The CISM exam is getting an update. The CISM Exam Content Outline will be updated 1 June 2022. You can still take the current CISM exam based on the current content outline until the changeover. Both CISM Exam Content Outlines are provided below.

https://www.isaca.org/credentialing/cism

Второй ролик английской ФСТЭК по стратегии выбора паролей, базирующейся на выборе трех случайных слов

IT Risk Starter Kit | Digital | English

https://store.isaca.org/s/#/store/browse/detail/a2S4w000005EgZbEAK

RCE в сетевом оборудовании Aruba и Avaya (TLStorm 2.0) позволяет получить полный доступ над сетевым устройством с последующей компрометацией инфраструктуры. В «дикой природе» пока не использовалась, но лиха беда начало. За ближайшие три рабочих дня стоит озаботиться обновлением (если есть доступ к вендорским сайтам) или использовать компенсирующие меры

⚡️ Обновление ГОСТов 34-й серии

Сегодня, если так можно выразиться, завершился процесс формирования обновлённой базы национальных стандартов на проектную документацию для создания информационных (автоматизированных) систем (см. выше).

Информация, не в последнюю очередь, для лицензиатов и соискателей лицензии ФСТЭК России на ТЗКИ, которые руководствуются Перечнем технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 (утвержден ФСТЭК России 24.07.2017).

Одна из основных фич по безопасности нового релиза Kubernetes 1.24 - поддержка сервиса электронной подписи.

https://blog.sigstore.dev/kubernetes-signals-massive-adoption-of-sigstore-for-protecting-open-source-ecosystem-73a6757da73

ФСТЭК сообщает, что разработан новая тестовая версия Банка данных угроз безопасности информации, включая и средство автоматизации моделирования угроз.

Новый раздел Банка данных угроз содержит сведения об угрозах безопасности информации, объектах и компонентах воздействия, способах реализации угроз безопасности информации, уровне возможностей нарушителей и мерах защиты информации. Также новый раздел Банка данных угроз содержит функции по формированию перечня возможных угроз безопасности информации применительно к конкретным информационным (автоматизированным) системам.

В настоящее время проводится опытная эксплуатация модернизированного раздела угроз. Предложения и замечания по новому разделу Банка данных угроз принимаются до 5 июня 2022 г.

Кроме того ФСТЭК России в настоящее время завершает разработу новой редакции Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 5 февраля 2021 г. В новой редакции Методики в качестве исходных данных для реализации процедур формирования перечня возможных угроз безопасности информации для информационных (автоматизированных) систем и сетей и определения их актуальности предусмотрено применение нового раздела Банка данных угроз. Применение нового раздела Банка данных угроз в этих целях будет возможно после его доработки по результатам общественного обсуждения и утверждения новой редакции Методики.

CNCF Security Technical Advisory Group подошла к финальной стадии подготовки Cloud Native Security Controls Catalog, который представляет из себя как не трудно догадаться из названия перечень контролей и базируется на двух документах: Cloud Native Security Whitepaper (CNSWP) и Software Supply Chain Best Practices (SSCSP).

Весь процесс состоял из двух фаз - подробнее о них тут (1,2) и сейчас до 11 мая идет голосование, получение feedback. Также уже готов мапинг пунктов этого каталога на NIST SSDF (Secure Software Development Framework), а в будущем планируется и на CSA, FedRamp, SOX, GDPR и другие стандарты. А еще планируется перевод всего в машино читаемый формат (OSCAL, JSON и т.д.), а не как сейчас Excel табличка =)

NIST has released a revision of Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST Special Publication 800-161 Revision 1). This document updates guidance on identifying, assessing, and responding to cybersecurity risks throughout the supply chain at all levels of an organization. 
https://www.nist.gov/news-events/news/2022/05/nist-updates-cybersecurity-guidance-supply-chain-risk-management

https://dcg420.org/en_active-defense-gray-zone-v2-0-by-dcg420-2/

New taxonomy MISP -> Gray Zone of Active defense includes all elements which lay between reactive defense elements and offensive operations.

Всех с пятницей! Новый гимн ISACA 😉

https://youtu.be/qBshpf-ZpD4