CISO & DPO news #50 (15-22 ноября 2024 года)
1/8 Изменения в штрафах за утечки ПДн.
2/8 Вступил в силу закон о деанонимизации владельцев крупных каналов.
3/8 Минздрав планирует шифровать данные пациентов.
4/8 Китайский регулятор и «режим для несовершеннолетних».
5/8 Хакеры атаковали официальный сайт правительства Мексики.
6/8 Google разработал новые функции для защиты от телефонного мошенничества.
7/8 Positive Technologies опубликовали отчет о ландшафте угроз.
8/8 MITRE представили 25 наиболее критичных и распространенных уязвимостей 2024 года.
1/8 Изменения в штрафах за утечки ПДн.
2/8 Вступил в силу закон о деанонимизации владельцев крупных каналов.
3/8 Минздрав планирует шифровать данные пациентов.
4/8 Китайский регулятор и «режим для несовершеннолетних».
5/8 Хакеры атаковали официальный сайт правительства Мексики.
6/8 Google разработал новые функции для защиты от телефонного мошенничества.
7/8 Positive Technologies опубликовали отчет о ландшафте угроз.
8/8 MITRE представили 25 наиболее критичных и распространенных уязвимостей 2024 года.
👍9
Как называется технология, позволяющая нескольким устройствам в локальной сети использовать один внешний IP-адрес?
Anonymous Quiz
11%
DHCP
45%
NAT
19%
VPN
25%
Proxy
👍1🤔1
Изначально Интернет проектировался с использованием протокола IPv4, который предоставляет около 4,3 млрд. уникальных адресов. Однако с ростом числа подключенных устройств этого оказалось недостаточно.
Для решения этой проблемы было придумано несколько способов:
🔸 Инвентаризация IP-адресов: освобождение неиспользуемых адресов.
🔸 Переход на IPv6: протокол с расширенным адресным пространством (128 бит против 32 бит у IPv4) и улучшенной безопасностью. Однако переход осложняется несовместимостью с IPv4 и высокими затратами.
🔸 Использование Network Address Translation.
Network Address Translation (NAT) – это технология, которая позволяет устройствам внутри частной сети (локальной сети) использовать общедоступный IP-адрес для выхода в Интернет. NAT широко используется в современных сетях для экономии IP-адресов, повышения безопасности и упрощения управления сетевыми ресурсами.
Типы NAT:
1️⃣ Статический
Позволяет одному локальному IP-адресу соответствовать одному внешнему IP. Используется редко из-за ограниченной гибкости.
2️⃣ Динамический
Позволяет нескольким устройствам из локальной сети использовать набор внешних IP-адресов. Когда устройство выходит в Интернет, оно получает временный глобальный IP.
3️⃣ Перегруженный (NAT Overload или PAT, Port Address Translation)
Самый популярный вариант NAT. Маршрутизатор подменяет локальные IP-адреса пакета на свой внешний IP-адрес и меняет номер порта, чтобы различать ответные пакеты, адресованные разным локальным компьютерам.
Помимо решения проблемы нехватки публичных IPv4 адресов, NAT обеспечивает конфиденциальность сети, скрывая внутренние IP адреса.
#ИБ
Для решения этой проблемы было придумано несколько способов:
Network Address Translation (NAT) – это технология, которая позволяет устройствам внутри частной сети (локальной сети) использовать общедоступный IP-адрес для выхода в Интернет. NAT широко используется в современных сетях для экономии IP-адресов, повышения безопасности и упрощения управления сетевыми ресурсами.
Типы NAT:
Позволяет одному локальному IP-адресу соответствовать одному внешнему IP. Используется редко из-за ограниченной гибкости.
Позволяет нескольким устройствам из локальной сети использовать набор внешних IP-адресов. Когда устройство выходит в Интернет, оно получает временный глобальный IP.
Самый популярный вариант NAT. Маршрутизатор подменяет локальные IP-адреса пакета на свой внешний IP-адрес и меняет номер порта, чтобы различать ответные пакеты, адресованные разным локальным компьютерам.
Помимо решения проблемы нехватки публичных IPv4 адресов, NAT обеспечивает конфиденциальность сети, скрывая внутренние IP адреса.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Команда Kept совместно с коллегами из Yandex Cloud разработала модуль «Защита персональных данных: основы» для бесплатного курса «Compliance в облачной инфраструктуре». В рамках модуля мы рассказали про основные аспекты защиты персональных данных, а также дали понятную инструкцию для компаний по выполнению требований 152-ФЗ.
В курс также включены следующие модули, разработанные другими партнёрами Yandex Cloud:
🔸 Защита персональных данных: практические аспекты;
🔸 Стандарты безопасности в финтехе — сфере на стыке финансовых и информационных технологий;
🔸 Стандарт по защите облачной инфраструктуры Yandex Cloud.
🔒 Основная цель курса — помочь специалистам, планирующим работу с облачными сервисами или уже работающим с ними, разобраться с особенностями соответствия требований безопасности в облачной инфраструктуре и научиться применять эти знания на практике. Прохождение всего курса занимает 15-20 часов.
В курс также включены следующие модули, разработанные другими партнёрами Yandex Cloud:
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8🤔3👍2
Термин «privacy» часто переводят как «конфиденциальность», хотя это совсем два разных понятия.
Приватность – это право на свободу от вмешательства или вторжения в частную жизнь или от обратного, право хранить свои личные дела и отношения в тайне.
Нарушение приватности может быть связано с использованием персональных данных (ПДн) без должных правовых оснований, даже если технические меры защиты соблюдены. Примером является сбор ПДн третьими лицами в маркетинговых целях, без уведомления владельца данных или неуместные вопросы для кандидатов на собеседовании, которые создают избыточную для цели сбора обработку ПДн.
Конфиденциальность – это соблюдение установленных ограничений на доступ и раскрытие информации, включая меры, направленные на защиту приватности и коммерческой тайны.
Конфиденциальность относится к ограничению доступа к информации. Это значит, что данные могут быть раскрыты только с разрешения владельца или по установленным правилам. Защита конфиденциальности требует управления доступом не только техническими средствами, но и через организационные и юридические подходы. Например, нарушение конфиденциальности может произойти при случайно отправить сообщения с персональными данными сотрудников не верному адресату.
Ключевое различие между понятиями в том, что конфиденциальность фокусируется на защите данных от несанкционированного доступа, тогда как приватность включает в себя права на управление персональными данными и принятие решений о ее использовании. Соответственно можно считать что конфиденциальность это одна из мер, которая закладывается приватностью.
При реализации требований законодательства в области ПДн компаниям необходимо обеспечивать не только конфиденциальность ПДн через технологические и юридические меры, но и предоставлять пользователям возможность реализовать свои права как субъектов ПДн, а значит обеспечить приватность их данных.
#Privacy
#ПолезноЗнать
Приватность – это право на свободу от вмешательства или вторжения в частную жизнь или от обратного, право хранить свои личные дела и отношения в тайне.
Нарушение приватности может быть связано с использованием персональных данных (ПДн) без должных правовых оснований, даже если технические меры защиты соблюдены. Примером является сбор ПДн третьими лицами в маркетинговых целях, без уведомления владельца данных или неуместные вопросы для кандидатов на собеседовании, которые создают избыточную для цели сбора обработку ПДн.
Конфиденциальность – это соблюдение установленных ограничений на доступ и раскрытие информации, включая меры, направленные на защиту приватности и коммерческой тайны.
Конфиденциальность относится к ограничению доступа к информации. Это значит, что данные могут быть раскрыты только с разрешения владельца или по установленным правилам. Защита конфиденциальности требует управления доступом не только техническими средствами, но и через организационные и юридические подходы. Например, нарушение конфиденциальности может произойти при случайно отправить сообщения с персональными данными сотрудников не верному адресату.
Ключевое различие между понятиями в том, что конфиденциальность фокусируется на защите данных от несанкционированного доступа, тогда как приватность включает в себя права на управление персональными данными и принятие решений о ее использовании. Соответственно можно считать что конфиденциальность это одна из мер, которая закладывается приватностью.
При реализации требований законодательства в области ПДн компаниям необходимо обеспечивать не только конфиденциальность ПДн через технологические и юридические меры, но и предоставлять пользователям возможность реализовать свои права как субъектов ПДн, а значит обеспечить приватность их данных.
#Privacy
#ПолезноЗнать
👍8❤3
Вопрос:
Как защитить сотрудников от фишинга?
Ответ:
Эффективная защита сотрудников от фишинга требует комплексного подхода, включающего обучение, технические меры, внедрение правил безопасности и мониторинг инцидентов информационной безопасности:
1️⃣ Обучение сотрудников
🔸 Регулярные тренинги по информационной безопасности помогают сотрудникам распознавать фишинговые письма.
🔸 Для закрепления знаний стоит проводить симуляции фишинговых атак с последующим анализом результатов. Такой подход формирует навык распознавания фишинговых техник и снижает их успешность
2️⃣ Технические меры
🔸 Почтовая фильтрация значительно сокращает количество фишинговых писем и спама.
🔸 Антивирусные программы предотвращают распространение вредоносного ПО.
🔸 Многофакторная аутентификация (MFA) защищает учетные записи даже в случае компрометации паролей.
🔸 Метки «Внешний отправитель» в начале писем повышают бдительность сотрудников при взаимодействии с электронной почтой.
3️⃣ Политики и правила
🔸 Применение принципа минимально необходимого доступа ограничивает объем конфиденциальных данных, доступных сотруднику, снижая возможный ущерб от атаки.
🔸 Формирование и закрепление правил работы с почтой, в особенности с вложениями и ссылками помогает снизить вероятность открытия сотрудником вредоноса.
4️⃣ Мониторинг и оперативное реагирование
🔸 Своевременное реагирование на уведомления систем почтовой безопасности позволяет локализовать и устранить угрозу еще до того, как сотрудники успеют открыть письмо.
🔸 Предоставление сотрудникам возможности сообщить о подозрительном письме с помощью интерфейса почты может сократить сроки реагирования на потенциально фишинговые письма.
#ИБ
#KeptОтвечает
Как защитить сотрудников от фишинга?
Ответ:
Эффективная защита сотрудников от фишинга требует комплексного подхода, включающего обучение, технические меры, внедрение правил безопасности и мониторинг инцидентов информационной безопасности:
#ИБ
#KeptОтвечает
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
30 ноября – Международный день защиты информации. А ещё – год с момента создания нашего канала, Kept | Cyber.
Вспомним, что произошло за этот год в нашем канале.
Вспомним, что произошло за этот год в нашем канале.
🔥12❤10👍5
Вступило в силу 2 ноября 2024 г.:
Приказ Минцифры России от 16.09.2024 № 773 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации»
▫️ для кого: аккредитованные организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц
▫️ что делать:
🔸 отслеживать и фиксировать случаи технических сбоев в работе аппаратных шифровальных средств, используемых аккредитованной организацией;
🔸 отслеживать и фиксировать случаи ложного совпадения предоставленных биометрических персональных данных физического лица с векторами единой биометрической системы;
🔸 отслеживать и фиксировать ошибки при обнаружении атак на биометрическое предъявление в процессе прохождения аутентификации
Вступило в силу 5 ноября 2024 г.:
Приказ ФСТЭК России от 28.08.2024 № 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных ИС и Требования по обеспечению безопасности ЗОКИИ РФ»
▫️ для кого: операторы государственных информационных систем и субъекты КИИ
▫️ что делать:
🔸 реализовать меры по защите ГИС и значимых объектов КИИ от атак, направленных на отказ в обслуживании;
🔸 организовать взаимодействие с Центром мониторинга и управления сетью связи общего пользования, ГосСОПКА, а также с провайдерами хостинга и организациями, предоставляющими услуги связи;
🔸 обеспечить расположение программно-аппаратных средств, участвующих в контроле, фильтрации и блокировании сетевых запросов на территории РФ
Вступило в силу 07 ноября 2024 г.:
Федеральный закон от 08.08.2024 № 253-ФЗ о внесении изменений, в том числе в Федеральный закон от 03.12.2008 № 242-ФЗ «О государственной геномной регистрации в Российской Федерации»
▫️ для кого: суды, органы предварительного следствия, органы дознания и органы, осуществляющие оперативно-розыскную деятельность
▫️ что можно делать: использовать биометрические персональные данные (геномную информацию), полученные в результате проведения государственной геномной регистрации, в целях установления личности иностранных граждан и лиц без гражданства
Опубликовано 14 ноября 2024 г.:
Порядок обеспечения государственных органов, органов местного самоуправления и организаций документами ФСТЭК России, в том числе содержащими сведения, составляющие государственную тайну, или иную информацию ограниченного доступа
▫️ для кого: государственные органы, органы местного самоуправления, государственные корпорации и организации, находящиеся в ведении государственных корпораций, организации, не имеющие ведомственной принадлежности
▫️ что можно сделать: учреждения могут приобрести документы ФСТЭК России, в том числе содержащих сведения, составляющие государственную тайну, или иной информации ограниченного доступа, путем направления в ФСТЭК России соответствующей заявки.
#Деюре
Приказ Минцифры России от 16.09.2024 № 773 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации»
Вступило в силу 5 ноября 2024 г.:
Приказ ФСТЭК России от 28.08.2024 № 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных ИС и Требования по обеспечению безопасности ЗОКИИ РФ»
Вступило в силу 07 ноября 2024 г.:
Федеральный закон от 08.08.2024 № 253-ФЗ о внесении изменений, в том числе в Федеральный закон от 03.12.2008 № 242-ФЗ «О государственной геномной регистрации в Российской Федерации»
Опубликовано 14 ноября 2024 г.:
Порядок обеспечения государственных органов, органов местного самоуправления и организаций документами ФСТЭК России, в том числе содержащими сведения, составляющие государственную тайну, или иную информацию ограниченного доступа
#Деюре
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
CISO & DPO news #51 (23-28 ноября 2024 года)
1/8 Обнаружен первый UEFI-буткит для Linux.
2/8 Выявлена критическая уязвимость в 7-Zip.
3/8 Обнаружены факты эксплуатации уязвимости драйвера Avast Anti-Rootkit.
4/8 Обнаружены уязвимости в больших языковых моделях.
5/8 Утверждены законы об ужесточении ответственности в сфере персональных данных.
6/8 Обсуждается предварительный тест работы оборотных штрафов за утечки персданных.
7/8 Ассоциация больших данных предлагает ввести категорию «облегченных данных».
8/8 Объявлен тендер на систему контроля перехода на решения РФ у субъектов КИИ.
1/8 Обнаружен первый UEFI-буткит для Linux.
2/8 Выявлена критическая уязвимость в 7-Zip.
3/8 Обнаружены факты эксплуатации уязвимости драйвера Avast Anti-Rootkit.
4/8 Обнаружены уязвимости в больших языковых моделях.
5/8 Утверждены законы об ужесточении ответственности в сфере персональных данных.
6/8 Обсуждается предварительный тест работы оборотных штрафов за утечки персданных.
7/8 Ассоциация больших данных предлагает ввести категорию «облегченных данных».
8/8 Объявлен тендер на систему контроля перехода на решения РФ у субъектов КИИ.
👍4