NCCoE Virtual Workshop on Exploring Solutions for the Cybersecurity of Genomic Data
Wednesday, May 18–Thursday, May 19, 2022 1:00–3:30pm


https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-virtual-workshop-exploring-solutions-cybersecurity-genomic-data

Недавно один мой товарищ спросил: а как посмотреть все встроенные Kubernetes Roles (те, что используются в RBAC)?

И я задумался как же действительно встроенные/стандартные Roles попадают в кластер и решил разобраться с этим вопросом. В итоге, все они вшиты в код (вот так это выглядит для версии 1.24) и никаких отдельно, лежащих или встроенных YAML!

Можно посравнивать файл "plugin/pkg/auth/authorizer/rbac/bootstrappolicy/policy.go" из разных версий и обнаружить что, от версии к версии он периодически претерпевает изменения, так что встроенные Roles не статичны, а порой изменяются.

Webinar

Cybersecurity for the Liquefied Natural Gas Industry: A Cybersecurity Framework Profile
Tuesday, May 24, 2022 3:00–3:45pm


https://www.nccoe.nist.gov/get-involved/attend-events/cybersecurity-liquefied-natural-gas-industry-cybersecurity-framework

The CISM exam is getting an update. The CISM Exam Content Outline will be updated 1 June 2022. You can still take the current CISM exam based on the current content outline until the changeover. Both CISM Exam Content Outlines are provided below.

https://www.isaca.org/credentialing/cism

Второй ролик английской ФСТЭК по стратегии выбора паролей, базирующейся на выборе трех случайных слов

IT Risk Starter Kit | Digital | English

https://store.isaca.org/s/#/store/browse/detail/a2S4w000005EgZbEAK

RCE в сетевом оборудовании Aruba и Avaya (TLStorm 2.0) позволяет получить полный доступ над сетевым устройством с последующей компрометацией инфраструктуры. В «дикой природе» пока не использовалась, но лиха беда начало. За ближайшие три рабочих дня стоит озаботиться обновлением (если есть доступ к вендорским сайтам) или использовать компенсирующие меры

⚡️ Обновление ГОСТов 34-й серии

Сегодня, если так можно выразиться, завершился процесс формирования обновлённой базы национальных стандартов на проектную документацию для создания информационных (автоматизированных) систем (см. выше).

Информация, не в последнюю очередь, для лицензиатов и соискателей лицензии ФСТЭК России на ТЗКИ, которые руководствуются Перечнем технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 (утвержден ФСТЭК России 24.07.2017).

Одна из основных фич по безопасности нового релиза Kubernetes 1.24 - поддержка сервиса электронной подписи.

https://blog.sigstore.dev/kubernetes-signals-massive-adoption-of-sigstore-for-protecting-open-source-ecosystem-73a6757da73

ФСТЭК сообщает, что разработан новая тестовая версия Банка данных угроз безопасности информации, включая и средство автоматизации моделирования угроз.

Новый раздел Банка данных угроз содержит сведения об угрозах безопасности информации, объектах и компонентах воздействия, способах реализации угроз безопасности информации, уровне возможностей нарушителей и мерах защиты информации. Также новый раздел Банка данных угроз содержит функции по формированию перечня возможных угроз безопасности информации применительно к конкретным информационным (автоматизированным) системам.

В настоящее время проводится опытная эксплуатация модернизированного раздела угроз. Предложения и замечания по новому разделу Банка данных угроз принимаются до 5 июня 2022 г.

Кроме того ФСТЭК России в настоящее время завершает разработу новой редакции Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 5 февраля 2021 г. В новой редакции Методики в качестве исходных данных для реализации процедур формирования перечня возможных угроз безопасности информации для информационных (автоматизированных) систем и сетей и определения их актуальности предусмотрено применение нового раздела Банка данных угроз. Применение нового раздела Банка данных угроз в этих целях будет возможно после его доработки по результатам общественного обсуждения и утверждения новой редакции Методики.

CNCF Security Technical Advisory Group подошла к финальной стадии подготовки Cloud Native Security Controls Catalog, который представляет из себя как не трудно догадаться из названия перечень контролей и базируется на двух документах: Cloud Native Security Whitepaper (CNSWP) и Software Supply Chain Best Practices (SSCSP).

Весь процесс состоял из двух фаз - подробнее о них тут (1,2) и сейчас до 11 мая идет голосование, получение feedback. Также уже готов мапинг пунктов этого каталога на NIST SSDF (Secure Software Development Framework), а в будущем планируется и на CSA, FedRamp, SOX, GDPR и другие стандарты. А еще планируется перевод всего в машино читаемый формат (OSCAL, JSON и т.д.), а не как сейчас Excel табличка =)