CISO & DPO news #22 (29 апреля – 3 мая 2024 года)
1/8 Взломан сервис Dropbox Sign.
2/8 На смартфонах с ОС Android обнаружен новый вирус.
3/8 США опубликовали рекомендации по использованию ИИ в критической инфраструктуре.
4/8 Роскомнадзор рекомендует ограничить доступ иностранных ботов к российским сайтам.
5/8 Минцифры опубликовало законопроект о новых правилах использования SIM-карт.
6/8 В 2024 году выросло число судебных дел, связанных с защитой персональных данных.
7/8 Законопроект о страховании утечек персданных обсуждается в Совете Федерации.
8/8 Планируется тест платформы коммерческих согласий на базе «Госуслуг».
1/8 Взломан сервис Dropbox Sign.
2/8 На смартфонах с ОС Android обнаружен новый вирус.
3/8 США опубликовали рекомендации по использованию ИИ в критической инфраструктуре.
4/8 Роскомнадзор рекомендует ограничить доступ иностранных ботов к российским сайтам.
5/8 Минцифры опубликовало законопроект о новых правилах использования SIM-карт.
6/8 В 2024 году выросло число судебных дел, связанных с защитой персональных данных.
7/8 Законопроект о страховании утечек персданных обсуждается в Совете Федерации.
8/8 Планируется тест платформы коммерческих согласий на базе «Госуслуг».
👍7
С какой периодичностью ФСТЭК России может проверять субъектов КИИ?
Anonymous Quiz
30%
Каждый год
63%
Раз в 3 года
7%
Раз в 5 лет
0%
Раз в 7 лет
🤔6
Проверки соответствия требованиям по обеспечению безопасности значимых объектов КИИ проводит ФСТЭК России согласно Постановлению Правительства РФ № 162. Проверки бывают плановыми и внеплановыми.
Плановые проверки проводятся раз в 3 года со дня:
• внесения сведений об объектах КИИ в реестр значимых объектов КИИ;
• окончания последней плановой проверки в отношении значимых объектов КИИ.
Плановые проверки проводятся согласно ежегодному плану ФСТЭК России. О проверке субъекты КИИ уведомляется не менее чем за 3 рабочих дня.
Причинами внеплановой проверки могут быть:
• истечение срока выполнения выданного ФСТЭК России предписания об устранении нарушений требований ИБ;
• возникновение инцидента ИБ на значимом объекте КИИ, повлекшего негативные последствия, предусмотренные Постановлением Правительства РФ № 127;
• поручение Президента РФ или Правительства РФ или требование прокурора.
О проведении внеплановой проверки ФСТЭК России извещает субъекта КИИ не менее чем за 24 часа.
#КИИ
Плановые проверки проводятся раз в 3 года со дня:
• внесения сведений об объектах КИИ в реестр значимых объектов КИИ;
• окончания последней плановой проверки в отношении значимых объектов КИИ.
Плановые проверки проводятся согласно ежегодному плану ФСТЭК России. О проверке субъекты КИИ уведомляется не менее чем за 3 рабочих дня.
Причинами внеплановой проверки могут быть:
• истечение срока выполнения выданного ФСТЭК России предписания об устранении нарушений требований ИБ;
• возникновение инцидента ИБ на значимом объекте КИИ, повлекшего негативные последствия, предусмотренные Постановлением Правительства РФ № 127;
• поручение Президента РФ или Правительства РФ или требование прокурора.
О проведении внеплановой проверки ФСТЭК России извещает субъекта КИИ не менее чем за 24 часа.
#КИИ
👍11
На следующей неделе состоится наш вебинар, посвященный обучению работников вопросам информационной безопасности.
На вебинаре мы вместе с нашим партнером – компанией «Лабмедиа» – поделимся опытом реализации программ повышения осведомленности и расскажем о процессе разработки контента и различных каналах проведения обучений.
Также мы пригласили представителя нашего клиента – ПАО «Магнитогорский металлургический комбинат», – который расскажет о совместном практическом опыте реализации комплексной программы обучения и ее эффектах.
🟣Зарегистрироваться можно по ссылке.
#ИБ
На вебинаре мы вместе с нашим партнером – компанией «Лабмедиа» – поделимся опытом реализации программ повышения осведомленности и расскажем о процессе разработки контента и различных каналах проведения обучений.
Также мы пригласили представителя нашего клиента – ПАО «Магнитогорский металлургический комбинат», – который расскажет о совместном практическом опыте реализации комплексной программы обучения и ее эффектах.
🟣Зарегистрироваться можно по ссылке.
#ИБ
👍11
Cookies – это небольшие текстовые файлы, которые генерируются сайтами, обрабатываются веб-сервером и хранятся на устройстве пользователя. Cookies нужны для автоматической авторизации пользователей, настройки отображения контента на сайте в соответствии с индивидуальными настройками пользователей, сбора статистики по активности пользователя на странице.
Выделяют следующие виды cookies:
• Строго необходимые – необходимы для функционирования и использования веб-сайта (например, информация о выбранном языке и шрифте)
• Функциональные – позволяют запоминать ранее совершенные действия пользователя (например, логин и пароль при авторизации)
• Статистические – позволяют анализировать взаимодействие пользователя с сайтом (например, количество посещений веб-страницы)
• Маркетинговые – используются для отслеживания действий пользователя на Интернет-ресурсе и дальнейшего таргетирования рекламы на основе анализа его предпочтений (например, поисковые запросы, клики на рекламу).
Cookies являются персональными данными, так как содержат данные, позволяющие определить уникального посетителя Интернет-ресурса. Данной позиции придерживается Роскомнадзор, EDPB и ICO.
#Privacy
#ПолезноЗнать
Выделяют следующие виды cookies:
• Строго необходимые – необходимы для функционирования и использования веб-сайта (например, информация о выбранном языке и шрифте)
• Функциональные – позволяют запоминать ранее совершенные действия пользователя (например, логин и пароль при авторизации)
• Статистические – позволяют анализировать взаимодействие пользователя с сайтом (например, количество посещений веб-страницы)
• Маркетинговые – используются для отслеживания действий пользователя на Интернет-ресурсе и дальнейшего таргетирования рекламы на основе анализа его предпочтений (например, поисковые запросы, клики на рекламу).
Cookies являются персональными данными, так как содержат данные, позволяющие определить уникального посетителя Интернет-ресурса. Данной позиции придерживается Роскомнадзор, EDPB и ICO.
#Privacy
#ПолезноЗнать
❤13👍3
CISO & DPO news #23 (3-7 мая 2024 года)
1/8 Опубликована первая в России дорожная карта для ИБ-специалистов по теме ИИ.
2/8 Утверждена новая методика ФСТЭК для оценки защищенности информации.
3/8 Уязвимость ОС Android привела к утечке DNS-запросов пользователей.
4/8 Новая вредоносная программа атакует устройства под управлением macOS.
5/8 Минцифры предложило дополнить информацию, хранящуюся у ОРИ.
6/8 Обсуждается законопроект об упрощенном отзыве согласия на обработку персданных.
7/8 ICO в Великобритании опубликовал подход к регулированию ИИ.
8/8 В апреле 2024 года Роскомнадзором было заблокировано 1 028 фишинговых ресурсов.
1/8 Опубликована первая в России дорожная карта для ИБ-специалистов по теме ИИ.
2/8 Утверждена новая методика ФСТЭК для оценки защищенности информации.
3/8 Уязвимость ОС Android привела к утечке DNS-запросов пользователей.
4/8 Новая вредоносная программа атакует устройства под управлением macOS.
5/8 Минцифры предложило дополнить информацию, хранящуюся у ОРИ.
6/8 Обсуждается законопроект об упрощенном отзыве согласия на обработку персданных.
7/8 ICO в Великобритании опубликовал подход к регулированию ИИ.
8/8 В апреле 2024 года Роскомнадзором было заблокировано 1 028 фишинговых ресурсов.
👍10❤2
Что означает термин bug bounty?
Anonymous Quiz
7%
Использование уязвимостей для взлома системы с целью дальнейшей ее продажи
7%
Сетевая атака, использующая баги и уязвимости
5%
ПО, разработанное для создания уязвимостей
80%
Программа, предусматривающая вознаграждение за нахождение уязвимостей в системах и веб-сайтах
🤔6👍1
Багбаунти – это мощный инструмент, который позволяет разработчикам обнаруживать и устранять уязвимости в ПО до того, как они станут известны злоумышленникам или пользователям. Этот метод зачастую является не только более экономически эффективным по сравнению с наймом специалистов (багхантеров) в штат компании, но и позволяет компаниям получить широкую экспертную поддержку.
Некоторые компании проводят приватные багбаунти для подтверждения уверенности в своем сервисе перед его публичным запуском, тогда как другие – чтобы акцентировать внимание на безопасности и надежности своего продукта. Это прекрасный способ для продвижения и рекламы, подчеркивающий готовность компании защищать персональные данные пользователей и предоставлять безопасную инфраструктуру.
Так, в 2023 году Минцифры в России запустило свою программу багбаунти, целью которой был поиск уязвимостей систем электронного правительства. Под проверку попали такие платформы, как «Госуслуги», Единая система идентификации и аутентификации и другие.
#ИБ
Некоторые компании проводят приватные багбаунти для подтверждения уверенности в своем сервисе перед его публичным запуском, тогда как другие – чтобы акцентировать внимание на безопасности и надежности своего продукта. Это прекрасный способ для продвижения и рекламы, подчеркивающий готовность компании защищать персональные данные пользователей и предоставлять безопасную инфраструктуру.
Так, в 2023 году Минцифры в России запустило свою программу багбаунти, целью которой был поиск уязвимостей систем электронного правительства. Под проверку попали такие платформы, как «Госуслуги», Единая система идентификации и аутентификации и другие.
#ИБ
👍12