Дайджест новостей по ИБ за 01 — 09 февраля 2021 г.

Блоги:

Алексей Лукацкий затронул тему использования Google Analytics в государственных мобильных приложениях и соблюдения требований законодательства по ИБ; анонсировал свой новый telegram-канал "Cyber Security Metrics", посвященный теме метрик по ИБ.

 

Статьи:

Наложенные средства обеспечения безопасности в облачных средах.

 

Порталы с персональными данными не выполняют требование ФСБ шифровать персональные данные.

 

Дискуссии Privacy Day 2021 (часть 1, часть 2).

 

Обновление/установка административных шаблонов групповых политик (ADMX).

 

Обзор уязвимостей за неделю (от 25.01.2021, от 01.02.2021).

 

Программное обеспечение/сервисы:

LetsDefend Academy - онлайн-платформа для обучения blue team.

 

εxodus - веб-сервис для проведения аудита Android-приложений на приватность (наличие трекеров).

 

Мероприятия:

04 марта 2021, SOC X - профессиональный командный чемпионат мира среди SOC.

 

Задать вопрос ФСТЭК России (до 17 февраля 2021г.).

 

Ресурсы:

#ПоИБэшечка​ - ток-шоу, сосредоточенное на теме информационной безопасности.

 

Видео с "Privacy Day 2021".

Дайджест новостей по ИБ за 18 — 31 января 2021 г.

 Блоги:

Михаил Емельянников высказал свою точку зрения по поводу персональных данных, опубликованных субъектом для неограниченного доступа.

 

Обзор 482-ФЗ, 513-ФЗ, 516-ФЗ, 530-ФЗ, 538-ФЗ от Натальи Храмцовской.

 

Судебная практика: пропускной режим в школе и персональные данные; прекращение выдачи сведений с сайтов в сети Интернет о наличии судимости у субъекта ПДн. 

 

Статьи:

515-ФЗ: теперь каждую ИСПДн нужно подключать к SOC?

 

Как правильно заполнить журнал учёта СКЗИ.

 

Какие проблемы может выявить аудит прав доступа и что с этим делать.

 

OWASP TOP-10 уязвимостей мобильных приложений (2016) и способы их устранения.

 

Теории недостаточно: о важности практических навыков при обучении сотрудников кибербезопасности.

 

Будьте осторожны, когда используете картинки, взятые из офисных документов, найденных в интернете (англ.).

 

Анализ данных c honeypot при помощи Kibana и Elasticsearch (англ.).

 

Журналы:

Вопросы кибербезопасности № 6 (40).

 

Документы:

ISO/TR 23576:2020 "Blockchain and distributed ledger technologies — Security management of digital asset custodians" (Технологии блокчейна и распределённых реестров – Менеджмент безопасности, осуществляемый поставщиками услуг хранения цифровых активов). В документе обсуждаются угрозы, риски, а также меры и средства контроля и управления, связанные с cистемами, которые предоставляют своим клиентам (потребителям и коммерческим структурам) услуги ответственного хранения и/или обмена цифровых активов, и информацией об активах (включая ключ подписи цифрового актива), которой управляет ответственный хранитель цифровых активов. Источник: ISO.

 

Программное обеспечение/сервисы:

Mandiant Azure AD Investigator - PowerShell-скрипты для поиска в сети компании индикаторов компрометации кибергруппировки UNC2452, взломавшую SolarWinds (см. описание).

 

Malvuln - сайт с данными об ошибках и уязвимостях, обнаруженных в коде различных вредоносов (см. обзор). 

Ресурсы:

Секьюрити-новости от Александра Антипова (искать на канале через поиск по запросу "новости").