Публикуем седьмой выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на ноябрь 2024 года.
Подборка мероприятий в файле под этим постом⬇️
Подборка мероприятий в файле под этим постом
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Сегодня мы посетили конференцию «Сохранить всё. Безопасность информации», которая в этом году прошла в Конгресс-центре Soluxe. На конференции рассматривались вопросы защиты данных на всех этапах их жизненного цикла.
Роман Мартинсон, руководитель направления по оказанию услуг в области персональных данных Kept, выступил на сессии «Как заниматься безопасностью без рисков для себя». Роман рассказал о видах личной ответственности, которая может быть наложена на работников в области информационной безопасности и приватности за те или иные нарушения.
Важной новостью с полей мероприятия является анонс выпуска новых требований к защите информации, содержащейся в ГИС и иных ИС госорганов, к началу 2025 года, который был сделан Д. Шевцовым (ФСТЭК России).
Роман Мартинсон, руководитель направления по оказанию услуг в области персональных данных Kept, выступил на сессии «Как заниматься безопасностью без рисков для себя». Роман рассказал о видах личной ответственности, которая может быть наложена на работников в области информационной безопасности и приватности за те или иные нарушения.
Важной новостью с полей мероприятия является анонс выпуска новых требований к защите информации, содержащейся в ГИС и иных ИС госорганов, к началу 2025 года, который был сделан Д. Шевцовым (ФСТЭК России).
Вопрос:
Какие есть рекомендации по обеспечению информационной безопасности цепочки поставок?
Ответ:
Уязвимости в цепочке могут привести к серьезным последствиям: компьютерным атакам, нарушению процессов, несанкционированному доступу к информации и финансовым потерям. Для минимизации рисков важно использовать комплексный подход к управлению безопасностью цепочки поставок на всех этапах и для всех задействованных в лиц.
Для обеспечения безопасности цепочки поставок рекомендуется проводить следующие мероприятия:
1️⃣ Провести анализ цепочки поставок и определить риски
Следует проанализировать свою цепочку поставок и найти слабые места, которые могут стать целью атак.
2️⃣ Провести проверку всех участников цепочки поставок
Необходимо проверить участников на их соответствие требованиям в области ИБ, в особенности обратить внимание на лиц, которые признаны уязвимыми к атакам по результатам анализа.
3️⃣ Ограничить доступы
Для участников должен предоставляться доступ только к необходимым данным. Рекомендуется сегментировать сети для минимизации ущерба в случае атаки.
4️⃣ Провести обучение
Обучение собственного персонала и сотрудников поставщиков поставок позволит им оперативно реагировать на киберугрозы и снизит вероятность возникновения таких угроз.
5️⃣ Проводить мониторинг активности
Следует организовать мониторинг активности в сети, на рабочих местах и серверах компании.
6️⃣ Регулярно перепроверять поставщиков
Необходимо на постоянной основе оценивать риски для каждого партнёра и сегмента цепочки с целью выявления, анализа и устранения потенциальных рисков.
7️⃣ Разработать планы и процедуры на случай инцидента
Следует подготовить план реагирования и план непрерывности деятельности. В плане реагирования необходимо определить порядок действий на случай инцидента, а в плане непрерывности деятельности – порядок обеспечения непрерывности процессов.
#ИБ
#ПолезноЗнать
Какие есть рекомендации по обеспечению информационной безопасности цепочки поставок?
Ответ:
Уязвимости в цепочке могут привести к серьезным последствиям: компьютерным атакам, нарушению процессов, несанкционированному доступу к информации и финансовым потерям. Для минимизации рисков важно использовать комплексный подход к управлению безопасностью цепочки поставок на всех этапах и для всех задействованных в лиц.
Для обеспечения безопасности цепочки поставок рекомендуется проводить следующие мероприятия:
Следует проанализировать свою цепочку поставок и найти слабые места, которые могут стать целью атак.
Необходимо проверить участников на их соответствие требованиям в области ИБ, в особенности обратить внимание на лиц, которые признаны уязвимыми к атакам по результатам анализа.
Для участников должен предоставляться доступ только к необходимым данным. Рекомендуется сегментировать сети для минимизации ущерба в случае атаки.
Обучение собственного персонала и сотрудников поставщиков поставок позволит им оперативно реагировать на киберугрозы и снизит вероятность возникновения таких угроз.
Следует организовать мониторинг активности в сети, на рабочих местах и серверах компании.
Необходимо на постоянной основе оценивать риски для каждого партнёра и сегмента цепочки с целью выявления, анализа и устранения потенциальных рисков.
Следует подготовить план реагирования и план непрерывности деятельности. В плане реагирования необходимо определить порядок действий на случай инцидента, а в плане непрерывности деятельности – порядок обеспечения непрерывности процессов.
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
CISO & DPO news #46 (17-24 октября 2024 года)
1/8 В коде Android- и iOS-приложений найдены учётные данные в открытом виде.
2/8 Опубликованы «вредные советы» по ИБ для разработчиков ПО.
3/8 Обнаружена активность хакерской группы Crypt Ghouls в РФ.
4/8 Исправлены критичные уязвимости в продуктах Atlassian.
5/8 Замечен рост информированности граждан в отношении биометрических технологий.
6/8 Опубликованы результаты проверки Управления Роскомнадзора по Тюменской области.
7/8 Граждане смогут предоставить биометрические данные в ЕБС через приложения банков.
8/8 Роскомнадзор предложил создать стандарты работы с персональными данными.
1/8 В коде Android- и iOS-приложений найдены учётные данные в открытом виде.
2/8 Опубликованы «вредные советы» по ИБ для разработчиков ПО.
3/8 Обнаружена активность хакерской группы Crypt Ghouls в РФ.
4/8 Исправлены критичные уязвимости в продуктах Atlassian.
5/8 Замечен рост информированности граждан в отношении биометрических технологий.
6/8 Опубликованы результаты проверки Управления Роскомнадзора по Тюменской области.
7/8 Граждане смогут предоставить биометрические данные в ЕБС через приложения банков.
8/8 Роскомнадзор предложил создать стандарты работы с персональными данными.