⚡️Банк России опубликовал Методические рекомендации 7-МР от 21 марта 2024 года.

➡️Согласно документу кредитным организациям (КО) и некредитным финансовым организациям (НФО) следует унифицировать подходы к управлению риском информационной безопасности и обеспечению непрерывности оказания финансовых услуг за счет обеспечения требований новых стандартов серии «57580.хх»:

• ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения».

• ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».

➡️В 7-МР в части управления риском информационной безопасности рекомендуется:

1. Банкам с размерами активов более 500 млрд. рублей и банкам с универсальной лицензией и активами менее 500 млрд. рублей обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.3

2. Остальным КО обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.3.


➡️В 7-МР в части обеспечения операционной надежности рекомендуется:

1. Банкам с размерами активов более 500 млрд. рублей обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.4.

2. Остальным КО обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.4.

3. НФО, указанным в п.1.4.2 757-П, в числе которых:
• центральные контрагенты;
• центральный депозитарий;
• регистраторы финансовых транзакций

обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.4.


4. НФО, указанным в п.1.4.3 757-П, в т.ч.:
• специализированным депозитариям инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (НПФ);
• клиринговым организациям;
• организаторам торговли;
• страховым организациям;
• НПФ;
• операторам инвестиционной платформы;
• операторам финансовой платформы

обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.4.


5. НФО, указанным в п.1.4.4 757-П, в т.ч.:
• управляющим компаниям инвестиционных фондов, паевых инвестиционных фондов и НПФ;
• форекс-дилерам;
• операторам информационных систем, в которых осуществляется выпуск цифровых финансовых активов;
• операторам обмена цифровых финансовых активов;
• обществам взаимного страхования;
• страховым брокерам

обеспечить реализацию минимального уровня защиты согласно ГОСТ Р 57580.4.


➡️Кроме того, в 7-МР приведены следующие рекомендации:

✅КО — разработать планы внедрения ГОСТ Р 57580.3; КО и НФО — разработать планы внедрения ГОСТ Р 57580.4.

✅Банкам с размерами активов более 500 млрд. рублей — осуществить внедрение ГОСТ Р 57580.3 и ГОСТ Р 57580.4 до 31.12.2025 года.

✅Остальным кредитным организациям — осуществить внедрение ГОСТ Р 57580.3 и ГОСТ Р 57580.4 до 31.12.2026 года.

✅НФО из пунктов 1.4.2 и 1.4.3 757-П — осуществить внедрение ГОСТ Р 57580.4 до 31.12.2026 года.

✅НФО из пункта 1.4.4 757-П — осуществить внедрение ГОСТ Р 57580.4 до 31.12.2027 года.


➡️Ознакомиться с документом


💬tg_AC

​​📖 Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года

ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года.

🚨 Бэкдор в популярных Linux-дистрибутивах

Все выходные развивалась детективная история из мира open source. В библиотеке и утилитах для компрессии XZ был обнаружен бэкдор (CVE-2024-3094), который при определённых условиях предоставляет возможность выполнить произвольный код в системе, не оставляя следов в логах sshd.

Троянизированные версии 5.6.0 и 5.6.1 успели попасть в следующие популярные сборки Linux, выпущенные в марте:
🔴 Alpine (5.6.0 — 5.6.1-r1 )
🔴 Debian (тестовые версии) 5.5.1alpha-0.1 — 5.6.1-1.
🔴 Fedora Rawhide (тестовые версии)
🔴 Kali Linux
🔴 openSUSE Tumbleweed и MicroOS

Дрянь не была включена в стабильные дистрибутивы: Debian Stable, RHEL, Suse Linux Enterprise.
Arch Linux пишут, что хотя в образах были уязвимые пакеты, из-за специфики линковки openssh и liblzma в Arch бэкдор не может работать. Примерно то же самое сказано про Fedora 40 — вредоносные пакеты были, но троян не работает.

Для сомневающихся уже написано Yara-правило.
Тем, кто успел установить затрояненную версию, рекомендовано откатиться на более старые сборки и провести полноценное реагирование на инцидент.

Детективность истории состоит в том, что операция по внедрению длилась два года и включала в себя социальную инженерию, вытеснение предыдущего мейнтейнера и фейковые аккаунты разработчиков для продавливания нужных решений как в самой библиотеке XZ, так и в дистрибутивах, куда она входит.

Надежды на то, что разработчики ПО, использующего компоненты open source, значительно ужесточат «фейс-контроль» этих компонентов, у редакции, честно говоря, нет. Поэтому будем надеяться, что ИБ в крупных организациях повсеместно наладит комплексный мониторинг и детектирования аномалий в масштабе всей ИТ-инфраструктуры. 😏

#новости @П2Т

✅ Приоритеты CISO v.2024

Подоспело ежегодное обновление полезной шпаргалки CISO Mindmap.

Полная версия приложена к этому посту, а если совсем по верхам, то ИБ-лидерам рекомендовано сосредоточиться на таких улучшениях в подопечных организациях:

1️⃣ разработать скептический и осторожный план внедрения генеративного ИИ с учётом незрелости технологии и экосистемы;
2️⃣ консолидировать и рационализировать ИБ-инструменты. Больше — не значит лучше;
3️⃣ разработать и «продать» топ-менеджменту стратегию по развитию киберустойчивости организации — сделать так, чтобы реагирование на инциденты не было изолировано от функций поддержания непрерывности бизнеса;
4️⃣ развивать «внутренний бренд» ИБ-команды, учить её навыкам переговоров, убеждения, совместной работы, учить понимать бизнес-контекст решений;
5️⃣ оценить пользу различных мер безопасности и их влияние на повседневную работу сотрудников, на бизнес-процессы. Запланировать отказ от мер, существенно затрудняющих работу, но приносящих незначительное снижение рисков.

#советы @П2Т