На портале совета PCI SSC выложен проектновой версии. PCI Card Production and Provisioning Physical and Logical Security Standards v3.0.1. Доступ к порталу предоставляется только зарегистрированным организациям
https://blog.pcisecuritystandards.org/request-for-comments-pci-card-production-and-provisioning-physical-and-logical-security-standards-v3.0.1
https://blog.pcisecuritystandards.org/request-for-comments-pci-card-production-and-provisioning-physical-and-logical-security-standards-v3.0.1
blog.pcisecuritystandards.org
Request for Comments: PCI Card Production and Provisioning Physical and Logical Security Standards v3.0.1
From 13 February to 16 March, eligible PCI SSC stakeholders are invited to review and provide feedback on the draft PCI Card Production and Provisioning Physical and Logical Security Standards v3.0.1 during a 30-day request for comments (RFC) period.
Forwarded from Листок бюрократической защиты информации
План ТК 362 на 2026.pdf
332.4 KB
💫 Планы технического комитета по стандартизации «Защита информации» (ТК 362) на 2026 год ➤
В 2026 году технический комитет по стандартизации «Защита информации» (ТК 362) планирует разработку проектов следующих национальных стандартов:
1. ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положение»
2. ГОСТ Р «Защита информации. Защита информации от неправомерной передачи распространения из информационных и автоматизированных систем. Общие положения»
3. ГОСТ Р «Защита информации. Информационный ресурс служебных баз данных средств защиты информации. Общие положения»
4. ГОСТ Р «Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией»
5. ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»
6. ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»
7. ГОСТ Р «Защита информации. Идентификация и аутентификация. Технические средства аутентификации»
8. ГОСТ Р «Защита информации. Защита информации в облачной инфраструктуре. Общие положения»
9. ГОСТ Р 58256 «Защита информации. Управление потоками информации в информационной системе. Формат классификационных меток»
10. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Динамический анализ программного обеспечения. Общие требования»
11. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Термины и определения»
12. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования»
13. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Методика оценки уровня реализации процессов разработки безопасного программного обеспечения»
14. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения, реализующего технологии искусственного интеллекта. Общие требования»
15. ГОСТ Р «Защита информации. Угрозы безопасности информации при разработке программного обеспечения, реализующего технологии искусственного интеллекта. Общие требования»
16. ГОСТ Р «Информационная технология. Системы с конструктивной информационной безопасностью. Определение угроз безопасности и оценка рисков»
17. ГОСТ Р «Защита информации. Требования безопасности аппаратно-программной платформы доверенных программно-аппаратных комплексов. Общие положения»
18. ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»
19. ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к операционной системе»
20. ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к аппаратной платформе»
21. ГОСТ Р «Защита информации. Доверенный компонент безопасности. Часть 1. Общие положения»
22. ГОСТ Р «Защита информации. Безопасность интегральных схем. Общие положения»
Соответствующая информация, включающая календарный план, размещена на сайте ФСТЭК России.
В 2026 году технический комитет по стандартизации «Защита информации» (ТК 362) планирует разработку проектов следующих национальных стандартов:
1. ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положение»
2. ГОСТ Р «Защита информации. Защита информации от неправомерной передачи распространения из информационных и автоматизированных систем. Общие положения»
3. ГОСТ Р «Защита информации. Информационный ресурс служебных баз данных средств защиты информации. Общие положения»
4. ГОСТ Р «Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией»
5. ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»
6. ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»
7. ГОСТ Р «Защита информации. Идентификация и аутентификация. Технические средства аутентификации»
8. ГОСТ Р «Защита информации. Защита информации в облачной инфраструктуре. Общие положения»
9. ГОСТ Р 58256 «Защита информации. Управление потоками информации в информационной системе. Формат классификационных меток»
10. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Динамический анализ программного обеспечения. Общие требования»
11. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Термины и определения»
12. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования»
13. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Методика оценки уровня реализации процессов разработки безопасного программного обеспечения»
14. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения, реализующего технологии искусственного интеллекта. Общие требования»
15. ГОСТ Р «Защита информации. Угрозы безопасности информации при разработке программного обеспечения, реализующего технологии искусственного интеллекта. Общие требования»
16. ГОСТ Р «Информационная технология. Системы с конструктивной информационной безопасностью. Определение угроз безопасности и оценка рисков»
17. ГОСТ Р «Защита информации. Требования безопасности аппаратно-программной платформы доверенных программно-аппаратных комплексов. Общие положения»
18. ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»
19. ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к операционной системе»
20. ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к аппаратной платформе»
21. ГОСТ Р «Защита информации. Доверенный компонент безопасности. Часть 1. Общие положения»
22. ГОСТ Р «Защита информации. Безопасность интегральных схем. Общие положения»
Соответствующая информация, включающая календарный план, размещена на сайте ФСТЭК России.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
В следующей ветке ядра Linux 7.0 планируется добавить алгоритм квантово устойчивой электронной подписи Module-Lattice-Based Digital Signature Algorithm "ML-DSA". Ранее до стандартизации NIST этот алгоритм носил имя CRYSTALS-Dilithium .
Такой же алгоритм используется в семействах Windows и MacOS.
Первый планируемый кейс использования- подписание модулей ядра.
В этом же релизе ядра уберут возможность подписания модулей ядра с использованием sha-1.
В 7.0 версии ядра также обновятся библиотеки AES.
Выглядит так, что не лишним будет при переходе на дистрибы с ядром 7 отдельное внимание уделить тестированию средств криптографии.
В силу того, что у нас средства криптографии из состава операционной системы не подлежат обязательной сертификации, одни из первых реализаций квантово устойчивых криптографий будут доступны как инструменты в составе ОС.
https://www.phoronix.com/news/Linux-7.0-Crypto-ML-DSA
Такой же алгоритм используется в семействах Windows и MacOS.
Первый планируемый кейс использования- подписание модулей ядра.
В этом же релизе ядра уберут возможность подписания модулей ядра с использованием sha-1.
В 7.0 версии ядра также обновятся библиотеки AES.
Выглядит так, что не лишним будет при переходе на дистрибы с ядром 7 отдельное внимание уделить тестированию средств криптографии.
В силу того, что у нас средства криптографии из состава операционной системы не подлежат обязательной сертификации, одни из первых реализаций квантово устойчивых криптографий будут доступны как инструменты в составе ОС.
https://www.phoronix.com/news/Linux-7.0-Crypto-ML-DSA
Phoronix
Linux 7.0 Lands ML-DSA Quantum-Resistant Signature Support
Adding to the exciting features for the big Linux 7.0 kernel release is support for the Module-Lattice-Based Digital Signature Algorithm 'ML-DSA' quantum-resistant signature algorithm.
Как мне кажется, необычная ситуация может сложиться на рынке труда в 2026.
1. Резкое повышением стоимости серверного оборудования, возможно сохранится этот тренд дальше и ИИ рынок не схлопнется.
2. Заметное падение спроса на ИТ персонал.
Могут привести к парадоксальным ситуациям в некоторых сегментах рынка труда - например, будет дешевле нанимать людей, чем пытаться это автоматизировать процесс или использовать ИИ.
https://wccftech.com/western-digital-has-no-more-hdd-capacity-left-out/
1. Резкое повышением стоимости серверного оборудования, возможно сохранится этот тренд дальше и ИИ рынок не схлопнется.
2. Заметное падение спроса на ИТ персонал.
Могут привести к парадоксальным ситуациям в некоторых сегментах рынка труда - например, будет дешевле нанимать людей, чем пытаться это автоматизировать процесс или использовать ИИ.
https://wccftech.com/western-digital-has-no-more-hdd-capacity-left-out/
Wccftech
Western Digital Has No More HDD Capacity Left, as CEO Reveals Massive AI Deals; Brace Yourself For Price Surges Ahead!
HDD capacity from one of the world's largest manufacturers has started to run dry, according to WD's CEO, as major LTAs have been signed out.
Американский орган CISA продвигает использование стандарта OpenEoX для управления жизненным циклом оборудования - сроков окрнчания поддержки ПО и оьорудования.
Ряд компаний уже реализовали этот стандарт у себя Cisco, Dell, IBM, Microsoft, Oracle, and Red Hat.
Очевидное применение этого стандарта - процессы управления уязвимостями, закупки оборудования/ПО, инветаризация.
https://www.cisa.gov/news-events/news/end-just-beginning-better-security-enhanced-vulnerability-management-openeox
Ряд компаний уже реализовали этот стандарт у себя Cisco, Dell, IBM, Microsoft, Oracle, and Red Hat.
Очевидное применение этого стандарта - процессы управления уязвимостями, закупки оборудования/ПО, инветаризация.
https://www.cisa.gov/news-events/news/end-just-beginning-better-security-enhanced-vulnerability-management-openeox
🔥1
Интересный подход для минимизации ошибок мультиагентных систем транслирует Сколтех - использование Байесовского подхода.
Forwarded from Борис_ь с ml
Хабр
Как изменилась индустрия AI Security за 2025 год?
В начале 2026 года мы (авторы телеграм-каналов по безопасности ИИ) собрались, чтобы подвести итоги прошедшего года и обсудить, куда движется безопасность ИИ в общем и целом. Разговор получился...
Как изменилась индустрия AI Security за 2025 год?
#иб_для_ml
17 января мы с Артемом (автор PWNAI), Женей (автор "Евгений Кокуйкин - Raft") и Владом (автор "llm security и каланы") провели стрим на тему изменений в AI Security за 2025.
И сейчас подготовили для вас его текстовое изложение! Приглашаю к прочтению: https://habr.com/ru/articles/1000736/
Я на стриме сфокусировался на перспективах развития индустрии на горизонте 2-3-5 лет с учетом достижений 2025. Это и появление нового класса решений по безопасности, основанных на анализе архитектуры моделей. Также был разговор про типы угроз для AI Cybersecurity в целом, и про средства автоматизации кибератак, и инциденты за прошлый год, и стоимость защиты, и многое другое.
#иб_для_ml
17 января мы с Артемом (автор PWNAI), Женей (автор "Евгений Кокуйкин - Raft") и Владом (автор "llm security и каланы") провели стрим на тему изменений в AI Security за 2025.
И сейчас подготовили для вас его текстовое изложение! Приглашаю к прочтению: https://habr.com/ru/articles/1000736/
Я на стриме сфокусировался на перспективах развития индустрии на горизонте 2-3-5 лет с учетом достижений 2025. Это и появление нового класса решений по безопасности, основанных на анализе архитектуры моделей. Также был разговор про типы угроз для AI Cybersecurity в целом, и про средства автоматизации кибератак, и инциденты за прошлый год, и стоимость защиты, и многое другое.
Компания СерчИнформ поделилась несколькими успешными кейсами использования ИИ для DLP:
1. Поиск защищаемой информации, например фото паспортов. OCR такое находит хуже.
2. Детектирование нескольких лиц в камере при открытии критичных документов.
3. Поиск неявной информации или передача информации для задач экономической безопасности. Обычный поиск по ключевым словам будет не эффективным.
4. Саммаризация долгих чатов/переписки для анализа сути переписки. Отдельно - анализ переписки на иностранных языках.
1. Поиск защищаемой информации, например фото паспортов. OCR такое находит хуже.
2. Детектирование нескольких лиц в камере при открытии критичных документов.
3. Поиск неявной информации или передача информации для задач экономической безопасности. Обычный поиск по ключевым словам будет не эффективным.
4. Саммаризация долгих чатов/переписки для анализа сути переписки. Отдельно - анализ переписки на иностранных языках.
Лаборатория Касперского поделилась исследованием ожиданием рынка от ИИ в SOC.