Вступило в силу 01 января 2025 г.:

Постановление Правительства РФ от 10.07.2024 № 929 об утверждении Положения о государственной единой облачной платформе
▫️для кого: участники эксперимента по использованию государственной единой облачной платформы
▫️что делать: адаптировать информационные системы под требования государственной единой облачной платформы и обеспечить их совместимость с российским ПО

ФЗ от 31.07.2023 № 406-ФЗ о внесении изменений в ст. 8 149-ФЗ
▫️для кого: владельцы информационных ресурсов, имеющих возможности авторизации пользователей на ресурсах
▫️что делать: проводить авторизацию пользователей из РФ способами, предусмотренными ч. 10 ст. 8 149-ФЗ:
🔸по мобильному номеру телефона;
🔸через Единую систему идентификации и аутентификации;
🔸с помощью Единой биометрической системы;
🔸через иную ИС, обеспечивающую авторизацию пользователей и принадлежащую российскому юридическому лицу (как минимум на 50% находящегося под российским контролем)

Указ Президента РФ от 01.05.2022 № 250 о дополнительных мерах по обеспечению ИБ РФ (п. 6)
▫️для кого: органы исполнительной власти федерального и регионального уровней, государственные фонды и корпорации, стратегические предприятия и общества, системообразующие организации, субъекты КИИ
▫️что делать: использовать отечественные средства защиты или поставляемые дружественными государствами

Указ Президента РФ от 30.03.2022 г. № 166 о мерах по обеспечению технологической независимости и безопасности КИИ РФ (пп. б п. 1)
▫️для кого: государственные органы, организации, осуществляющие закупки в соответствии с 223-ФЗ
▫️что делать: использовать отечественное ПО на значимых объектах КИИ

Вступило в силу 02 января 2025 г.:

Изменения в ФЗ от 29.12.2022 № 572-ФЗ об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн (ч. 11)
▫️для кого: организации, осуществляющие аутентификацию на основе биометрических ПДн, при использовании государственных информационных систем
▫️что делать: соблюдать требования о защите информации в государственных ИС, предусмотренные Приказом ФСТЭК России от 11.02.2013 №17

Опубликовано 22 января 2025 г.:

Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей ИБ в организациях финансового рынка
▫️для кого: кредитные и некредитные финансовые организации, субъекты национальной платежной системы, бюро кредитных историй
▫️что делать: рассмотреть рекомендации, в частности к:
🔸порядку проведения тестирования;
🔸содержанию технического задания на проведение тестирования;
🔸методам проведения тестирования;
🔸форме отчета по результатам тестирования;
🔸информированию Банка России об инцидентах защиты информации, возникших в ходе тестирования.

Информационные сообщения ФСТЭК России:
▫️ от 27.12.2024 № 240/11/6702 о методических рекомендациях по разработке программ профессиональной переподготовки и повышения квалификации специалистов в области обеспечения безопасности значимых объектов КИИ критической, противодействия иностранным техническим разведкам и технической защиты информации.
▫️от 27.12.2024 № 240/11/6703 о рассмотрении проектов дополнительных профессиональных программ в области ИБ.
▫️ от 27.12.2024 № 240/11/6704 о примерных дополнительных профессиональных программах в области обеспечения безопасности КИИ.
▫️ от 27.12.2024 № 240/11/6705 о новой редакции примерной программы профессиональной переподготовки по ИБ.
▫️ от 27.12.2024 № 240/11/6706 о новых редакциях примерных программ профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам, технической защиты информации и обеспечения безопасности значимых объектов КИИ.
▫️ от 28.12.2024 № 240/11/6707 о новой редакции примерной программы повышения квалификации по защите ПДн.

#ДеЮре

11 февраля (вторник) в питерском офисе Kept впервые пройдёт Kept SPb Privacy Day

Недавно мы рассказывали о том, как 28 января провели Kept Privacy Day в нашем московском офисе. А уже через неделю мы встретимся с нашими питерскими коллегами, чтобы обсудить самые актуальные вопросы в сфере работы с персональными данным (ПДн).

Среди тем для обсуждения:

▫️новеллы законодательства по персональным данным;
▫️применение искусственного интеллекта в рутинной деятельности функции приватности;
▫️роль личности в построении функции приватности.

Помимо выступлений, в ходе мероприятия будут проведены кофе-брейк с квизом и дискуссионная панель, а завершающим аккордом станет фуршет, где можно будет пообщаться со спикерами и друг с другом и обсудить интересующие вопросы.

Спикерами мероприятия будут:

▫️Роман Мартинсон, Kept
▫️Ксения Кожушко, Kept
▫️Станислав Змичеровский, Скаенг
▫️Владислав Архипов, СПбГУ
▫️Екатерина Мулюкина, Атриум Инновейшенс Рус
▫️Николай Бределев, Группа Илим
▫️Александр Закалин, Балтика
▫️Наталья Черняева, Северсталь-Инфоком
▫️Станислав Дерягин, Айкон Тайерс

Участие бесплатное.

🟣Регистрация доступна по ссылке и возможна до 10 февраля включительно.

Ждем встречи на мероприятии!

Сетевое сегментирование — разделение сети на более мелкие изолированные участки с помощью аппаратного или программного обеспечения. Сегментирование позволяет ограничивать распространение угроз, минимизировать ущерб от атак и оптимизировать управление трафиком.
Без сегментирования злоумышленник, проникнув в один узел сети, может свободно перемещаться по всей инфраструктуре, получая доступ к критически важным данным и системам.

Ключевые преимущества:
▫️Минимизация последствий атак — если один сегмент скомпрометирован, атака не распространяется на всю сеть.
▫️Контроль трафика — уменьшение нагрузки на сеть и предотвращение нежелательных соединений.
▫️Соответствие требованиям — сегментация сети является обязательной для организаций в соответствии требованиям различных нормативно-правовых актов и фреймворков (например, приказов ФСТЭК России №17, №21 и № 239, а также ГОСТ Р 57580, ISO/IEC 27001, PCI DSS и т.д.)
▫️Гибкость управления — упрощение мониторинга и администрирования, разделение зон по уровню доверия и разграничение прав доступа.

Как реализовать?
▫️Использовать VLAN (Virtual Local Area Network) — технологию, позволяющую виртуально разделить физическую сеть на изолированные логические сегменты.
▫️Разделить сети на логические зоны (DMZ, внутренняя, гостевая сеть) в зависимости от назначения с разными уровнями доверия и безопасности.
▫️Использовать межсетевые экраны для контроля и фильтрации сетевого трафика между различными подсетями.
▫️Настроить списки управления доступом (ACL) и межсетевые политики.

#ИБ
#ПолезноЗнать

Вопрос:

Что следует учитывать при построении процесса резервного копирования?

Ответ:

Продолжая описание процесса резервного копирования, следует отметить также и другие его составляющие:

4️⃣Автоматизация процесса
Комплексная автоматизация повышает надежность резервного копирования и минимизирует риски потери данных. Автоматизация должна охватывать не только запуск задачи, но и весь процесс резервного копирования, включая:

▫️Настройку регулярного выполнения через планировщик задач или специализированное ПО.
▫️Использование надежных инструментов и скриптов для создания резервных копий с учетом целостности данных.
▫️Регулярную проверку сохраненных данных, включая контрольные сверки и пробное восстановление.
▫️Внедрение механизмов, обеспечивающих быстрое и корректное восстановление данных в случае сбоя.

5️⃣Периодическая проверка резервных копий
Резервная копия теряет свою ценность, если восстановить данные из нее невозможно, поэтому важно регулярно тестировать процесс восстановления.
Периодичность тестирования зависит от частоты создания резервных копий. Некоторые системы требуют проверки раз в неделю или месяц, а редко обновляемые — раз в год. Необходимо заранее предусмотреть тестирование восстановления данных, составив четкий план с указанием периодичности и ответственных.
План должен быть обязательно выполнен, чтобы убедиться, что резервные копии действительно работают и позволяют восстановить данные при необходимости.

6️⃣Шифрование данных
Если копии хранятся в облаке или на внешних носителях, то следует использовать шифрование (например, AES-256).

Грамотно организованный процесс резервного копирования позволяет защитить данные от потерь, сбоев и атак. Определение критичных данных, выбор подходящего метода резервного копирования, правильное хранение, автоматизация и регулярное тестирование восстановления — ключевые шаги, которые обеспечивают надежность системы. Реализация этих шагов минимизирует риски и гарантирует доступность информации даже в случае чрезвычайных ситуаций.

#ИБ
#KeptОтвечает

CISO & DPO news #60 (3-9 февраля 2025 года)

▫️ Опасный Wi-Fi в Шереметьево
В аэропорту Шереметьево зафиксированы случаи фишинга через поддельную Wi-Fi-сеть. Злоумышленники создали сеть с названием, похожим на название настоящей сети аэропорта, что позволяло злоумышленникам красть учетные данные от Telegram.

▫️ Вредоносные пакеты DeepSeek в PyPI
Специалисты Positive Technologies выявили атаку на разработчиков. Злоумышленники разместили в PyPI вредоносные пакеты deepseeek и deepseekai, которые крали конфиденциальные данные из переменных окружения.

▫️ Уязвимость в Subaru STARLINK
Эксперты выявили критическую уязвимость в системе STARLINK от Subaru, позволявшую злоумышленникам отслеживать местоположение автомобилей, разблокировать двери и даже заводить двигатель, используя только данные государственного регистрационного знака автомобиля.

▫️ Syncjacking: захват браузера через расширения Chrome
Специалисты SquareX выявили атаку Syncjacking, позволяющую захватывать управление браузером с помощью вредоносных расширений для Chrome. Атака использует поддельные инструменты с реальной функциональностью и требует минимальных разрешений.

▫️ Обнаружена уязвимость в медицинском оборудовании
Управление по контролю за продуктами и лекарствами США (FDA) предупреждает об уязвимостях в сердечных мониторах, подключенных к сети Интернет. Уязвимости позволяют злоумышленникам получать доступ к информации о пациентах, а также вывести монитор из строя.

▫️ В России планируют создать антифрод-платформу для борьбы с телефонными мошенниками
Правительство РФ планирует собрать векторы голосов подозреваемых в правонарушениях без их согласия и аккумулировать данные на единой платформе. ИИ-системы операторов связи будут анализировать звонки и сравнивать векторы голосов звонящих с векторами из антифрод-платформы, а затем предупреждать граждан о возможных мошеннических звонках.

▫️ Евросоюз официально запретил использование ИИ-систем с «неприемлемым риском»
Парламент Евросоюза разделил ИИ-системы на четыре группы риска и запретил использование ИИ-систем с «неприемлемым риском», включая технологии, нарушающие права человека, такие как манипулятивные алгоритмы, сбор биометрических данных, создание социальной оценки.

▫️ Роскомнадзор сообщил о результатах выявления утечек за 2024 г.
Всего Роскомнадзором было зафиксировано 135 утечек ПДн, затронувших более 710 млн записей. Наибольшее количество утечек в 2024 г. произошло в компаниях из сферы торговли и услуг.
Общая сумма штрафов, назначенных судами по фактам утечек, составила 2 млн руб.

Фаззинг – метод тестирования безопасности, который заключается в передаче приложению на вход неправильных, нетипичных и случайных данных. Этот подход позволяет выявить ошибки и слабые места в ПО как на стадии разработки, так и в процессе его использования.

Классификации фаззинга:

1️⃣По способу генерации входных данных:
▫️Мутационный фаззинг – случайная модификация правильных входных данных для проведения тестов;
▫️Генеративный фаззинг – генерация случайных данных на основе заданных правил. Например, грамматический фаззинг, который генерирует случайные данные на основе формальной грамматики входного языка;
▫️Фаззинг на основе покрытия кода – адаптация и модификация входных данных с учётом результатов предыдущих тестирований с целью увеличения области проверки кода (практика показывает, что данный метод является одним из самых эффективных на сегодня).

2️⃣По знанию о целевой системе:
▫️Черный ящик – отсутствие знаний о внутренней структуре тестируемой системы;
▫️Белый ящик – наличие доступа к исходному коду и возможность использования этой информации для более эффективной генерации тестовых данных (например, для достижения максимального покрытия функций обработки внешнего ввода);
▫️Серый ящик – частичное знание о целевой системе, например, о формате входных данных или о некоторых внутренних функциях.

3️⃣По целевой системе:
▫️Фаззинг файлов – тестирование программ, обрабатывающих файлы;
▫️Протокольный фаззинг – тестирование реализации сетевых протоколов;
▫️Браузерный фаззинг – тестирование веб-браузеров;
▫️Фаззинг API – тестирование интерфейсов программирования приложений.

Преимущества фаззинга:
▫️Автоматизация тестирования безопасности;
▫️Поиск неочевидных уязвимостей и необработанных исключений в сложных кодах;
▫️Быстрая идентификация ошибок в логике.

Недостатки:
▫️Вероятность ложных срабатываний;
▫️Высокая стоимость инструментария;
▫️Большие временные затраты на выполнение процедур.

Фаззинг — инструмент для поиска уязвимостей, дополняющий другие методы тестирования безопасности. Применение различных типов фаззинга позволяет адаптировать подход к специфике тестируемой системы и повысить эффективность обнаружения уязвимостей.

#ИБ

Искусственный интеллект (ИИ) уже не просто перспективная технология, а неотъемлемая часть многих сфер деятельности, включая ИБ. ИИ активно используется в IDS-системах и антивирусном ПО, а также при мониторинге, помогая оптимизировать работу и повысить ее эффективность. Однако ИИ также и несет в себе множество рисков и опасностей.

Преимущества:
▫️Автоматизация большого спектра задач, таких как анализ логов, обнаружение вредоносных файлов и мониторинг активности пользователей.
▫️ИИ способен агрегировать и анализировать информацию из множества источников (логи, базы данных, открытые источники), значительно облегчая и ускоряя поиск необходимых данных, например, для расследования инцидентов и прогнозирования угроз.
▫️Повышенная точность работы, благодаря анализу больших объемов данных, позволяет обнаруживать сложные атаки и выявлять аномалии, которые могут быть незаметны для традиционных систем.
▫️Способность выявлять новые типы вредоносного ПО и атак, которые еще не известны и не имеют сигнатур. ИИ также может предсказывать потенциальные угрозы на основе анализа данных и поведения пользователей, позволяя предотвращать атаки до их реализации.
▫️Постоянная адаптация систем на базе ИИ к новым угрозам и изменениям в IT-инфраструктуре.

Недостатки:
▫️Зависимость эффективности работы ИИ от качества и актуальности данных, используемых для обучения;
▫️Уязвимость ИИ к специфическим атакам, таким как отравление данных для обучения (data poisoning), атаки на модель (model inversion) и атаки на выводы модели (adversarial attacks);
▫️Отсутствие «прозрачности» в работе и слабая прослеживаемость причинно-следственных связей при принятии решений ИИ могут затруднить поиск, обнаружение и анализ ошибок, а также уменьшить степень доверия к результатам работы ИИ;
▫️Ложные срабатывания и ошибки в работе, причинами для которых могут быть некорректные данные для обучения, плохая настройка и изменения в поведении системы.
▫️Высокая стоимость разработки, внедрения и обслуживания ИИ-систем по сравнению с обычными средствами защиты.

Учитывая плюсы и минусы, ИИ используется в средствах защиты информации как дополнительный инструмент, не заменяющий классические решения. Кроме того, применение ИИ в ИБ поднимает ещё и ряд этических вопросов:
🔸Дискриминация – как мы уже упомянули ранее, качество работы ИИ напрямую зависит от того, какие данные использовались для его обучения. Если эти данные содержат предвзятости или отражают статистические закономерности, которые могут быть восприняты как дискриминационные, то ИИ может воспроизводить такие же предвзятые решения в отношении различных категорий людей, стран и других объектов.
🔸Ответственность – проблема ответственности за действия ИИ заключается в том, что зачастую сложно определить, кто должен нести ответственность за ошибки или негативные последствия, вызванные решениями искусственного интеллекта.
В случае с традиционными технологиями ответственность обычно лежит на разработчиках, пользователях или операторах системы. Однако с ИИ ситуация осложняется тем, что он может принимать автономные решения, основанные на сложных алгоритмах машинного обучения, которые трудно предсказать заранее. Это создает неопределенность относительно того, кто именно должен отвечать за возможные ошибки или ущерб: разработчики, владельцы ИИ-системы, пользователи или сам ИИ.

#ИБ
#ПолезноЗнать

11 февраля мы провели Kept SPb Privacy Day

В этот вторник в питерский офис Kept в гости пришло более 40 специалистов по персональным данным, информационной безопасности и комплаенс. Это было наше первое очное мероприятие в Санкт-Петербурге после пандемии.

Мы получили много положительных отзывов от коллег и обязательно продолжим проводить очные мероприятие в Санкт-Петербурге.

Основные тезисы с нашего мероприятия:

🔸«Не нужно бояться искусственного интеллекта, нужно повышать свою экспертность, обучаясь и посещая такие мероприятия, как это».
🔸«DPO должен уметь сказать «нет» и сделать так, как нужно» vs «Иногда все, что мы можем - зафиксировать «нет» от DPO, а бизнес сам примет решение»
🔸«В новых требованиях нет деталей порядка по обезличиванию персональных данных. До 1 сентября нас ждет ряд новых подзаконных актов по данной теме»
🔸«30 мая 2025 г. вступят в силу правки в КоАП по ужесточению ответственности в сфере персональных данных, в связи с чем компаниям стоит пересмотреть карту рисков в данном направлении»

▫️Мы планируем провести наш флагманский двухдневный тренинг «Персональные данные: интенсив» в Санкт-Петербурге.
Регистрация по ссылке.

#Privacy

Вопрос:

Что может быть отнесено к «избыточной» обработке персональных данных?

Ответ:

Основополагающим нормативно-правовым документом в области обработки и обеспечения безопасности персональных данных в России (152-ФЗ) устанавливаются несколько принципов обработки персональных данных (ПДн). Один из принципов заключается в том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных законных целей (ч. 2 ст. 5 152-ФЗ). При этом ПДн не должны быть избыточными по отношению к заявленным целям их обработки (ч. 5 ст. 5 152-ФЗ).
За обработку «избыточных» ПДн компания может быть привлечена к ответственности по ч. 1 ст. 13.11 КоАП РФ.

Примерами «избыточной» обработки ПДн могут являться:

▫️Сбор ненужных ПДн
🔸Компания собирает данные о месте работы или семейном положении при оформлении заказа в интернет-магазине.
🔸Компания собирает данные о семейном положении или историю болезни у кандидатов при подаче резюме.

▫️ Хранение ПДн после достижения цели обработки
🔸Компания продолжает хранить ПДн клиента после удаления аккаунта на сайте / приложении.
🔸Компания хранит копии всех документов бывшего работника, содержащие ПДн, «на случай, если он захочет вернуться».

▫️Нецелевое использование ПДн
🔸Использование системы видеонаблюдения для привлечения работника к ответственности за длительное отсутствие на рабочем месте при заявленной цели – обеспечение безопасности.
🔸Компания собирает данные о номере телефона у клиента в целях оформления доставки, но также использует его в целях рекламы других услуг.

▫️Мониторинг поведения / геолокации
🔸Компания использует файлы cookie для маркетинговых, аналитических или статистических целей без информирования и получения согласия пользователя.
🔸Приложение для отслеживания погоды требует постоянный сбор местонахождения устройства, несмотря на то что пользователь вручную указал город.

▫️Обогащение ПДн из открытых источников
🔸Компания использует ПДн, содержащихся в социальных сетях субъекта, для рекламы услуг, без его согласия.

▫️Дублирование ПДн
🔸Компания использует информацию о хобби или интересах субъекта из открытых источников для принятия решения о возможности оказания услуг.
🔸Компания использует информационные системы, которые содержат идентичные ПДн об одном субъекте.
🔸Компания собирает одни и те же данные у пользователя несколько раз (при регистрации на сайте и оформлении заказа).

#Privacy
#KeptОтвечает