Подборка новостей из мира ИБ с 10.10 по 27.10
В России
- Информация ФСТЭК России об уровнях доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий
ФСТЭК России информирует об утверждении (приказ ФСТЭК России от 02.06.2020 № 76) Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее — средства).
➡️ ⚠️ С 1 января 2021 г. признается утратившим силу приказ ФСТЭК России от 30 июля 2018 г. № 131 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
➡️ Устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.
Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории, в государственных информационных системах 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.
Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.
Средства, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
➡️ Устанавливается 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый.
В соответствии с Требованиями по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, средства должны проходить исследования по выявлению уязвимостей и недекларированных возможностей по уровню контроля, соответствующему уровню доверия.
Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля, 5 уровню доверия – по 5 уровню контроля, 4 уровню доверия – по 4 уровню контроля, 3 уровню доверия – по 3 уровню контроля, 2 уровню доверия – по 2 уровню контроля, 1 уровню доверия – по 1 уровню контроля.
Соответствующее информационное сообщение ФСТЭК России от 15 октября 2020 г. № 240/24/4268 «Об утверждении требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» опубликовано на сайте регулятора.
- Изменения в требования к ГИС
Опубликовано постановление Правительства Российской Федерации от 10.10.2020 № 1650 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации», которым вносятся изменения в известное постановление Правительства Российской Федерации от 06.07.2015 № 676.
- Проекты ГОСТов от ФСТЭК
ФСТЭК России представила к рассмотрению проекты ГОСТов:
➡️ Защита информации. Формальная модель управления доступом. Часть 1. Общие положения.
➡️ Защита информации. Формальная модель управления доступом. Часть 2. Рекомендации по верификации формальной модели управления доступом.
Сбербанк готовит к запуску новый сервис, который будет собирать данные о тратах и передвижениях россиян. Самое скверное для конфиденциальности граждан — всю эту информацию кредитная организация планирует продавать бизнесу и местным властям.
Министерство юстиции США обвинило шестерых сотрудников Главного управления Генерального штаба (бывшее ГРУ) в целевых кибератаках. Минюст полагает, что все шестеро являются членами группировки Sandworm.
Согласно судебным документам, обвиняемые работают в подразделении 74455, входящем в состав ГРУ. Власти США якобы нашли доказательства участия офицеров в мощных целенаправленных атаках.
Россия до сих пор надеется продолжить сотрудничество с Западом по части обеспечения кибербезопасности обеих стран. Такую позицию обозначил глава страны Владимир Путин в интервью телеканалу «Россия-1».
При этом президент подчеркнул, что США проигнорировали ранее озвученный призыв возобновить сотрудничество в сфере кибербезопасности.
Мэр Москвы Сергей Собянин недавно подписал указ, обязывающий компании передавать властям данные сотрудников, работающих удалённо. Эксперты тут же обратили внимание на сомнительность инициативы с точки зрения конфиденциальности. Однако в мэрии заверили, что передаваемые данные не относятся к персональным.
В мире
Власти США обвинили киберпреступную группировку, якобы спонсируемую Кремлём, во взломе государственных сетей Америки.
Бывший сотрудник ЦРУ и АНБ США Эдвард Сноуден, сливший секретную информацию американских спецслужб, получил вид на жительство в России. Об этом в четверг сообщил его адвокат.
В 2013 году Сноуден стал известен всему миру после того, как явил доказательства шпионажа властей США за своими же гражданами. С тех пор бывший спецагент прятался в России.
При этом, по словам Сноудена, он хотел бы вернуться в США. Однако сейчас возможность возвращения, судя по всему, отодвинулась ещё дальше, поскольку недавние изменения в российском миграционном законодательстве позволяют Сноудену остаться в стране на неопределённый срок.
Власти Германии планируют разрешить спецслужбам получать доступ к зашифрованным перепискам граждан в таких мессенджерах, как Facebook Messenger и WhatsApp. Всё это делается под предлогом борьбы с терроризмом.
Мероприятия
29 октября (четверг) в 11:00 (МСК) состоится онлайн-мероприятие «Выбор эффективной защиты от DDoS-атак». Среди спикеров будут специалисты «Ростелеком-Солар», «Лаборатории Касперского», MITIGATOR и DDoS-GUARD.
Подведем итоги обзоров и сравнений продуктов и сервисов защиты от DDoS. Расскажем, на какие особенности стоит обратить внимание при выборе оптимального решения. Когда лучше купить программно-аппаратный комплекс, а когда остановиться на сервисе. Как отличить качественное решение и сервис от пустышки. Объясним, насколько важна сертификация и как правильно составлять SLA.
Дискуссия будет интересна всем, кто только выбирает или планирует модернизацию защиты веб-приложений от DDoS-атак в компаниях крупного, среднего или малого бизнеса: руководителям по ИБ, специалистам по информационной безопасности, сетевым архитекторам и инженерам.
Приглашаем всех зарегистрироваться бесплатно: https://live.anti-malware.ru/antiddos#reg.