NIST выпустил Open Security Controls Assessment Language (OSCAL), Version 1.0.0 - https://t.co/DZdNalLXUO Это язык и набор готовых моделей для оценки реализованных защитных мер (пока поддерживается FedRAMP и NIST SP800-53)
— Alexey Lukatsky (@alukatsky) June 21, 2019

Three days ago NASA published very interesting document "Cybersecurity Management and Oversight at the Jet Propulsion Laboratory". Most media outlets mentioned it as "#NASA was hacked using #RaspberryPi". Yes, this is true and you can find information about this incident in the document by "April 2018". But it's not even the most interesting part. There are many great and funny details about their CMDB-like system "Information Technology Security Database (ITSDB)", lack of network segmentation, unpathched vulnerabilities etc. And all this in ordinary, not very formal language. It seems like a good example how Information Security should be and should NOT be managed in a big organization and awesome weekend reading. 😊

В США планируют узаконить hackback для частных компаний.

https://www.technologyreview.com/s/613844/cybersecurity-hackers-hacking-back-us-congress/

Требования к ГИС в сфере здравоохранения

На прошлой неделе наконец был официально опубликован приказ Минздрава России от 24 декабря 2018 г. № 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций». На приведение систем в соответствие даётся год, приказ вступит в силу с 1 января 2020 г.

У https://t.co/NWdz0D7R5B хороший обзор атак на прошивки, чипы и вот это вот все pic.twitter.com/P7BO3FJcEY
— Alexey Lukatsky (@alukatsky) June 24, 2019

И ссылка на само исследование - https://t.co/72S7Od0O45
— Alexey Lukatsky (@alukatsky) June 24, 2019

Data Confidentiality: Identifying and Protecting Assets and Data Against Data Breaches | NCCoE
https://www.nccoe.nist.gov/projects/building-blocks/data-security/dc-detect-identify-protect

Ежегодный отчет по кибербезопасности финского агентства по транспорту и коммуникациям.

https://www.kyberturvallisuuskeskus.fi/en/news/information-security-2018-draws-lessons-cyber-security-incidents-and-looks-ahead

Microsoft запретил сотрудникам пользоваться продуктами Касперского, Гугла, Амазон, Slack и т.п. из-за боязни утечки информации - https://t.co/KZ8eKwoW9m А еще недавно все были за мир и дружбу между компаниями в общем деле борьбы за кибермир
— Alexey Lukatsky (@alukatsky) June 24, 2019

Чего творится-то. Утверждается, что китайцы взломали Fujitsu, Tata Consultancy Services, NTT Data, Dimension Data, Computer Sciences Corporation and DXC Technology, HPE и IBM - https://t.co/ChAnLBhVzz
— Alexey Lukatsky (@alukatsky) June 26, 2019

Опубликован eu cybersecurity act. 27 июня 2019 вступает в силу. Enisa переименовывается в EU Agency for cybersecurity с постоянным мандатом (у enisa был временный).

Всеевропейскай система сертификакации ИКТ(ICT) по требованиям безопасности информации начала создаваться.

Сертификация пока планируется добровольная, но с возможностью отдельными странами или другими агентствами принять в качестве обязательной.

Пока планируется три уровня доверия (assurance) basic, substantial, high.

Системой сертификации будет заниматься 2 органа European Cybersecurity Certification Group (ECCG) и Stakeholder Cybersecurity Certification Group. Запланированы общественные обсуждения всех документов и запуск информационного сайта.

Статьи акта по штрафам и наказаниям вступают в силу 28 июня 2021.

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2019.151.01.0015.01.ENG&toc=OJ:L:2019:151:TOC