Дайджест информационной безопасности №66 за период с 5 по 17 мая 2015 года

Новости законодательства и отраслевого регулирования

• Стало известно, что Банк России готовит новое Положение «О порядке расчета величины кредитного риска на основе внутренних рейтингов», затрагивающее тему качества ПО, участвующего в денежных переводах. Согласно проекту Положения каждая кредитная организация «обеспечивает непрерывное функционирование своих ИС независимо от смены обеспечивающего персонала». Также «банк обеспечивает в течение всего периода функционирования ИС защиту от несанкционированных и нерегламентированных изменений и удалений данных путем принятия мер информационной безопасности (ИБ)».

• Подготовлен проект Указа Президента «О внесении изменения в Положение о Министерстве обороны Российской Федерации, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1082», согласно которому вносятся изменения в подпункт 55.1 пункта 7, касающегося оценки соответствия, в том числе и средств защиты информации.

• Опубликован проект Постановления Правительства Российской Федерации «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации», устанавливающий частоту проверок и полномочия сотрудников РКН, осуществляющих надзор за деятельностью операторов ПДн.

• Опубликовано информационное сообщение № 240/22/1792 от 7 мая 2015 г. о разработке методического документа ФСТЭК России «Методика определения угроз безопасности информации в информационных системах». Проект указанного документа размещен на официальном сайте ФСТЭК России. Предложения и замечания по проекту методического документа принимаются до 10 июня 2015 г.

Новости ИБ

• По сообщениям РИА Новости, в связи с появлением новых угроз Комитет Госдумы по безопасности и противодействию коррупции готовит предложения по совершенствованию Стратегии национальной безопасности России до 2020 года, в том числе Доктрины информационной безопасности РФ. Глава комитета Ирина Яровая отметила, что вопросы противодействия появлению и распространению новых киберугроз должны найти соответствующую комплексную оценку в новых редакциях обозначенных документов.

• В развиваемом проектом QEMU коде эмуляции контроллера флоппи-дисков (FDC) выявлена критическая уязвимость (CVE-2015-3456), получившая кодовое имя VENOM. Пользователь гостевой системы, имеющий доступ к портам ввода/вывода, может отправить эмулятору контроллера FDC команду, которая приведёт к переполнению буфера и выполнению произвольного кода на стороне гостевой системы с правами сопутствующего процесса QEMU. Если данный процесс выполняется с правами root, то пользователь может обойти ограничения виртуализации и из гостевого окружения получить root-доступ к основной системе.

• Москва и Пекин подписали соглашение в области кибербезопасности, согласно которому две страны не будут вести кибератаки друг против друга и планируют совместно противодействовать технологиям, которые могут дестабилизировать социально-экономическую обстановку, нарушить общественный порядок или будут оказывать воздействие на внутренние дела государств. Российско-китайское соглашение предполагает также обмен информацией между правоохранительными органами, обмен технологиями и обеспечение безопасности IT-инфраструктуры.

• Microsoft представила новую схему дистрибуции обновлений под названием Windows Update for Business, отменяющую традиционный процесс установки обновлений по вторым вторникам месяца, но взамен она предложит ряд новых возможностей для более эффективного применения патчей и их приоритизации ИТ-администраторами.

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий поделился основными новостями в контексте законодательства о персональных данных, озвученных на расширенном заседании Коллегии Роскомнадзора, в частности, о реестре нарушителей прав субъектов ПДн, предполагаемом выходе РКН из под действия ФЗ-294 и новых законопроектах.

• Алексей Волков проанализировал новый проект постановления правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации». Со статьей можно ознакомиться в блоге автора «Безопасность для понимающих и не очень».

• Пользователь teecat на Хабрахабре опубликовал сообщение о том, как необходимо обеспечивать антивирусную защиту в финансовых организациях в соответствии с нормативными стандартами и требованиями регуляторов.

Интересные посты англоязычных блогов по ИБ

• Joshua Goldfarb в блоге SECUTITYWEEK размышляет о преимуществах и недостатках в разработке новых методов и подходов обеспечения ИБ или использовании покупных изделий, а также о том, какие расходы необходимо предусмотреть при развертывании собственных решений в организации.

• David Bisson опубликовал топ-10 конференций в области информационной безопасности, среди которых AppSecUSA, Black Hat USA, DEFCON, InfoSecurity Europe и другие. Более подробно со статьей можно ознакомиться в корпоративном блоге компании Tripwire.

• В блоге ITauditSecurity опубликована статья о необходимости проведения анализа данных и о том, как это может сэкономить время и повысить качество проведения аудита.

• Аналитическая статья о текущем уровне развития хакеров, спросе на услуги данных специалистов и стоимости атак на черных рынках опубликована на сайте Infosec Institute.

Исследования и аналитика

• Эксперты фирмы Onapsis, специализирующейся на аудите информационной безопасности, пришли к выводу, что более 95% систем SAP, развернутых в компаниях по всему миру, имеют уязвимости, которые могут привести к компрометации данных. По результатам анализа специалистами также были определены три наиболее общих направления использования уязвимости систем SAP для компрометации бизнес-систем.

• Специалисты Positive Technologies выпустили аналитический отчет «Безопасность промышленных систем в цифрах», который дает возможность оценить изменения, произошедшие с 2012 по 2015 год. Согласно отчету всего в рамках исследования выявлена 691 уязвимость в компонентах АСУ ТП, при этом за три года (2010—2012) число обнаруженных уязвимостей АСУ ТП выросло в 20 раз. Но после этого среднегодовое количество выявляемых уязвимостей стабилизировалось (181 в 2014 году).

• Согласно докладу Enterprise Strategy Group, 59 % опрошенных утверждают, что обнаруживать и противостоять вторжениям и новым вредоносным программам стало сложнее, нежели два года назад.

• В ходе опроса родителей несовершеннолетних детей, проведенного компанией ESET в Великобритании, среди наиболее серьезных факторов онлайн-риска названы террористические сайты (их упомянули 40% респондентов), игорные площадки (47%) и порносайты (60%). Согласно отчету, 41% британских родителей самостоятельно рассказывали детям о мерах предосторожности в интернете, а еще 38% респондентов сообщили, что такой тренинг проводился в школе.

Громкие инциденты ИБ

• 24 апреля стартовали продажи смарт-часов Apple Watch. Хакеры тоже не сидят сложа руки и разработчик Comex уже удалось серьезно расширить функциональность новинки, запустив на смарт-часах компании браузер.

• По данным американской компании root9B, российская хакерская группировка APT28, предположительно спонсируемая Москвой, готовит новую серию атак — в этот раз на банки США, ОАЭ и Нигерии. Заражение компьютеров хакеры планируют осуществлять путем рассылки электронных писем и вредоносными вложениями либо ссылками на веб-сайты с вредоносным кодом. Пресс-секретарь Президента России Дмитрий Песков заявил в ответ, что Кремль не имеет отношения к этим действиям, и добавил, что в последнее время обвинять во всем Россию стало новым «видом спорта».

• По сообщениям Lenta.ru, неустановленные лица взломали утром 8 мая сайт Следственного комитета РФ и разместили на нем информацию о задержании сотрудниками ведомства активистов на Болотной площади. Ранее на сайте СКР была размещена информация (ныне удаленная) о задержании сотрудниками СКР активистов, проводивших 6 мая несанкционированную акцию на Болотной площади, приуроченную к третьей годовщине беспорядков 2012 года.

• РИА Новости сообщают, что взломщики сайта телеканала Russia Today пытались менять содержимое уже написанных статей. В данный момент проходит расследование, с каких IP-адресов пытались захватить сайт.
• Представитель немецкого бундестага Эрнст Хебекер заявил о хакерской атаке на внутреннюю сеть. По его словам, в данный момент ведутся работы по ликвидации последствий и сбору данных о нападении. Об этом в газета.ru.

Обзор событий предстоящих недель

Посетить:

• 19 мая, Минск – XX научно-практическая конференция «Комплексная защита информации».

• 21 мая, Алматы – конференция «IDC IT Security Roadshow 2015».

• 26 – 27 мая, Москва – Международный форум по практической безопасности «Positive Hack Days».

• 28 мая, Астана – конференция «Extreme Forum 2015».

• 28 – 29 мая, Казань – Девятая Всероссийская конференция «IT & Security Forum 2015»

Послушать:

• 19 мая, 11:00 – Вебинар «Защита виртуальной среды: от законодательства к практике применения» от Кода безопасности.

• 19 мая, 11:00 – Вебинар «Стандарт PCI DSS. Особенности внедрения версии PCI DSS 3.0» от ЗАО «ДиалогНаука».

• 20 мая, 10:30 – Вебинар «Аттестация информационных систем по требованиям безопасности ФСТЭК России» от компании LETA.

• 20 мая, 11:00 – Вебинар «Контур информационной безопасности SearchInform» от компании SearchInform

• 21 мая, 11:00 – Вебинар «Принципы успешного внедрения IDM. Бизнес-кейсы» от Кода безопасности.

• 21 мая, 12:00 – Вебинар «Контур информационной безопасности SearchInform» от компании SearchInform.

• 22 мая, 10:00 – Вебинар «Управление уязвимостями в ИТ-инфраструктуре» от компании R-Vision.

• 26 мая, 11:00 – Вебинар «Обеспечение контроля устройств и вывода информации на печать в Secret Net 7» от Кода безопасности.

• 26 мая, 11:00 – Вебинар «CyberArk – эффективное решение для обеспечения безопасности привилегированного доступа» от ЗАО «ДиалогНаука».