Kept | Cyber
705 subscribers
636 photos
2 videos
11 files
173 links
Kept Cyber – это официальный канал группы по оказанию услуг в области кибербезопасности компании Kept – одной из крупнейших аудиторско-консалтинговых фирм на российском рынке.
Задать вопрос: [email protected]
Download Telegram
CISO & DPO news #45 (11 - 17 октября 2024 года)

1/8 Обновление Windows 11 привело к проблемам с интернет-соединением.
2/8 Троян PipeMagic используется для атак на компании Саудовской Аравии.
3/8 В России к 2030 г. планируется запуск доверенной промышленной сети.
4/8 Снизилось число успешных атак на финансовый сектор.
5/8 Минэкономразвития предложило сократить штрафы за утечки персональных данных.
6/8 Число утечек персональных данных в России выросло на 37% за 2024 г.
7/8 Германия завершила судебное разбирательство против Meta*.
8/8 Госдума рассмотрела поправки о правах по исследованию ПО пользователями.

*Meta Platforms (Facebook) признана экстремистской организацией и запрещена в России
Какой фреймворк наилучшим образом подойдет для компании, у которой уже есть базовые процессы и меры системы управления ИБ?
Anonymous Quiz
46%
NIST Cybersecurity Framework (CSF) 2.0
20%
PCI DSS
20%
NIST Privacy Framework
15%
CIS CSC
NIST Cybersecurity Framework (CSF) 2.0 – фреймворк по информационной безопасности (ИБ) от Национального института стандартов и технологий США (NIST). Версия 2.0 была опубликована в феврале 2024 года. Ранее мы рассказывали о фреймворках по ИБ.
CSF 2.0 представляет собой описание целевого состояния ИБ в организации и может быть использован компаниями любых размеров и направлений деятельности ввиду гибкости внедрения представленных рекомендаций.

Фреймворк состоит из 6 ключевых разделов:

1️⃣Управление (Govern) – комплексный взгляд на жизненный цикл управления рисками ИБ.
2️⃣Идентификация (Identify) – определение ресурсов, которые необходимо защищать.
3️⃣Защита (Protect) – разработка и внедрение мер защиты ресурсов для минимизации рисков ИБ.
4️⃣Обнаружение (Detect) – обнаружение и анализ событий ИБ.
5️⃣Реагирование (Respond) – управление инцидентами ИБ.
6️⃣Восстановление (Recover) – восстановление нормальной работы после инцидента.

При внедрении фреймворка следует учитывать следующее:

1️⃣Адаптация рекомендаций
Стандарт рекомендует расставлять приоритеты в области обеспечения ИБ для принятия обоснованных решений о расходах на ИБ и действиях по внедрению стандарта.

2️⃣Интеграция с другими системами
Для создания единой экосистемы безопасности важно обеспечить совместимость с другими фреймворками и стандартами, используемыми в компании, например, ISO 2700X, CIS Controls.

3️⃣Автоматизация процессов
Внедрение инструментов автоматизации способствует повышению эффективности многих процессов обеспечения ИБ, например, повышение осведомленности, управление уязвимостями, реагирование на инциденты.

NIST Cybersecurity Framework (CSF) 2.0 является хорошей методической базой для построения ИБ в компании, однако следует помнить, что стандарт не содержит подробное описание шагов для достижения целевого состояния ИБ. Для эффективного ИБ в компании требуется комплексный подход: необходимо грамотное распределение ресурсов, компетентные специалисты, актуальные меры и средства защиты, а также постоянство обеспечения ИБ.

#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
25 октября 2024 г. в 12:00 по московскому времени Роман Мартинсон, руководитель направления по оказанию услуг в области персональных данных, примет участие в дискуссии на тему «Консалтинг в приватности: модель бизнеса или подход в работе?»

На дискуссии Роман и другие эксперты обсудят важные аспекты консалтинга в области приватности: необходимость привлечения консультантов, их компетенции, этические нормы и правила работы.

Евразийский конгресс по защите данных – это мероприятие, организованное сообществами и ассоциациями по приватности. Конгресс объединяет экспертов и профессионалов из различных областей, что делает его платформой для обмена знаниями и опытом.

Формат: онлайн-трансляция на платформах ВКонтакте и YouTube.

Подробности на веб-сайте: https://edpc.network/

#Privacy
В новой версии «The NIST Cybersecurity Framework» (далее – CSF) предложены инструменты для ускорения внедрения стандарта и уделено больше внимания вопросам корпоративного управления.
 
Новая версия лишилась приписки «Framework for Improving Critical Infrastructure Cybersecurity» в своем названии, что указывает на более широкую область применения фреймворка, чем у прошлой редакции.
 
Обновленный документ дополнен разделом «Руководство» (Governance), направленным на вовлечение высшего руководства и совета директоров организаций в процессы по управлению рисками кибербезопасности.
 
Процессы, предусмотренные в рамках прежних пяти разделов, о которых мы говорили ранее, были доработаны и упрощены, что помогает облегчить внедрение документа и его понимание лицами, не обеспечивающими кибербезопасность.
Документ также расширяет результаты управления рисками цепочки поставок и включает большинство из них в функции управления.
 
CSF теперь содержит примеры реализации, информационные ссылки на справочные материалы и краткие руководства, которые доступны онлайн и регулярно обновляются. Также разработана серия руководств «quick-start guides» для упрощения старта внедрения CSF.
 
Чтобы помочь организациям в сравнении текущего и целевого состояний обеспечения уровня кибербезопасности, NIST предоставляет шаблон профиля организации в виде таблицы.
 
Более подробно изучить изменения между CSF 1.1 и CSF 2.0 можно в таблице.
 
#ИБ
#ПолезноЗнать
Публикуем седьмой выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на ноябрь 2024 года.

Подборка мероприятий в файле под этим постом ⬇️
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Сегодня мы посетили конференцию «Сохранить всё. Безопасность информации», которая в этом году прошла в Конгресс-центре Soluxe. На конференции рассматривались вопросы защиты данных на всех этапах их жизненного цикла.
 
Роман Мартинсон, руководитель направления по оказанию услуг в области персональных данных Kept, выступил на сессии «Как заниматься безопасностью без рисков для себя». Роман рассказал о видах личной ответственности, которая может быть наложена на работников в области информационной безопасности и приватности за те или иные нарушения.

Важной новостью с полей мероприятия является анонс выпуска новых требований к защите информации, содержащейся в ГИС и иных ИС госорганов, к началу 2025 года, который был сделан Д. Шевцовым (ФСТЭК России).