Взгляд сингапурского регулятора на безопасность использования биометрии.
https://www.pdpc.gov.sg/news-and-events/announcements/2022/05/guide-on-the-responsible-use-of-biometric-data-in-security-applications-now-available
https://www.pdpc.gov.sg/news-and-events/announcements/2022/05/guide-on-the-responsible-use-of-biometric-data-in-security-applications-now-available
www.pdpc.gov.sg
PDPC | Guide on the Responsible Use of Biometric Data in Security Applications Now Available
👍2
Forwarded from Privacy Advocates (Alexey Muntyan)
🇷🇺🏛️📝 #рф #цб #согласие #платформа
Банк России в течение 3 лет запустит единую платформу "Согласие" по управлению согласием на использование персональных данных.
💡Идея состоит в том, чтобы у человека или представителя бизнеса была возможность управлять своими персональными данными или данными своей компании с его согласия, и, более того, можно было отозвать это согласие или, например, установить срок его использования.
🔹Некоторые подробности о платформе можно узнать в статье РБК.
Банк России в течение 3 лет запустит единую платформу "Согласие" по управлению согласием на использование персональных данных.
💡Идея состоит в том, чтобы у человека или представителя бизнеса была возможность управлять своими персональными данными или данными своей компании с его согласия, и, более того, можно было отозвать это согласие или, например, установить срок его использования.
🔹Некоторые подробности о платформе можно узнать в статье РБК.
bankinform.ru
Банк России в течение 3 лет запустит единую платформу по управлению согласием на использование персональных данных
👍2
ISACARuSec
"фреймворки" по безопасной разработке по версии Swordfish #phd
Коллеги из Свордфиш любезно поделились презентацией.
Insights Into China’s Personal Information Protection Law
https://store.isaca.org/s/#/store/browse/detail/a2S4w000005FJgmEAG
https://store.isaca.org/s/#/store/browse/detail/a2S4w000005FJgmEAG
https://rg.ru/gazeta/rg-spec/2022/05/18.html РОССИЙСКАЯ ГАЗЕТА : СПЕЦВЫПУСК — КИБЕРБЕЗОПАСНОСТЬ
Forwarded from Пост Лукацкого
Вчера, на PHDays 11 мне довелось модерировать круглый стол «Развитие открытого кода для решений в кибербезопасности и открытого ПО для корпоративного сектора» и уже традиционно я хотел бы поделиться ключевыми тезисами, прозвучавшими на нем, а также высказать ряд своих мыслей относительно заявленной темы
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Краткие итоги круглого стола «Развитие открытого кода для решений в кибербезопасности и открытого ПО для корпоративного сектора»
Вчера, на PHDays 11 мне довелось модерировать круглый стол "Развитие открытого кода для решений в кибербезопасности и открытого ПО для корпоративного сектора" и уже традиционно я хотел бы поделиться ключевыми тезисами, прозвучавшими на нем, а также высказать…
Forwarded from SecAtor
VMware исправила критическую уязвимость обхода аутентификации в своих продуктах Workspace ONE Access, VMware Identity Manager (vIDM) и vRealize Automation.
Об уязвимости CVE-2022-22972 сообщил Бруно Лопес из Innotec Security. Как пояснил исследователь, злоумышленник с сетевым доступом к пользовательскому интерфейсу может получить административный доступ без необходимости аутентификации. Последствия ее эксплуатации достаточно серьезны.
Компания также исправила вторую уязвимость локального повышения привилегий высокой степени серьезности, которая отслеживается как CVE-2022-22973 и может позволить злоумышленникам повысить права доступа на неисправленных устройствах до уровня «root». Ошибка затрагивает VMware Workspace ONE, VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), Облачный фонд VMware, vRealize Suite.
Учитывая критический характер выявленных баг, разработки призывает как можно скорее применить обновления в соответствии с инструкциями в VMSA-2021-0014
VMware предлагает также обходные пути для администраторов, которые не могут возможности оперативно пропатчить свои устройства. Эти меры предполагают отключение всех пользователей, кроме одного администратора, с последующим входом в систему через SSH для перезапуска службы Horizon-Workspace.
В тоже время компания не рекомендует их применять, склоняясь к единственному надежному варианта - установке соответствующих исправлений для уязвимых продуктов.
VMware не раскрывает сведений об использовании уязвимостей в дикой природе, однако если обратить внимание на вышедшую вчера чрезвычайную директиву 22-03 Агентства кибербезопасности и безопасности инфраструктуры США (CISA) в отношении исправления CVE-2022-22972 и CVE-2022-22973 в течение 5 дней, то вероятнее всего, риск атак потенциально неизбежен.
В прошлый раз злоумышленникам понадобилось 48 часов на реверс-инжинеринг патчей (апрельские исправления CVE-2022-229600 и CVE-2022-22954) и разработку эксплойта для начала атак.
Об уязвимости CVE-2022-22972 сообщил Бруно Лопес из Innotec Security. Как пояснил исследователь, злоумышленник с сетевым доступом к пользовательскому интерфейсу может получить административный доступ без необходимости аутентификации. Последствия ее эксплуатации достаточно серьезны.
Компания также исправила вторую уязвимость локального повышения привилегий высокой степени серьезности, которая отслеживается как CVE-2022-22973 и может позволить злоумышленникам повысить права доступа на неисправленных устройствах до уровня «root». Ошибка затрагивает VMware Workspace ONE, VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), Облачный фонд VMware, vRealize Suite.
Учитывая критический характер выявленных баг, разработки призывает как можно скорее применить обновления в соответствии с инструкциями в VMSA-2021-0014
VMware предлагает также обходные пути для администраторов, которые не могут возможности оперативно пропатчить свои устройства. Эти меры предполагают отключение всех пользователей, кроме одного администратора, с последующим входом в систему через SSH для перезапуска службы Horizon-Workspace.
В тоже время компания не рекомендует их применять, склоняясь к единственному надежному варианта - установке соответствующих исправлений для уязвимых продуктов.
VMware не раскрывает сведений об использовании уязвимостей в дикой природе, однако если обратить внимание на вышедшую вчера чрезвычайную директиву 22-03 Агентства кибербезопасности и безопасности инфраструктуры США (CISA) в отношении исправления CVE-2022-22972 и CVE-2022-22973 в течение 5 дней, то вероятнее всего, риск атак потенциально неизбежен.
В прошлый раз злоумышленникам понадобилось 48 часов на реверс-инжинеринг патчей (апрельские исправления CVE-2022-229600 и CVE-2022-22954) и разработку эксплойта для начала атак.
👍1
https://csrc.nist.gov/projects/cryptographic-module-validation-program
NIST Revises Special Publications 800-140C and 800-140D for the CMVP
NIST has published revisions of two Special Publications (SP) that identify security functions and sensitive security parameter generation and establishment methods allowed within the context of the Cryptographic Module Validation Program (CMVP):
NIST SP 800-140Cr1, CMVP Approved Security Functions
NIST SP 800-140Dr1, CMVP Approved Sensitive Security Parameter Generation and Establishment Methods
Each publication introduces the security function naming conventions that will be used for validation submissions and certificates. The revisions also add and remove references to other standards and recommendations. For a complete list of changes, see the Document Revisions section at the end of each publication.
NIST Revises Special Publications 800-140C and 800-140D for the CMVP
NIST has published revisions of two Special Publications (SP) that identify security functions and sensitive security parameter generation and establishment methods allowed within the context of the Cryptographic Module Validation Program (CMVP):
NIST SP 800-140Cr1, CMVP Approved Security Functions
NIST SP 800-140Dr1, CMVP Approved Sensitive Security Parameter Generation and Establishment Methods
Each publication introduces the security function naming conventions that will be used for validation submissions and certificates. The revisions also add and remove references to other standards and recommendations. For a complete list of changes, see the Document Revisions section at the end of each publication.
CSRC | NIST
Cryptographic Module Validation Program | CSRC | CSRC
Welcome to the CMVP The Cryptographic Module Validation Program (CMVP) is a joint effort between the National Institute of Standards and Technology under the Department of Commerce and the Canadian Centre for Cyber Security, a branch of the Communications…
Forwarded from Пост Лукацкого
Новый RFC 9234 по защите от утечек маршрутов в Интернет разработан благодаря россиянам. Хоть где-то нас еще не выпиливают и не изгоняют!
IETF Datatracker
RFC 9234: Route Leak Prevention and Detection Using Roles in UPDATE and OPEN Messages
Route leaks are the propagation of BGP prefixes that violate assumptions of BGP topology relationships, e.g., announcing a route learned from one transit provider to another transit provider or a lateral (i.e., non-transit) peer or announcing a route learned…
https://store.isaca.org/s/community-event?id=a334w000004o9psAAA
Virtual Summit—Risk Management Techniques for the Real World
Virtual Summit—Risk Management Techniques for the Real World