Атака методом brute force, известная также как атака полным перебором, представляет собой метод взлома, при котором злоумышленники пытаются вычислить пароли и другую информацию путем проверки всех возможных комбинаций. Время взлома зависит от доступных вычислительных мощностей и от сложности пароля. Злоумышленник может использовать ресурсы зараженных компьютеров других пользователей, объединяя их в единую сеть (ботнет).

Полностью обезопасить систему от всех вариантов brute force атаки невозможно. Но существуют методы защиты, позволяющие снизить вероятность успешности атаки:

• ограничить количество попыток ввода данных для одного аккаунта;
• создавать более длинные и сложные пароли;
• использовать разные пароли для доступа к разным системам;
• регулярно изменять пароли в соответствии с установленными правилами;
• запретить использование в паролях личной информации или дублирование логина;
• использовать многофакторную аутентификацию.

#ИБ

Недавно мы посетили CISO Forum 2024, который в этом году прошел в технологическом кластере «Ломоносов» на территории МГУ им. М. В. Ломоносова.
 
Ключевыми темами стали тенденции на рынке ИБ, вопросы взаимодействия CISO и топ-менеджмента, трудности кадрового обеспечения функции ИБ.
 
Мы посетили сессии в Зале 2 «Молекула» и делимся ключевыми, на наш взгляд, тезисами прошедших там дискуссий:
 
Пленарная сессия:
• В последние пару лет изменились цели атак – если раньше основным мотивом было получение финансовой выгоды, то сейчас это больше дестабилизация деятельности компании и нанесение ей репутационного ущерба и кража конфиденциальной информации. Как следствие, раньше наиболее страдала финансовая сфера, сейчас же злоумышленникам нет разницы, компанию из какой индустрии атаковать.
• С точки зрения перехода на отечественные ИБ-решения, с одной стороны, у российских вендоров настали «золотые времена», но с другой – им сейчас приходится нелегко, они работают с пользовательской базой в разы меньше, чем зарубежные, времени на разработку продуктов сильно меньше, в то же время у них есть возможность учесть опыт иностранных вендоров. 
 
Роль CISO в стратегии компании
• CISO должен быть погружен в метрики бизнеса и понимать свое влияние на эти метрики, которые должны быть при этом понятны борду.
• Стратегию ИБ следует писать совместно с консультантами, которые помогут сделать её понятной борду. Однозначно не стоит звать писать стратегию вендоров решений ИБ, т.к. они заинтересованы в продаже своих продуктов.
• Со стороны борда нужна поддержка CISO с точки зрения повышения осведомленности в вопросах ИБ, демонстрации личного примера (“tone at the top”).
 
ИБ-компетенции и управление талантами
• Необходимо вкладываться в повышение компетенций, выращивание кадров со студенческой скамьи.
• Следует развивать имеющиеся таланты, давать опытным специалистам управлять командой, искать людей внутри, вовлекать людей в смежные задачи и проводить внутренние обучения.   
 
Записи выступлений доступны на канале организатора на Youtube.

В существующем правовом поле РФ есть два подхода к определению уровней защищенности информации: с точки зрения защиты персональных данных (ПДн) и разработанный Центральным Банком РФ (ЦБ).

В разрезе ПДн информационным системам (ИС) могут быть присвоены 4 уровня защищенности (1-4 УЗ). При определении УЗ принимаются во внимание:

· уровень актуальных для ИС угроз;
· категории ПДн, обрабатываемых в ИС;
· количество субъектов ПДн;
· категории субъектов ПДн.

В зависимости от присвоенного УЗ определяются применяемые в ИС меры защиты ПДн.
ЦБ выделяет 3 уровня защиты информации (минимальный, стандартный, усиленный), которые устанавливаются на основе:

· вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и техпроцессов;
· объема финансовых операций;
· размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
· значимости финансовой организации для финансового рынка и национальной платежной системы.
 
#ЦБ
#Privacy
#ПолезноЗнать

Публикуем второй выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на май 2024 года.

Подборка мероприятий в файле под этим постом.⬇️

#Непропустимыесобытия

Вопрос:
Как выстроить процесс безопасного управления цепочкой поставок?

Ответ:
Чтобы обеспечить эффективность при реализации требований ИБ третьими сторонами, рекомендуется учитывать не только первый уровень взаимодействия (непосредственных поставщиков товаров и услуг), но также и их поставщиков и обслуживающие компании.

Рекомендуется зафиксировать обязанность соблюдать требования ИБ в договоре с подрядчиком, а также обязанность транслировать эти требования субподрядчикам в случае их привлечения и обязанность обеспечения ими аналогичных обязательств по транслированию дальше по цепочке.

В идеале транзитивность требований ИБ обеспечивается на протяжении всей цепочки поставок.

В соответствии с ведущими практиками (п. 4.8 ГОСТ Р 59215-2020, п. 5.21 ISO/IEC 27001, ISO/IEC 27036-3, п. 3.20 NIST 800-53 и т.п.) рекомендуется определить, как минимум, следующие аспекты взаимодействия:

· Порядок обмена конфиденциальной информацией в рамках взаимодействия и ответственность за нарушение порядка.
· Требования ИБ к процессам и мерам защиты в зависимости от категории поставщика и уровня его доступа к ИТ-активам компании.
· Распределение ответственности в случае инцидента ИБ и обязанностей при его устранении.
· Требования к квалификации кадров, имеющих доступ к конфиденциальной информации.
· Порядок мониторинга и проверки соответствия сервисов и функций субподрядчика требования ИБ компании.
· Управление качеством и доступностью сервисов и функций субподрядчика.

#KeptОтвечает
#ИБ

10 апреля мы опубликовали первый выпуск рубрики «Де-юре». В период 10 – 27 апреля новые нормативно-правовые акты в силу не вступали, поэтому публикуем дополнение к первому выпуску. Далее рубрика будет выходить в конце каждого месяца.

Дополнение к первому выпуску (часть 1)

Вступило в силу 01 января 2024 г.:

Абзац четвертый п. 3.3 Положения Банка России от 20.04.2021 № 757-П
· для кого: операторы систем, выпускающие цифровые финансовые активы; операторы обмена цифровыми финансовыми активами
· что делать: реализовать требование: использовать узлами ИС безопасной топологии коммуникационных сетей, программного кода и протоколов с учетом актуальных угроз безопасности

Вступило в силу 23 января 2024 г.:

Приказ Минцифры от 29.11.2023 № 1024 о формах подтверждения соответствия для Единой биометрической системы (ЕБС)
· для кого: операторы, обрабатывающие биометрические персональные данные (ПДн) в ЕБС
· что делать: подтвердить соответствие средств, обрабатывающих биометрические ПДн, требованиям подп. "е" п. 1 ст. 2 572-ФЗ

Вступило в силу 26 марта 2024 г.:
 
ПП РФ от 23.03.2024 № 367 об изменении использования ЕБС
·  для кого: операторы, обрабатывающие биометрические ПДн в ЕБС
·  что делать: уточнить объем обрабатываемых ПДн в ЕБС

Вступило в силу 30 марта 2024 г.:

ПП РФ от 20.03.2024 № 342 об обязанности хранить сведения о геолокации и средствах платежа
· для кого: организаторы распространения информации в интернете
· что делать: обновить перечень информации, подлежащей хранению и предоставлению в органы власти
ПП РФ от 20.03.2024 № 341 об изменении порядка заселения граждан РФ
· для кого: гостиничный бизнес
· что делать: рассмотреть возможность заселения граждан РФ с использованием ЕБС
 
#ДеЮре
#Privacy
#ИБ

Дополнение к первому выпуску (часть 2)
 
Вступило в силу 01 апреля 2024 г.:

Национальный стандарт РФ ГОСТ Р 71206-2024
· для кого: компании, внедряющие процесс разработки безопасного программного обеспечения (РБПО)
· что делать: реализовать требования к мерам по РБПО при выполнении конструирования и комплексирования ПО, вводя дополнительные требования к безопасному компилятору
Национальный стандарт РФ ГОСТ Р 71207-2024
· для кого: компании, внедряющие РБПО
· что делать: реализовать требования к проведению статического анализа ПО, а также требования к статическим анализаторам и специалистам, участвующим в анализе
Национальный стандарт РФ ГОСТ Р 71252-2024
· для кого: компании, определившие риски при передаче данных в индустриальных системах
· что делать: рассмотреть возможность применения протокола защищенного обмена CRISP для индустриальных систем
Предварительный национальный стандарт РФ ПНСТ 905-2023
· для кого: объекты критической информационной инфраструктуры (КИИ)
· что делать: придерживаться единой терминологии, относящейся к доверенным программно-аппаратным комплексам, применимых на объектах КИИ
п. 2.4 Положения Банка России от 30.08.2023 № 808-П
· для кого: бюро кредитных историй
· что делать: использовать прикладное ПО автоматизированных систем и приложений, прошедших сертификацию ФСТЭК России, или оценку соответствия по требованиям к оценочному уровню доверия не ниже 4-ого уровня

Вступило в силу 06 апреля 2024 г.:

ФЗ от 06.04.2024 № 78-ФЗ об ужесточении наказания за нарушение требований к рекламе через email-рассылки, звонки и SMS
· для кого: компании, рекламирующие свои услуги; кредитные или микрофинансовые компании
· что делать: проверить выполнение требования к рекламе, исключив спам-звонки и рассылки

#ДеЮре
#ИБ
#КИИ