NIST requests additional discussion and feedback for consideration on open issues for the upcoming draft NIST Special Publication (SP) 800-63 rev. 4. NIST has posted the below items for open discussion on the GitHub repository:
IAL 1 Update - Low assurance identity proofing and enrolment
Liveness test for remote identity proofing
Differentiation of phishing-resistant authentication at AAL2
Requirements for wireless authenticators
Redefinition of verifier impersonation resistance
Requirements to strongly bind assertions to authenticated sessions at FAL3
The 60-day open discussion period will end on May 15. Important to note NIST will not be adjudicating discussions, but may offer additional clarification if needed. Please direct all feedback and discussion
· GitHub
https://github.com/usnistgov/800-63-4/issues
IAL 1 Update - Low assurance identity proofing and enrolment
Liveness test for remote identity proofing
Differentiation of phishing-resistant authentication at AAL2
Requirements for wireless authenticators
Redefinition of verifier impersonation resistance
Requirements to strongly bind assertions to authenticated sessions at FAL3
The 60-day open discussion period will end on May 15. Important to note NIST will not be adjudicating discussions, but may offer additional clarification if needed. Please direct all feedback and discussion
· GitHub
https://github.com/usnistgov/800-63-4/issues
GitHub
usnistgov/800-63-4
Contribute to usnistgov/800-63-4 development by creating an account on GitHub.
Forwarded from Positive Development Community
TLS 1.0, 1.1 официально объявлены устаревшими: https://datatracker.ietf.org/doc/rfc8996/
IETF Datatracker
RFC 8996: Deprecating TLS 1.0 and TLS 1.1
This document formally deprecates Transport Layer Security (TLS) versions 1.0 (RFC 2246) and 1.1 (RFC 4346). Accordingly, those documents have been moved to Historic status. These versions lack support for current and recommended cryptographic algorithms…
Forwarded from Пост Лукацкого
https://dsopas.github.io/MindAPI/play/ - A really comprehensive API security testing mind-map!
Планируем следующую он-лайн встречу на апрель-май. Решили разбить DevSecOps на 2 подтемы. Также вы можете предложить свою тему в чате или в личном сообщении.
Anonymous Poll
33%
1. DevSecOps - General & Piplene
40%
2. DevSecOps -Secrets management
23%
3. Threats and trends 2021
13%
4. Compliance automation
25%
5. API Security
29%
6. Kubernetes security
27%
7. SOC
Coleen Coolidge, CISO at Twilio (a unicorn) shares how to find common language with executives who didn't give a shit about security https://www.youtube.com/watch?v=b0r5vc_eCoU&list=WL&index=2
YouTube
BSidesSF 2017 - How to Build a Security Team and Program (Coleen Coolidge)
How to Build a Security Team and Program
I will share how I was able to build a security team and program from scratch at Twilio, an SF startup that just recently went IPO. I will be telling war stories that demonstrate what problems they will face and…
I will share how I was able to build a security team and program from scratch at Twilio, an SF startup that just recently went IPO. I will be telling war stories that demonstrate what problems they will face and…
ISACARuSec pinned «Планируем следующую он-лайн встречу на апрель-май. Решили разбить DevSecOps на 2 подтемы. Также вы можете предложить свою тему в чате или в личном сообщении.»
Adaptive Security
An adaptive security approach treats risk, trust and security as a continuous and adaptive process that anticipates and mitigates constantly evolving cyber threats. This approach features components for prediction, prevention, detection and response. It forgoes traditional notions of perimeter, assuming there is no boundary for safe and unsafe, a necessary conceptual shift given the migration to cloud services.
Gartner predicts that 75% of government CIOs will be directly responsible for security outside of IT by 2025, to include operational and mission-critical technology environments.
An adaptive security approach treats risk, trust and security as a continuous and adaptive process that anticipates and mitigates constantly evolving cyber threats. This approach features components for prediction, prevention, detection and response. It forgoes traditional notions of perimeter, assuming there is no boundary for safe and unsafe, a necessary conceptual shift given the migration to cloud services.
Gartner predicts that 75% of government CIOs will be directly responsible for security outside of IT by 2025, to include operational and mission-critical technology environments.
Forwarded from Ivan Begtin (Ivan Begtin)
Алексей Лукацкий проверил регуляторные документы по инфобезу через наш сервис Простой язык [1] и отметил наиболее сложную нормативку. А я со своей стороны расскажу что когда-то простой русский язык я сделал после того как потратил несколько месяцев на то чтобы адаптировать формулы английского языка под русский. Это было непросто и делал я это, Вы не поверите, брут-форсным перебором нескольких миллионов комбинаций коэффициентов.
Потому что самое главное в этих формулах - это привязка значений к годам обучения. Если формула выдаёт 10 - это означает что 10 лет надо учиться чтобы понять этот текст (примерно 9-11 классы школы), а сложность в 18 означает что учиться надо 18 лет (а то есть 11 классов школы + 5 лет ВУЗа + ещё чему-то, например, в аспирантуре) ну и так далее.
Дело в том что формулы читабельности основаны на нескольких параметрах сложности текста таких как:
- среднее число слов на предложение
- среднее число слогов в словах
- среднее число слогов на предложение
- число сложных слов на предложение
и так далее.
Есть корреляция между сложностью текста и этими и другими параметрами, но как эту корреляцию переложить в формулу? И вот для этого я собирал кучу текстов для внеклассного чтения где были рекомендации для возраста и адаптировал формулы под поиск наименьшего среднего отклонения и наименьшего максимального отклонения. Иначе говоря, если если коэффициенты у формулы должны давать результат при котором максимально допустимое отклонение в оценки сложности текста не более 2, то есть если текст для внеклассного чтения для 9-го класса то алгоритм не может ошибаться в его отношении в пределах 9-11, но не более. А среднее отклонение по всей обучающей выборке должно быть как можно ниже.
Дальше чтобы не вдаваться в сложную математику я просто перебрал все коэффициенты с шагом в 0.01 для всех формул и это заняло около месяца на нескольких домашних компьютерах.
Самой точной оказывалась формула SMOG (Simple Measure of Gobbledygook) с адаптированными коэффициентами поэтому она и является базовой в оценке plainrussian.ru.
Всё это было более 7 лет назад, сам код можно увидеть по ссылке на Github [2]. Сейчас его надо переработать чтобы лучше учитывать определение предложений, лучше понимать бюрократические тексты (нужна отдельная шкала) и ещё многое другое до чего постепенно "доходят руки".
Ссылки:
[1] https://plainrussian.ru
[2] https://github.com/infoculture/plainrussian
#plainlanguage #plainrussian
Потому что самое главное в этих формулах - это привязка значений к годам обучения. Если формула выдаёт 10 - это означает что 10 лет надо учиться чтобы понять этот текст (примерно 9-11 классы школы), а сложность в 18 означает что учиться надо 18 лет (а то есть 11 классов школы + 5 лет ВУЗа + ещё чему-то, например, в аспирантуре) ну и так далее.
Дело в том что формулы читабельности основаны на нескольких параметрах сложности текста таких как:
- среднее число слов на предложение
- среднее число слогов в словах
- среднее число слогов на предложение
- число сложных слов на предложение
и так далее.
Есть корреляция между сложностью текста и этими и другими параметрами, но как эту корреляцию переложить в формулу? И вот для этого я собирал кучу текстов для внеклассного чтения где были рекомендации для возраста и адаптировал формулы под поиск наименьшего среднего отклонения и наименьшего максимального отклонения. Иначе говоря, если если коэффициенты у формулы должны давать результат при котором максимально допустимое отклонение в оценки сложности текста не более 2, то есть если текст для внеклассного чтения для 9-го класса то алгоритм не может ошибаться в его отношении в пределах 9-11, но не более. А среднее отклонение по всей обучающей выборке должно быть как можно ниже.
Дальше чтобы не вдаваться в сложную математику я просто перебрал все коэффициенты с шагом в 0.01 для всех формул и это заняло около месяца на нескольких домашних компьютерах.
Самой точной оказывалась формула SMOG (Simple Measure of Gobbledygook) с адаптированными коэффициентами поэтому она и является базовой в оценке plainrussian.ru.
Всё это было более 7 лет назад, сам код можно увидеть по ссылке на Github [2]. Сейчас его надо переработать чтобы лучше учитывать определение предложений, лучше понимать бюрократические тексты (нужна отдельная шкала) и ещё многое другое до чего постепенно "доходят руки".
Ссылки:
[1] https://plainrussian.ru
[2] https://github.com/infoculture/plainrussian
#plainlanguage #plainrussian
www.plainrussian.ru
Проверка на понятность текстов — PlainRussian.ru
Инструмент оценки понятности текстов позволяет определить удобство чтения и простоту восприятия материалов.
https://www.cio.org/elite.html
The CIO Institute’s new report on “What Works in Finding Elite Cybersecurity Talent: Promising Practices for Chief Information Officers”
The CIO Institute’s new report on “What Works in Finding Elite Cybersecurity Talent: Promising Practices for Chief Information Officers”