https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-learning-series-fireside-chat-managing-privacy-risks-nist-privacy

NCCoE Learning Series Fireside Chat: Managing Privacy Risks with the NIST Privacy Framework

🎉 Международный день защиты персональных данных

Коллеги, сегодня отмечается Международный день защиты персональных данных.

Несомненно, обеспечение безопасности персональных данных - важная сторона деятельности специалиста по информационной безопасности. Уже сейчас необходимо обеспечивать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
Все ближе тот день, когда некоторым безопасникам, заточенным под обеспечение безопасности персональных данных в информационных системах персональных данных, необходимо будет обеспечивать и требования Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», и организовывать автоматизированный обмен информацией с ГосСОПКА (речь идёт про тех, кто захочет обрабатывать биометрические персональные данные в целях идентификации и аутентификации).
Очевидно, что защите персональных данных уделяется большое внимание, поэтому желаю всем поспевать за их реализацией.

Ну и прилагаю небольшую заметочку (мысли) о том, что надо учитывать, чтобы понимать относится ли та или иная информация к персональным данным:
https://telegra.ph/O-PDn-01-27

​​🗝 ГОСТ. Криптографическая защита информации

Техническим комитетом по стандартизации «Криптографическая защита информации» (ТК 26) проводятся обсуждения по проекту предварительного национального стандарта (ПНСТ) «Информационная технология. Криптографическая защита информации. Термины и определения».

Исправлена обнаруженная Orange Tsai из DEVCORE уязвимость, позволяющая злоумышленникам удаленно выполнять код с привилегиями root на серверах, использующих решение Samba.

CVE-2021-44142 касается проблемы чтения/записи за пределами кучи в модуле vfs_fruit VFS при анализе метаданных EA в ходе открытия файлов в smbd. Уязвимый модуль предназначен для обеспечения расширенной совместимости с клиентами Apple SMB и файловыми серверами Netatalk 3 AFP.

Дело заключается в конфигурации модуля Fruit VFS по умолчанию: fruit:metadata=netatalk или fruit:resource=file. Если для обоих параметров установлены значения, отличные от значений по умолчанию, проблема не оказывает влияния на систему.

Кроме того, злоумышленникам, которые хотят использовать эту уязвимость, потребуется доступ для записи к расширенным атрибутам файла. Это может быть гость или пользователь, даже не прошедший проверку подлинности, если им разрешен такой доступ.

По данным CERT (CERT/CC), в список уязвимых платформ входят Red Hat, SUSE Linux и Ubuntu. Злоумышленники могут использовать эту уязвимость в атаках низкой сложности, не требующих вмешательства пользователя, если на целевых серверах имеются какие-либо установки Samba до версии 4.13.17.

Рекомендуем как можно скорее накатить вышедшие обновления 4.13.17, 4.14.12 и 4.15.5 или применить соответствующие патчи для исправления ошибки.

Используя обходной путь, следует помнить, что изменение настроек модуля VFS приводит к тому, что вся сохраненная информация становится недоступной, а для клиентов macOS и вовсе выглядит утраченной.