'Operational guidance for the EU's international cooperation on cyber capacity building: A playbook' https://t.co/jgujHo4oAs

https://t.co/lTHxyyJ2me

061919 Wyden Sensitive Data Transmission Best Practices Letter to NIST.pdf

Сенатор США просит NIST решить проблему с безопасным фаловым обменом по почте. Запароленные зипы -угроза!

Проект изменений в Закон «О персональных данных»

Минкомсвязи планирует расширить полномочия Роскомнадзора по выработке требований и методов по обезличиванию персональных данных.
https://regulation.gov.ru/projects#npa=92372

Idaho National Laboratory (INL) выложила в публичный доступ на GitHub, инструмент Structured Threat Intelligence Graph (STIG), который призван помочь операторам предприятий критической инфраструктуры легко визуализировать, делиться, создавать и редактировать cyberthreat intelligence информацию
…The ability to share threat intelligence is essential for protecting critical infrastructure like the electric power grid, water treatment facilities, oil refineries, and manufacturing plants from cyber exploits. Prior to the development of this software, threat information was too complex and cumbersome to share, limiting its application in operational environments. The new software standardizes the collection via Structured Threat Information eXpression (STIX) and converts complex data on cybersecurity vulnerabilities into a visualization that is easy to understand and act on. With STIG, utility owners and operators have a common system for sharing threat intelligence information, thus increasing the chances of detecting and mitigating cyber exploits before they lead to a cyberattack…

https://inl.gov/article/revolutionary-cybersecurity-tool-for-protecting-energy-systems-released-on-github/

Обзор рисков хранилищ паролей.
https://medium.com/@stuartschechter/before-you-use-a-password-manager-9f5949ccf168

NIST выпустил Open Security Controls Assessment Language (OSCAL), Version 1.0.0 - https://t.co/DZdNalLXUO Это язык и набор готовых моделей для оценки реализованных защитных мер (пока поддерживается FedRAMP и NIST SP800-53)
— Alexey Lukatsky (@alukatsky) June 21, 2019

Three days ago NASA published very interesting document "Cybersecurity Management and Oversight at the Jet Propulsion Laboratory". Most media outlets mentioned it as "#NASA was hacked using #RaspberryPi". Yes, this is true and you can find information about this incident in the document by "April 2018". But it's not even the most interesting part. There are many great and funny details about their CMDB-like system "Information Technology Security Database (ITSDB)", lack of network segmentation, unpathched vulnerabilities etc. And all this in ordinary, not very formal language. It seems like a good example how Information Security should be and should NOT be managed in a big organization and awesome weekend reading. 😊

В США планируют узаконить hackback для частных компаний.

https://www.technologyreview.com/s/613844/cybersecurity-hackers-hacking-back-us-congress/

Требования к ГИС в сфере здравоохранения

На прошлой неделе наконец был официально опубликован приказ Минздрава России от 24 декабря 2018 г. № 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций». На приведение систем в соответствие даётся год, приказ вступит в силу с 1 января 2020 г.

У https://t.co/NWdz0D7R5B хороший обзор атак на прошивки, чипы и вот это вот все pic.twitter.com/P7BO3FJcEY
— Alexey Lukatsky (@alukatsky) June 24, 2019