Forwarded from Листок бюрократической защиты информации
Рассмотрение проектов национальных стандартов
Продолжается деятельность технического комитета по стандартизации «Защита информации» (ТК 362). Организациям-членам ТК 362 направлены на обсуждение проекты национальных стандартов:
ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Требования».
ГОСТ Р «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации».
ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения».
https://fstec.ru/component/attachments/download/2432
https://fstec.ru/component/attachments/download/2430
Продолжается деятельность технического комитета по стандартизации «Защита информации» (ТК 362). Организациям-членам ТК 362 направлены на обсуждение проекты национальных стандартов:
ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Требования».
ГОСТ Р «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации».
ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения».
https://fstec.ru/component/attachments/download/2432
https://fstec.ru/component/attachments/download/2430
Extracting More Value from IoT, Using COBIT 2019
http://m.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=1218
http://m.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=1218
Defense Innovation Board wants to help DOD understand zero trust - FedScoop
https://www.fedscoop.com/zero-trust-defense-innovation-board-paper/
https://www.fedscoop.com/zero-trust-defense-innovation-board-paper/
FedScoop
Defense Innovation Board wants to help DOD understand zero trust - FedScoop
The Pentagon’s technology advisory board is urging the military to implement zero trust architecture (ZTA) for network access, and it has produced a new document on how and where the increasingly popular mode of security can be a good fit. The Defense Innovation…
Forwarded from RUSCADASEC news: Кибербезопасность АСУ ТП (Anton Shipulin)
The Forum of Incident Response and Security Teams (FIRST) анонсировал Common Vulnerability Scoring System (CVSS) версия 3.1
В новую версию системы оценки уязвимостей добавили возможность провайдерам оценок добавлять дополнительные метрики и группы метрик, которых ранее не хватало для некоторых отраслей. В частности, специалисты про промышленной кибербезопасности жаловались, что прежняя система не учитывала возможный негативный эффект уязвимостей в компонентах систем промышленной автоматизации
FIRST опубликовал спецификацию системы, калькулятор, инструкцию по его использованию и примеры. А также обновил новыми терминами CVSS Glossary of Terms
https://www.first.org/cvss/v3-1/
В новую версию системы оценки уязвимостей добавили возможность провайдерам оценок добавлять дополнительные метрики и группы метрик, которых ранее не хватало для некоторых отраслей. В частности, специалисты про промышленной кибербезопасности жаловались, что прежняя система не учитывала возможный негативный эффект уязвимостей в компонентах систем промышленной автоматизации
FIRST опубликовал спецификацию системы, калькулятор, инструкцию по его использованию и примеры. А также обновил новыми терминами CVSS Glossary of Terms
https://www.first.org/cvss/v3-1/
FIRST — Forum of Incident Response and Security Teams
Common Vulnerability Scoring System
Forwarded from RUSCADASEC news: Кибербезопасность АСУ ТП (Anton Shipulin)
Ralph Langner выпустил пятую редакцию своего набора шаблонов документов Simple Cyber Governance Program, для построения процессов системы управления информационной безопасностью для технологических систем (ISMS for OT/ICS). Набор коммерческий, но для промышленных предприятий доступна возможность скачать документы для ознакомления и для примера. Включает документы:
• HIGH-LEVEL MANAGEMENT PLAN
• DETAILED EXECUTION PLAN
• GLOSSARY
• METRICS FOR MEASURING PROGRESS
• ASSET INVENTORY SPECIFICATIONS
• NETWORK DIAGRAM STYLE GUIDE
• DATA FLOW DIAGRAM STYLE GUIDE
• NW & ENDPOINT REFERENCE ARCHITECTURE
• DETAILED SYSTEM PROCUREMENT LANGUAGE
• INCIDENT MANAGEMENT PROCESS DETAILS
• VULNERABILITY MANAGEMENT PROCESS DETAILS
• ROLES AND RESPONSIBILITIES
• ROLE SPECIFIC CYBER SECURITY POLICIES
• TRAINING CURRICULUM
https://www.langner.com/scgp/
• HIGH-LEVEL MANAGEMENT PLAN
• DETAILED EXECUTION PLAN
• GLOSSARY
• METRICS FOR MEASURING PROGRESS
• ASSET INVENTORY SPECIFICATIONS
• NETWORK DIAGRAM STYLE GUIDE
• DATA FLOW DIAGRAM STYLE GUIDE
• NW & ENDPOINT REFERENCE ARCHITECTURE
• DETAILED SYSTEM PROCUREMENT LANGUAGE
• INCIDENT MANAGEMENT PROCESS DETAILS
• VULNERABILITY MANAGEMENT PROCESS DETAILS
• ROLES AND RESPONSIBILITIES
• ROLE SPECIFIC CYBER SECURITY POLICIES
• TRAINING CURRICULUM
https://www.langner.com/scgp/
OTbase by Langner
OT/ICS security policy templates that will save you man-years of labor
Ready-made, proven cyber policy templates for OT/ICS, developed by the team that cracked Stuxnet. 2019 edition!
Forwarded from RUSCADASEC news: Кибербезопасность АСУ ТП (Anton Shipulin)
Напомню, что существует похожий бесплатный набор шаблонов документов для СУИБ промышленных систем
https://nathanpocock.github.io/I-ISMS/
https://nathanpocock.github.io/I-ISMS/
nathanpocock.github.io
Industrial Information Management Security System Template Library
Information Security Management System Document Template Library for Industrial Operations
Возможные замены аутентификации по смс.
ChipTANs (TAN generator devices provided by banks)
Photo-TANs (a special mobile app or reader device that photographs a “barcode” on the computer screen and generates the TAN number)
Push-TANs (via a specialized Tan app) or
Digital signatures (via smart cards).
ChipTANs (TAN generator devices provided by banks)
Photo-TANs (a special mobile app or reader device that photographs a “barcode” on the computer screen and generates the TAN number)
Push-TANs (via a specialized Tan app) or
Digital signatures (via smart cards).
Второй монитор как угроза: нецелевое использование интернет трафика для стриминга спорта.
https://www.helpnetsecurity.com/2019/07/10/second-screens-threat/
https://www.helpnetsecurity.com/2019/07/10/second-screens-threat/
Help Net Security
The pervasive use of second screens endangers corporate IT networks - Help Net Security
Many people today use their additional monitor to stream music and watch sporting events and companies are struggling to cope with the extra bandwidth.
Forwarded from Пост Лукацкого
Институт будущего человечества при университете Оксфорда оценил наиболее серьезные технологических проблемы ближайших 10 лет. Приватность данных, кибератаки, цифровые манипуляции (фейки), повсеместное наблюдение... Максимальная вероятность именно у данных проблем pic.twitter.com/aIWgPMpkCf
— Alexey Lukatsky (@alukatsky) July 14, 2019
— Alexey Lukatsky (@alukatsky) July 14, 2019
Twitter
Alexey Lukatsky
Институт будущего человечества при университете Оксфорда оценил наиболее серьезные технологических проблемы ближайших 10 лет. Приватность данных, кибератаки, цифровые манипуляции (фейки), повсеместное наблюдение... Максимальная вероятность именно у данных…