Дайджест информационной безопасности за период с 1 по 25 января 2015 г.

Новости законодательства и отраслевого регулирования

  • 27 декабря Распоряжением №2736-Р Дмитрий Медведев утвердил план законодательной деятельности Правительства РФ в 2015 г., согласно которому Правительством будут рассмотрены законопроекты, регулирующие вопросы использования электронной подписи юридическими и физлицами. Также в июне Правительством будет рассмотрен законопроект о внесении изменений в ст. 13 закона 161-ФЗ «О национальной платёжной системе» и в закон «О связи», в результате которого операторы мобильной связи должны будут выполнять требования финансовых стандартов безопасности (таких как PCI DSS или СТО БР ИББС) либо их аналогов, которые придется разработать для телекоммуникационной отрасли.
  • Президент подписал 31 декабря 2014 года Федеральный закон №526-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», предусматривающий принятие поправок в части переноса срока вступления в силу закона «о запрете хранения ПДн россиян за границей».
  • Также Президентом был подписан Федеральный закон №531-ФЗ «О внесении изменений в статьи 13 и 14 Федерального закона «Об информации, информационных технологиях и о защите информации» и Кодекс Российской Федерации об административных правонарушениях», согласно которому технические средства информационных систем, используемых госорганами, должны размещаться на территории Российской Федерации.

Новости ИБ

  • Белый дом подготовил новый законопроект по кибербезопасности, согласно которому предполагается криминализация некоторых действий хакеров, таких, как торговля украденной финансовой информацией, вредоносными программами и вычислительной мощностью зараженных компьютеров. Также планируется обязать компании информировать клиентов в случае взлома их систем. Чтобы обеспечить участие частных компаний в борьбе с хакерами, Белый дом планирует освободить их от ответственности за раскрытие информации.
  • В США растет спрос на страхование киберрисков. Количество компаний, приобретающих страховку, чтобы обезопасить себя от утечек информации, ущерб от которых может составлять миллионы долларов, неуклонно растет. В настоящий момент страхование киберрисков превратилось в рынок, который оценивается в $2 млрд.

Интересные посты русскоязычных блогов по ИБ

  • В ходе уголовного преследования сотрудника за нарушение информационной безопасности, организации могут использовать данные собранные DLP-системой в качестве цифровых доказательств. Компания Infowatch поделилась рекомендациями по использованию DLP-систем с юридической точки зрения.
  • На Хабрахабр опубликован перевод Руководства по виртуализации PCI DSS. Руководство по виртуализации PCI DSS предоставляет собой инструкцию для тех участников платежной цепи, которые используют технологии виртуализации в среде данных о держателях карт.

Интересные посты англоязычных блогов по ИБ

  • David Bisson в корпоративном блоге компании Tripwire продолжает серию публикаций с ведущими специалистами в области информационной безопасности «The Voice of the CISO». На этот раз было опубликовано интервью с Thom Langford (Director of Sapient’s Global Security Office).
  • На сайте KrebsOnSecurity опубликована статья о совместном исследовании компании Group-IB, специализирующейся на предотвращении и расследовании киберпреступлений, и голландской компании Fox-IT, предлагающей инновационные решения кибербезопасности. Объектом исследований являлась преступная деятельность новой хакерской группы «Anunak Group», получившей доступ в сети более 50 Российских банков и 5 платежных систем и похитившей более миллиарда рублей.
  • На сайте sakurity.com опубликовали сценарий атаки на открытый обменник криптовалюты Peatio. Воспользовавшись реализованной в Peatio функцией «Connect Weibo account», экспертам удалось похитить учетную запись пользователя, обойти двухфакторную аутентификацию и внедрить ссылку, перенаправляющую пользователей на специально созданную фишинговую страницу. На взлом и заполучение денежных средств специалистам понадобилось 8 часов.

Исследования и аналитика

  • Компания Digital Security, специализирующаяся на анализе защищенности систем, представила прогноз основных угроз и тенденций в сфере ИБ в 2015 году. Ведущие эксперты Digital Security прогнозируют увеличение количества инцидентов ИБ, связанных с ERP-системами, и ожидают рост интереса к низкоуровневым уязвимостям ПО и уязвимостей на уровне железа.
  • Опубликованы результаты «Глобального исследования по вопросам обеспечения информационной безопасности, перспективы на 2015 год» (The Global State of Information Security Survey 2015) фирмы PwC. Согласно статистике показатель среднегодовых потерь за счет инцидентов в сфере информационной безопасности в нашей стране составил $9 млн., что в 1,5 раза выше, чем в мире. Также эксперты PwC сообщают, что основными приоритетами по обеспечению ИБ в России, как и в мире, является обеспечение конфиденциальности и защиты персональных данных, а наиболее уязвимое место – это низкая степень осведомленности работников компаний в области ИБ.
  • На Всемирном экономическом форуме в Швейцарии была представлена схема оценки ущерба от киберугроз для предприятий. Подробности о разработке, созданной при участии одной из крупнейших аудиторских компаний Deloitte, описаны в отчете «Сотрудничество ради устойчивости к киберугрозам: На пути к подсчету количества угроз» («Partnering for Cyber Resilience: Towards the Quantification of Cyber Threats»). В основе данной схемы лежит построение стохастической модели на основе данных об активах, находящихся под угрозой, профиле атакующего, уязвимостях и системе защиты предприятия.

Громкие инциденты ИБ

Обзор событий предстоящих недель

Посетить:

  • 5-6 февраля, Москва – XVII Национальный форум информационной безопасности «Инфофорум-2015»;
  • 12 февраля, Москва – Конференция «ИТ-стратегия 2015» от Агентства маркетинговых коммуникаций CNews Conferences.

Послушать:

Поделиться записью:

Добавить комментарий

Scroll Up