Вопрос:
Как выстроить процесс безопасного управления цепочкой поставок?
Ответ:
Чтобы обеспечить эффективность при реализации требований ИБ третьими сторонами, рекомендуется учитывать не только первый уровень взаимодействия (непосредственных поставщиков товаров и услуг), но также и их поставщиков и обслуживающие компании.
Рекомендуется зафиксировать обязанность соблюдать требования ИБ в договоре с подрядчиком, а также обязанность транслировать эти требования субподрядчикам в случае их привлечения и обязанность обеспечения ими аналогичных обязательств по транслированию дальше по цепочке.
В идеале транзитивность требований ИБ обеспечивается на протяжении всей цепочки поставок.
В соответствии с ведущими практиками (п. 4.8 ГОСТ Р 59215-2020, п. 5.21 ISO/IEC 27001, ISO/IEC 27036-3, п. 3.20 NIST 800-53 и т.п.) рекомендуется определить, как минимум, следующие аспекты взаимодействия:
· Порядок обмена конфиденциальной информацией в рамках взаимодействия и ответственность за нарушение порядка.
· Требования ИБ к процессам и мерам защиты в зависимости от категории поставщика и уровня его доступа к ИТ-активам компании.
· Распределение ответственности в случае инцидента ИБ и обязанностей при его устранении.
· Требования к квалификации кадров, имеющих доступ к конфиденциальной информации.
· Порядок мониторинга и проверки соответствия сервисов и функций субподрядчика требования ИБ компании.
· Управление качеством и доступностью сервисов и функций субподрядчика.
#KeptОтвечает
#ИБ
Как выстроить процесс безопасного управления цепочкой поставок?
Ответ:
Чтобы обеспечить эффективность при реализации требований ИБ третьими сторонами, рекомендуется учитывать не только первый уровень взаимодействия (непосредственных поставщиков товаров и услуг), но также и их поставщиков и обслуживающие компании.
Рекомендуется зафиксировать обязанность соблюдать требования ИБ в договоре с подрядчиком, а также обязанность транслировать эти требования субподрядчикам в случае их привлечения и обязанность обеспечения ими аналогичных обязательств по транслированию дальше по цепочке.
В идеале транзитивность требований ИБ обеспечивается на протяжении всей цепочки поставок.
В соответствии с ведущими практиками (п. 4.8 ГОСТ Р 59215-2020, п. 5.21 ISO/IEC 27001, ISO/IEC 27036-3, п. 3.20 NIST 800-53 и т.п.) рекомендуется определить, как минимум, следующие аспекты взаимодействия:
· Порядок обмена конфиденциальной информацией в рамках взаимодействия и ответственность за нарушение порядка.
· Требования ИБ к процессам и мерам защиты в зависимости от категории поставщика и уровня его доступа к ИТ-активам компании.
· Распределение ответственности в случае инцидента ИБ и обязанностей при его устранении.
· Требования к квалификации кадров, имеющих доступ к конфиденциальной информации.
· Порядок мониторинга и проверки соответствия сервисов и функций субподрядчика требования ИБ компании.
· Управление качеством и доступностью сервисов и функций субподрядчика.
#KeptОтвечает
#ИБ
👍12
10 апреля мы опубликовали первый выпуск рубрики «Де-юре». В период 10 – 27 апреля новые нормативно-правовые акты в силу не вступали, поэтому публикуем дополнение к первому выпуску. Далее рубрика будет выходить в конце каждого месяца.
🔥7
Дополнение к первому выпуску (часть 1)
Вступило в силу 01 января 2024 г.:
Абзац четвертый п. 3.3 Положения Банка России от 20.04.2021 № 757-П
· для кого: операторы систем, выпускающие цифровые финансовые активы; операторы обмена цифровыми финансовыми активами
· что делать: реализовать требование: использовать узлами ИС безопасной топологии коммуникационных сетей, программного кода и протоколов с учетом актуальных угроз безопасности
Вступило в силу 23 января 2024 г.:
Приказ Минцифры от 29.11.2023 № 1024 о формах подтверждения соответствия для Единой биометрической системы (ЕБС)
· для кого: операторы, обрабатывающие биометрические персональные данные (ПДн) в ЕБС
· что делать: подтвердить соответствие средств, обрабатывающих биометрические ПДн, требованиям подп. "е" п. 1 ст. 2 572-ФЗ
Вступило в силу 26 марта 2024 г.:
ПП РФ от 23.03.2024 № 367 об изменении использования ЕБС
· для кого: операторы, обрабатывающие биометрические ПДн в ЕБС
· что делать: уточнить объем обрабатываемых ПДн в ЕБС
Вступило в силу 30 марта 2024 г.:
ПП РФ от 20.03.2024 № 342 об обязанности хранить сведения о геолокации и средствах платежа
· для кого: организаторы распространения информации в интернете
· что делать: обновить перечень информации, подлежащей хранению и предоставлению в органы власти
ПП РФ от 20.03.2024 № 341 об изменении порядка заселения граждан РФ
· для кого: гостиничный бизнес
· что делать: рассмотреть возможность заселения граждан РФ с использованием ЕБС
#ДеЮре
#Privacy
#ИБ
Вступило в силу 01 января 2024 г.:
Абзац четвертый п. 3.3 Положения Банка России от 20.04.2021 № 757-П
· для кого: операторы систем, выпускающие цифровые финансовые активы; операторы обмена цифровыми финансовыми активами
· что делать: реализовать требование: использовать узлами ИС безопасной топологии коммуникационных сетей, программного кода и протоколов с учетом актуальных угроз безопасности
Вступило в силу 23 января 2024 г.:
Приказ Минцифры от 29.11.2023 № 1024 о формах подтверждения соответствия для Единой биометрической системы (ЕБС)
· для кого: операторы, обрабатывающие биометрические персональные данные (ПДн) в ЕБС
· что делать: подтвердить соответствие средств, обрабатывающих биометрические ПДн, требованиям подп. "е" п. 1 ст. 2 572-ФЗ
Вступило в силу 26 марта 2024 г.:
ПП РФ от 23.03.2024 № 367 об изменении использования ЕБС
· для кого: операторы, обрабатывающие биометрические ПДн в ЕБС
· что делать: уточнить объем обрабатываемых ПДн в ЕБС
Вступило в силу 30 марта 2024 г.:
ПП РФ от 20.03.2024 № 342 об обязанности хранить сведения о геолокации и средствах платежа
· для кого: организаторы распространения информации в интернете
· что делать: обновить перечень информации, подлежащей хранению и предоставлению в органы власти
ПП РФ от 20.03.2024 № 341 об изменении порядка заселения граждан РФ
· для кого: гостиничный бизнес
· что делать: рассмотреть возможность заселения граждан РФ с использованием ЕБС
#ДеЮре
#Privacy
#ИБ
🔥10
Дополнение к первому выпуску (часть 2)
Вступило в силу 01 апреля 2024 г.:
Национальный стандарт РФ ГОСТ Р 71206-2024
· для кого: компании, внедряющие процесс разработки безопасного программного обеспечения (РБПО)
· что делать: реализовать требования к мерам по РБПО при выполнении конструирования и комплексирования ПО, вводя дополнительные требования к безопасному компилятору
Национальный стандарт РФ ГОСТ Р 71207-2024
· для кого: компании, внедряющие РБПО
· что делать: реализовать требования к проведению статического анализа ПО, а также требования к статическим анализаторам и специалистам, участвующим в анализе
Национальный стандарт РФ ГОСТ Р 71252-2024
· для кого: компании, определившие риски при передаче данных в индустриальных системах
· что делать: рассмотреть возможность применения протокола защищенного обмена CRISP для индустриальных систем
Предварительный национальный стандарт РФ ПНСТ 905-2023
· для кого: объекты критической информационной инфраструктуры (КИИ)
· что делать: придерживаться единой терминологии, относящейся к доверенным программно-аппаратным комплексам, применимых на объектах КИИ
п. 2.4 Положения Банка России от 30.08.2023 № 808-П
· для кого: бюро кредитных историй
· что делать: использовать прикладное ПО автоматизированных систем и приложений, прошедших сертификацию ФСТЭК России, или оценку соответствия по требованиям к оценочному уровню доверия не ниже 4-ого уровня
Вступило в силу 06 апреля 2024 г.:
ФЗ от 06.04.2024 № 78-ФЗ об ужесточении наказания за нарушение требований к рекламе через email-рассылки, звонки и SMS
· для кого: компании, рекламирующие свои услуги; кредитные или микрофинансовые компании
· что делать: проверить выполнение требования к рекламе, исключив спам-звонки и рассылки
#ДеЮре
#ИБ
#КИИ
Вступило в силу 01 апреля 2024 г.:
Национальный стандарт РФ ГОСТ Р 71206-2024
· для кого: компании, внедряющие процесс разработки безопасного программного обеспечения (РБПО)
· что делать: реализовать требования к мерам по РБПО при выполнении конструирования и комплексирования ПО, вводя дополнительные требования к безопасному компилятору
Национальный стандарт РФ ГОСТ Р 71207-2024
· для кого: компании, внедряющие РБПО
· что делать: реализовать требования к проведению статического анализа ПО, а также требования к статическим анализаторам и специалистам, участвующим в анализе
Национальный стандарт РФ ГОСТ Р 71252-2024
· для кого: компании, определившие риски при передаче данных в индустриальных системах
· что делать: рассмотреть возможность применения протокола защищенного обмена CRISP для индустриальных систем
Предварительный национальный стандарт РФ ПНСТ 905-2023
· для кого: объекты критической информационной инфраструктуры (КИИ)
· что делать: придерживаться единой терминологии, относящейся к доверенным программно-аппаратным комплексам, применимых на объектах КИИ
п. 2.4 Положения Банка России от 30.08.2023 № 808-П
· для кого: бюро кредитных историй
· что делать: использовать прикладное ПО автоматизированных систем и приложений, прошедших сертификацию ФСТЭК России, или оценку соответствия по требованиям к оценочному уровню доверия не ниже 4-ого уровня
Вступило в силу 06 апреля 2024 г.:
ФЗ от 06.04.2024 № 78-ФЗ об ужесточении наказания за нарушение требований к рекламе через email-рассылки, звонки и SMS
· для кого: компании, рекламирующие свои услуги; кредитные или микрофинансовые компании
· что делать: проверить выполнение требования к рекламе, исключив спам-звонки и рассылки
#ДеЮре
#ИБ
#КИИ
🔥9
CISO & DPO news #21 (22-28 апреля 2024 года)
1/8 Подготовлен законопроект об отзыве согласия на обработку ПДн через сайт.
2/8 Ко второму чтению одобрен проект поправок в УК РФ о наказании за утечку данных
3/8 Каждая вторая кибератака на компанию приводила к утечке данных в 2023 г.
4/8 Участились случаи кражи аккаунтов Telegram.
5/8 В преддверии праздников мошенники начали рассылать поддельные промокоды.
6/8 Опубликована позиция EDPB о применении модели "consent or pay".
7/8 Выявлена уязвимость комментариев к коду на GitLab.
8/8 Совершено более 19 млн атак на Android в I квартале 2024 года.
1/8 Подготовлен законопроект об отзыве согласия на обработку ПДн через сайт.
2/8 Ко второму чтению одобрен проект поправок в УК РФ о наказании за утечку данных
3/8 Каждая вторая кибератака на компанию приводила к утечке данных в 2023 г.
4/8 Участились случаи кражи аккаунтов Telegram.
5/8 В преддверии праздников мошенники начали рассылать поддельные промокоды.
6/8 Опубликована позиция EDPB о применении модели "consent or pay".
7/8 Выявлена уязвимость комментариев к коду на GitLab.
8/8 Совершено более 19 млн атак на Android в I квартале 2024 года.
🔥8
Вопрос:
В чем различия протоколов HTTP и HTTPS?
Ответ:
Если кратко, протоколы HTTP и HTTPS, используемые для передачи данных в интернете, отличаются наличием шифрования. Рассмотрим подробнее:
HTTP (Hyper Text Transfer Protocol или протокол передачи гипертекста) – сетевой протокол прикладного уровня.
· данные передаются в открытом виде;
· не подходит для передачи конфиденциальной информации;
· уязвим к атаке «человек посередине»;
· по умолчанию используется TCP-порт 80.
HTTPS (Hyper Text Transfer Protocol Secure или защищенный протокол передачи гипертекста) – расширение HTTP с использованием шифрования.
· для защиты передаваемых данных от перехвата и модификации используются протоколы SSL (Secure Socket Layer) или TLS (Transport Layer Security);
· сайты с HTTPS должны иметь актуальный сертификат SSL/TLS, подтверждающий подлинность;
· обеспечивает двунаправленную безопасность данных;
· по умолчанию используется TCP-порт 443.
Отличие HTTP и HTTPS можно выразить в виде «формулы»: HTTP + протокол SSL/TLS = HTTPS, где HTTPS обеспечивает безопасное соединение за счет шифрования данных, в то время как HTTP является открытым протоколом без защиты передачи данных.
#Отвечает Kept
#ИБ
В чем различия протоколов HTTP и HTTPS?
Ответ:
Если кратко, протоколы HTTP и HTTPS, используемые для передачи данных в интернете, отличаются наличием шифрования. Рассмотрим подробнее:
HTTP (Hyper Text Transfer Protocol или протокол передачи гипертекста) – сетевой протокол прикладного уровня.
· данные передаются в открытом виде;
· не подходит для передачи конфиденциальной информации;
· уязвим к атаке «человек посередине»;
· по умолчанию используется TCP-порт 80.
HTTPS (Hyper Text Transfer Protocol Secure или защищенный протокол передачи гипертекста) – расширение HTTP с использованием шифрования.
· для защиты передаваемых данных от перехвата и модификации используются протоколы SSL (Secure Socket Layer) или TLS (Transport Layer Security);
· сайты с HTTPS должны иметь актуальный сертификат SSL/TLS, подтверждающий подлинность;
· обеспечивает двунаправленную безопасность данных;
· по умолчанию используется TCP-порт 443.
Отличие HTTP и HTTPS можно выразить в виде «формулы»: HTTP + протокол SSL/TLS = HTTPS, где HTTPS обеспечивает безопасное соединение за счет шифрования данных, в то время как HTTP является открытым протоколом без защиты передачи данных.
#Отвечает Kept
#ИБ
❤10👍5
CISO & DPO news #22 (29 апреля – 3 мая 2024 года)
1/8 Взломан сервис Dropbox Sign.
2/8 На смартфонах с ОС Android обнаружен новый вирус.
3/8 США опубликовали рекомендации по использованию ИИ в критической инфраструктуре.
4/8 Роскомнадзор рекомендует ограничить доступ иностранных ботов к российским сайтам.
5/8 Минцифры опубликовало законопроект о новых правилах использования SIM-карт.
6/8 В 2024 году выросло число судебных дел, связанных с защитой персональных данных.
7/8 Законопроект о страховании утечек персданных обсуждается в Совете Федерации.
8/8 Планируется тест платформы коммерческих согласий на базе «Госуслуг».
1/8 Взломан сервис Dropbox Sign.
2/8 На смартфонах с ОС Android обнаружен новый вирус.
3/8 США опубликовали рекомендации по использованию ИИ в критической инфраструктуре.
4/8 Роскомнадзор рекомендует ограничить доступ иностранных ботов к российским сайтам.
5/8 Минцифры опубликовало законопроект о новых правилах использования SIM-карт.
6/8 В 2024 году выросло число судебных дел, связанных с защитой персональных данных.
7/8 Законопроект о страховании утечек персданных обсуждается в Совете Федерации.
8/8 Планируется тест платформы коммерческих согласий на базе «Госуслуг».
👍7