посту про сертифицированные ОС набралось 200 респондентов. Результаты опроса, в целом, ожидаемые.

Свежий прогноз от ЦСР: Рынок кибербезопасности в Российской Федерации 2024-2028.

 > Исследование проводилось с апреля по сентябрь 2024 года на основе анализа открытых источников о выручке основных вендоров продуктов информационной безопасности за 2023 год, непосредственного опроса вендоров и дистрибьюторов — представителей основных игроков российского рынка. При интерпретации результатов в спорных случаях мы исходили из принципа добросовестности игроков рынка и доверяли предоставленным сведениям.

Ссылка: https://www.csr.ru/ru/research/prognoz-razvitiya-rynka-kiberbezopasnosti-v-rossiyskoy-federatsii-na-2024-2028-gody/

Без секции или, как минимум, доклада по Безопасной разработке уже не обходится, пожалуй, ни одна из конференций по ИБ. Что и не удивительно - этот сегмента рынка неуклонно растёт.

Но проходят ещё и отдельные мероприятия исключительно про AppSec/Secure SDLC. Из ближайших мне, например, известны вот такие три (ниже). Добавляйте в комментариях, если ещё какие-то знаете.

- 10.10.2024 Вебинар DevSecOps: прошлое, настоящее и будущее анализа безопасности приложений
https://cloudnetworks.ru/meropriyatiya/vebinar-devsecops-proshloe-nastoyashhie-i-budushhee-analiza-bezopasnosti-prilozhenij/

- 30.10.2024 Конференция по безопасности приложений SafeCode 2024 Autumn
https://safecodeconf.ru

- 01.11.2024 Презентация комплексного решения для безопасной разработки Apsafe
https://sec.ussc.ru/presentation-apsafe

Золотые слова, Георгий Георгиевич [Бовт]!

https://www.bfm.ru/news/558666

Выборка сертифицированных систем управления базами данных из реестра ФСТЭК России: https://zlonov.ru/fstec-dbms-2024/

Несколько раз уже попадалось, но всё равно смешно =)

- Какая гадость эта ваша динамическая типизация!...

#пятничное во вторник

Хорошая подборка судебной практики по вопросам применения простой электронной подписи (ПЭП):
https://www.garant.ru/ia/opinion/author/deryujinskiy/1749540/

Спойлер: ПЭП часто не признают в суде.

Фонд «Центр стратегических разработок» опубликовал отчёт “Оценка рынка безопасной разработки программного обеспечения в Российской Федерации”.

На самом деле оценён рынок только средств (инструментов) безопасной разработки без учёта сопутствующих услуг. Сама методология тоже не бесспорна, но в целом для примерной оценки - вполне можно опираться.

Ссылка: https://www.csr.ru/ru/research/otsenka-rynka-bezopasnoy-razrabotki-programmnogo-obespecheniya-v-rossiyskoy-federatsii/

Новость CNews: https://safe.cnews.ru/news/line/2024-08-30_issledovanie_tssr_obem_rossijskogo

Если кому-то вдруг не хватало отечественных NGFW, то вот, пожалуйста, ещё один игрок:

МТС RED, дочерняя компания ПАО «МТС»), выходит на рынок высокопроизводительных многофункциональных межсетевых экранов, представив на закрытом клиентском мероприятии прототип МТС RED NGFW. Уже сейчас решение показывает высокую скорость фильтрации трафика – до 50 Гбит/с в режиме NGFW, удовлетворяя потребности в сетевой защите крупных компаний. В перспективе года этот показатель планируется увеличить до 100 Гбит/с.

https://mts.red/articles/mts-red-vpervye-prodemonstriroval-prototip-mts-red-ngfw

(картинка - творчество YaART)

Продолжается планомерная борьба с «левыми» и/или «обезличенными» SIM-картами:

- Внести оплату наличными можно будет […] только при предъявлении документа, удостоверяющего личность, или с использованием ЕСИА […];

- физлицу может быть выделено операторами сотовой связи и предоставлено в пользование абонентами - юридическими лицами либо ИП в совокупности не более 20 абонентских номеров;

- иностранному гражданину […] может быть выделено в совокупности не более 10 абонентских номеров (в это число входят и личные, и корпоративные номера);

- в договор об оказании услуг подвижной радиотелефонной связи с иностранным гражданином […] будут включать сведения о пользовательском оборудовании (об оконечном оборудовании) […].

Из удобств:

- у физлиц [С 1 апреля 2025 г.] появится возможность подавать через Единый портал госуслуг запрос о заключенных с ними договорах об оказании услуг подвижной радиотелефонной связи и выделенных по ним абонентских номерах в Роскомнадзор.

Подробнее: https://www.garant.ru/news/1748849/

Общественный(?) проект Surveillance Watch предлагает ознакомиться с интерактивной картой “сети компаний, осуществляющих слежку, их дочерних компаний, партнеров и финансовых спонсоров”. Про Россию информация тоже представлена.

https://www.surveillancewatch.io/

Вообще не про ИБ, но впечатляет: мобильный лазерный комплекс (МЛК) впервые был использован для демонтажа выведенных из эксплуатации высотных металлоконструкций – кранов-перегружателей ТЭЦ в Кургане.

Пресс-релиз: https://atommedia.online/2024/08/14/lazernuju-ustanovku-rosatoma-vperv/

Характеристики МЛК: https://www.triniti.ru/catalog/lazernye-tekhnologii/mobilnyy-lazernyy-tekhnologicheskiy-kompleks-mltk/

Шедеврально =)

Опыт — это то, что получаешь, когда не получил того, что хотел (с) Ну, или то, чем поделятся мои коллеги на очередном вебинаре цикла про безопасность КИИ.

Тема по безопасной разработке сейчас особенно актуальна, а когда без необходимости самостоятельно вникать во все нюансы и штудировать свежую нормативку тебе всё раскладывают по полочкам, да ещё и с примерами (конечно, немало реализованных УЦСБ по этой теме проектов мне знакомы “изнутри”, но, понятно, далеко не все) - устоять просто не возможно! Пожалуй, я и не устою =) И вы не устаивайте, если заявленные тезисы интересны:
_______________________

9 июля (вторник) в 12:00 (мск) состоится вебинар УЦСБ «Безопасная разработка ПО для значимых объектов КИИ».

Мы расскажем:
- Какие существуют требования регуляторов к прикладному ПО, которое обеспечивает выполнение функций значимых объектов КИИ
- Кто должен реализовать требования Приказа ФСТЭК России от 25 декабря 2017 г. N 239 и как им соответствовать
- Как выстроить процессы безопасной разработки в организации и какие инструменты для этого необходимы
- А также поделимся практическими кейсами

Вебинар ориентирован на:
- Топ-менеджмент организаций, подпадающих под сферу действия 187-ФЗ
- Руководителей и сотрудников отделов кибербезопасности субъектов КИИ
- Всех, кто интересуется защитой данных и кибербезопасностью

Для участия в вебинаре необходимо зарегистрироваться на его странице: https://www.kiiussc.ru

Участники мероприятия получат запись встречи и презентацию, а также приятный подарок (мерч УЦСБ) за самый интересный вопрос.

Отличное дополнение к мерам ОДТ.1 #пятничное

Смотрю, тема импортозамещения - прямо кладезь вдохновения для маркетологов :) #IT_IS_conf_2024

Натуральное мороженое от АйТи Бастион - без винды и ГМО =)

#пятничное

Учебный центр Эшелон, преподаватели которого сами имеют сертификаты CISSP (Certified Information Systems Security Professional) и ранее проводили курсы по подготовке к сдаче соответствующего зарубежного экзамена, теперь будет готовить к сертификации ЦЫССП (зачёркнуто) к ССК (Сертифицированный специалист по кибербезопасности).

Как заявлено в описании: «Данный сертификационный экзамен является отечественным аналогом американского CISSP».

Что особо интересно в наше меркантильное время: «Онлайн-подготовка к сдаче экзамена и онлайн-экзамен будут бесплатными для соискателей».

И вот это тоже примечательный ход: «Отдельное преимущество для всех граждан России, обладающих действующим сертификатом CISSP: они смогут получить сертификат ССК без сдачи экзамена».

Пора уже Заказчикам в требованиях к исполнителю в ТЗ начинать писать: «Наличие в штате сертифицированных специалистов CISSP и/или ССК», как считаете?

- Пресс-релиз: https://npo-echelon.ru/news/12030/
- Регистрация на бесплатный курс подготовки кандидатов: https://etecs.ru/ssc/
- Примеры вопросов: https://uc-echelon.ru/wp-content/uploads/2024/05/ssk_290524_primernye_voprosy.pdf

#пятничное

Кто-то уже давно должен был такое сделать!

Специализированный мобильный браузер SFERRA от компании SafeTech - альтернатива работе с, например, личным кабинетом банка через обычный мобильный браузер. Ждём теперь появление в магазинах приложений и запуска совместных проектов с банками.

- Пресс-релиз: https://safe.cnews.ru/news/line/2024-06-06_vozmozhnosti_nativa_dlya_web-adaptiva
- Сайт производителя: https://safe-tech.ru/products/sferra/
- SFERRA на Хабе Злонова: https://hub.zlonov.ru/products/SFERRA