RCE в сетевом оборудовании Aruba и Avaya (TLStorm 2.0) позволяет получить полный доступ над сетевым устройством с последующей компрометацией инфраструктуры. В «дикой природе» пока не использовалась, но лиха беда начало. За ближайшие три рабочих дня стоит озаботиться обновлением (если есть доступ к вендорским сайтам) или использовать компенсирующие меры
Help Net Security
TLStorm 2.0: Critical bugs in widely-used Aruba, Avaya network switches - Help Net Security
TLStorm 2.0 are 5 critical vulnerabilities in the implementation of TLS communications in multiple models of Aruba and Avaya network switches.
Немного систематизировал все о 250-м Указе Президента
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Новый Указ Президента может сделать безопасников заместителями генеральных директоров
В день труда, когда вся Россия отдыхает, наш Президент подписал новый, не побоюсь этого слова, революционный Указ №250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", который коренным образом должен поменять процессы…
ФСТЭК сообщает, что разработан новая тестовая версия Банка данных угроз безопасности информации, включая и средство автоматизации моделирования угроз.
Новый раздел Банка данных угроз содержит сведения об угрозах безопасности информации, объектах и компонентах воздействия, способах реализации угроз безопасности информации, уровне возможностей нарушителей и мерах защиты информации. Также новый раздел Банка данных угроз содержит функции по формированию перечня возможных угроз безопасности информации применительно к конкретным информационным (автоматизированным) системам.
В настоящее время проводится опытная эксплуатация модернизированного раздела угроз. Предложения и замечания по новому разделу Банка данных угроз принимаются до 5 июня 2022 г.
Кроме того ФСТЭК России в настоящее время завершает разработу новой редакции Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 5 февраля 2021 г. В новой редакции Методики в качестве исходных данных для реализации процедур формирования перечня возможных угроз безопасности информации для информационных (автоматизированных) систем и сетей и определения их актуальности предусмотрено применение нового раздела Банка данных угроз. Применение нового раздела Банка данных угроз в этих целях будет возможно после его доработки по результатам общественного обсуждения и утверждения новой редакции Методики.
Новый раздел Банка данных угроз содержит сведения об угрозах безопасности информации, объектах и компонентах воздействия, способах реализации угроз безопасности информации, уровне возможностей нарушителей и мерах защиты информации. Также новый раздел Банка данных угроз содержит функции по формированию перечня возможных угроз безопасности информации применительно к конкретным информационным (автоматизированным) системам.
В настоящее время проводится опытная эксплуатация модернизированного раздела угроз. Предложения и замечания по новому разделу Банка данных угроз принимаются до 5 июня 2022 г.
Кроме того ФСТЭК России в настоящее время завершает разработу новой редакции Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 5 февраля 2021 г. В новой редакции Методики в качестве исходных данных для реализации процедур формирования перечня возможных угроз безопасности информации для информационных (автоматизированных) систем и сетей и определения их актуальности предусмотрено применение нового раздела Банка данных угроз. Применение нового раздела Банка данных угроз в этих целях будет возможно после его доработки по результатам общественного обсуждения и утверждения новой редакции Методики.
Если бы не американская ФСТЭК (CISA), так бы и не знал, что 4 мая - это День Звездных войн (парафраз от классического «May the Force be with you» - «May the fourth be with you»).
Классно вообще, когда регулятор - не сборище скучных чиновников, а люди, понимающие, чем живет их «паства». То в Хеллоуин выпустят прикольно оформленные советы, то на Рождество. Теперь вот в День Звездных войн.
Интересно, наши когда-нибудь дойдут до такого? Или они слишком серьезны, чтобы с юмором рассказывать об ИБ?
Классно вообще, когда регулятор - не сборище скучных чиновников, а люди, понимающие, чем живет их «паства». То в Хеллоуин выпустят прикольно оформленные советы, то на Рождество. Теперь вот в День Звездных войн.
Интересно, наши когда-нибудь дойдут до такого? Или они слишком серьезны, чтобы с юмором рассказывать об ИБ?
А вы задавались вопросом, что такое «средство защиты информации»? Я вот, в контексте их запрета по 250-му Указу, задался.
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Что такое средство защиты информации?
Хотелось бы еще пройтись касательно последнего требования Указа, который гласит, что с 1-го января 2025 все попавшие под Указ организации не смогут использовать средства защиты из недружественных государств, а также от иных организаций, которые прямо или…
Интересная инициатива, но не сильно меняющая текущее правоприменение. РКН и так относит email к ПДн. Телефон он таковыми не считает, но к ПДн его относят российские суды. Та же история и с почтовым адресом. Так что в случае принятия данного закона ситуация не изменится от слова никак!
Forwarded from Листок бюрократической защиты информации
🤯Номер телефона, адрес электронной почты или почтовый адрес - ПДн специальной категории?
Ещё нет, но с подобной инициативой выступило Государственное Собрание – Курултай Республики Башкортостан.
Ещё нет, но с подобной инициативой выступило Государственное Собрание – Курултай Республики Башкортостан.
Хотелось бы мне посмотреть на модели угроз для лифта, управляемого смартфоном, и туалета, подключенного к облаку. В последнем случае интересно взглянуть и на согласие на передачу ПДн третьим лицам; особенно на список передаваемых ПДн ;-) Кажется мне, что цифровая трансформация пошла куда-то не туда
This media is not supported in your browser
VIEW IN TELEGRAM
Сегодня прям день креативных роликов про пароли. Вот от NIST про то, как дети выбирают и используют пароли
This media is not supported in your browser
VIEW IN TELEGRAM
А это тролли из Cisco в международный день паролей читают у камина поэму "G00dby3 P@ssw0rds" о том, что пора попрощаться с паролями 😊
Оттягивать уже нет смысла… Эта заметка начала писаться в первых числах марта, после начала известных событий, когда стало понятно, что мир уже не будет прежним. Я все ждал-ждал, когда ситуация уляжется, военные действия завершатся и можно будет подвести какие-то итоги с точки зрения именно ИБ. Не дождался. На дипломатическое решение надеяться уже не приходиться и скорее всего нас ждет затяжная военная операция (а ее последствия так и вовсе мы будем расхлебывать десятилетия, как после Второй мировой войны). Поэтому напишу то, что я готовился сделать еще в марте.
Президент Байден подписал меморандум о рисках квантовых компьютеров для криптографических систем и о мероприятиях по управлению этими рисками
The White House
National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic…
NATIONAL SECURITY MEMORANDUM/NSM-10 MEMORANDUM FOR THE VICE PRESIDENT THE