tag:blogger.com,1999:blog-73145570660735055472024-02-19T06:56:26.424-08:00Блог Сергея Борисова про ИБВ блоге содержатся аналитические статьи автора на различные темы информационной безопасности, новости ИБ на Кубани.Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.comBlogger430125tag:blogger.com,1999:blog-7314557066073505547.post-63301329026352401002023-08-15T00:45:00.003-07:002023-08-15T00:45:33.184-07:00OWASP API Security Top 10 <p> Н<span style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px;">едавно OWASP опубликовали новую версию</span><span style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px;"> </span><a href="https://owasp.org/API-Security/editions/2023/en/0x11-t10/" style="cursor: pointer; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">Top 10 API Security Risks</a><span style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px;">.</span></p><figure style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; max-width: 100%;"><i style="letter-spacing: -0.007em; max-width: 100%;"><img class="thumbnail-attachment-image" data-attachment-image-id="290200" height="177" src="https://home.vk.team/media/attachments/attachmentimage/250810-9d85e1a2788941fc916b23672c913763.jpg" style="border-radius: 8px; border-style: none; cursor: pointer; height: 177px; image-orientation: none; letter-spacing: -0.007em; max-width: 100%; width: 176px;" width="176" /></i></figure><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Кроме этого сообщество OWASP было известно рейтингами Top 10 web уязвимостей, Top 10 уязвимостей kubernetes и <span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;"><a href="https://home.vk.team/blog/entry/owasp-top-10-cicd-security-ri/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">Top 10 CI/CD Security Risks</a> </span>и другими полезными Top 10 по безопасности.</p><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">API-интерфейсы являются важной частью современных мобильных, облачных, микросервисных, одностраничных и веб-приложениях. По своей природе API-интерфейсы раскрывают логику приложения и конфиденциальные данные, и из-за этого API-интерфейсы все чаще становятся целью для злоумышленников. Без безопасных API быстрые инновации были бы невозможны. Поэтому в 2019 г. в целях повышения осведомленности был определен перечень наиболее опасных угроз безопасности, связанных с API.</p><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Сейчас же в 2023-его году Top 10 API Security Risk был существенно обновлен. Новые тренды:</p><ol style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; max-width: 100%;"><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: decimal; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Авторизация</span> остается самой большой проблемой в безопасности API. Три пункта из первой пяти связаны с авторизацией и управлением доступом. Современные приложения на основе API становятся все более сложными, с тысячами конечных точек API и бесчисленным количеством параметров. Когда в эту запутанную сеть добавляется ещё и иерархия пользователей и организаций то становится сложно понять кто к чему в действительности имеет доступ.</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: decimal; max-width: 100%;">Новый пункт под названием «<span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Unrestricted Access to Sensitive Business Flows</span>» который заключается в возможности фрода из-за недостаточной безопасности или ошибок в логике критических технологических цепочек обеспечивающих бизнес-процессы.<br style="letter-spacing: -0.007em; max-width: 100%;" />Эта тенденция подчеркивает важность не только безопасного кодирования, но и планирования и проектирования безопасной архитектуры при создании нового приложения. Поскольку API-интерфейсы обеспечивают легкий доступ для ботов, крайне важно определить критические бизнес-цепочки и выбрать соответствующие меры защиты для них.</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: decimal; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Подделка запросов на стороне сервера (SSRF)</span> также была добавлена в список. Хотя SSRF не является новой уязвимостью, она стала более распространенной и серьезной в приложениях на основе API. Популярность веб-хуков, например, упростила хакерам использование уязвимостей SSRF. Кроме того, REST API-интерфейсы управления/контроля облачных сервисов, K8S и Docker упрощают эксплуатацию уязвимостей.</li></ol><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Общий перечень OWASP Top 10 API Security Risks 2023 приведен ниже:</p><table style="background-color: white; border-collapse: collapse; border: 0px; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; margin: 0px 0px 30px; max-width: 100%;"><thead style="letter-spacing: -0.007em; max-width: 100%;"><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Risk</span></p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Description</span></p></td></tr></thead><tbody style="letter-spacing: -0.007em; max-width: 100%;"><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://owasp.org/API-Security/editions/2023/en/0xa1-broken-object-level-authorization/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">API1:2023 - Broken Object Level Authorization</a></p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">APIs tend to expose endpoints that handle object identifiers, creating a wide attack surface of Object Level Access Control issues. Object level authorization checks should be considered in every function that accesses a data source using an ID from the user.</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://owasp.org/API-Security/editions/2023/en/0xa2-broken-authentication/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">API2:2023 - Broken Authentication</a></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Authentication mechanisms are often implemented incorrectly, allowing attackers to compromise authentication tokens or to exploit implementation flaws to assume other user's identities temporarily or permanently. Compromising a system's ability to identify the client/user, compromises API security overall.</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://owasp.org/API-Security/editions/2023/en/0xa3-broken-object-property-level-authorization/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">API3:2023 - Broken Object Property Level Authorization</a></p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">This category combines <a href="https://owasp.org/API-Security/editions/2019/en/0xa3-excessive-data-exposure/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">API3:2019 Excessive Data Exposure</a> and <a href="https://owasp.org/API-Security/editions/2019/en/0xa6-mass-assignment/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">API6:2019 - Mass Assignment</a>, focusing on the root cause: the lack of or improper authorization validation at the object property level. This leads to information exposure or manipulation by unauthorized parties.</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://owasp.org/API-Security/editions/2023/en/0xa4-unrestricted-resource-consumption/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">API4:2023 - Unrestricted Resource Consumption</a></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Satisfying API requests requires resources such as network bandwidth, CPU, memory, and storage. Other resources such as emails/SMS/phone calls or biometrics validation are made available by service providers via API integrations, and paid for per request. Successful attacks can lead to Denial of Service or an increase of operational costs.</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://owasp.org/API-Security/editions/2023/en/0xa5-broken-function-level-authorization/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">API5:2023 - Broken Function Level Authorization</a></p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Complex access control policies with different hierarchies, groups, and roles, and an unclear separation between administrative and regular functions, tend to lead to authorization flaws. By exploiting these issues, attackers can gain access to other users’ resources and/or administrative functions.</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://owasp.org/API-Security/editions/2023/en/0xa6-unrestricted-access-to-sensitive-business-flows/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">API6:2023 - Unrestricted Access to Sensitive Business Flows</a></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">APIs vulnerable to this risk expose a business flow - such as buying a ticket, or posting a comment - without compensating for how the functionality could harm the business if used excessively in an automated manner. This doesn't necessarily come from implementation bugs.</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://owasp.org/API-Security/editions/2023/en/0xa7-server-side-request-forgery/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">API7:2023 - Server Side Request Forgery</a></p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Server-Side Request Forgery (SSRF) flaws can occur when an API is fetching a remote resource without validating the user-supplied URI. This enables an attacker to coerce the application to send a crafted request to an unexpected destination, even when protected by a firewall or a VPN.</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://owasp.org/API-Security/editions/2023/en/0xa8-security-misconfiguration/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">API8:2023 - Security Misconfiguration</a></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">APIs and the systems supporting them typically contain complex configurations, meant to make the APIs more customizable. Software and DevOps engineers can miss these configurations, or don't follow security best practices when it comes to configuration, opening the door for different types of attacks.</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://owasp.org/API-Security/editions/2023/en/0xa9-improper-inventory-management/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">API9:2023 - Improper Inventory Management</a></p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">APIs tend to expose more endpoints than traditional web applications, making proper and updated documentation highly important. A proper inventory of hosts and deployed API versions also are important to mitigate issues such as deprecated API versions and exposed debug endpoints.</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://owasp.org/API-Security/editions/2023/en/0xaa-unsafe-consumption-of-apis/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">API10:2023 - Unsafe Consumption of APIs</a></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Developers tend to trust data received from third-party APIs more than user input, and so tend to adopt weaker security standards. In order to compromise APIs, attackers go after integrated third-party services instead of trying to compromise the target API directly.</p></td></tr></tbody></table><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">По каждому риску/угрозе приводится подробная информация:<br style="letter-spacing: -0.007em; max-width: 100%;" /></p><ul style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; max-width: 100%; overflow: hidden; padding-left: 1.2em;"><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Threat agents/Attack vectors</span> - определение источника угрозы или вектора атаки</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Security Weakness</span> - описание недостатков, которые могут быть использованы</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Impacts</span> - предположения о возможном вреде, который может быть нанесен организации в результате реализации риска</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Is the API Vulnerable?</span> - описание почему эта угроза актуальна для API</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Example Attack Scenarios </span>- примеры атак</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">How To Prevent</span> - возможный набор практик и мер безопасности для CI/CD</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">References</span> - ссылки на подобные уязвимости, утечки и рекомендации по защите</li></ul><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">В целом документ подробный, полезный и красиво оформлен.</p><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Рекомендую ознакомится всем работникам задействованным в проектировании, разработке, обслуживании АPI или обеспечении их безопасности</p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-10677816499163791212022-12-06T00:09:00.004-08:002022-12-06T00:09:47.738-08:00Secure Supply Chain Consumption Framework (S2C2F)<p><span style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px;">В ноябре Microsoft разработали и опубликовали интересный фреймфорк (набор практик) безопасности опенсорсного ПО в составе корпоративных продуктов - Open Source Software (OSS) Secure Supply Chain (SSC) Framework. Чуть позже они передали этот фреймворк сообществу Open Source Security Foundation, где он был опубликован уже под именем Secure Supply Chain Consumption Framework (S2C2F).</span></p><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Давайте посмотрим подробнее что там было интересного.</p><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">1. Во первых дается перечень актуальных угроз, связанных с использованием опенсорсных библиотек в продуктах, с примерами инцидентов и практик безопасности, которые помогут закрыть аналогичную проблему в вашем проекте<br style="letter-spacing: -0.007em; max-width: 100%;" /></p><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Эта информация будет очень полезной при корректировки модели угроз для отдельного продукта - если вы знаете какие угрозы наиболее актуальны именно для вас, можно обратить свое внимание именно на соответствующие им практики защиты.</p><table style="background-color: white; border-collapse: collapse; border: 0px; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; margin: 0px 0px 30px; max-width: 100%;"><thead style="letter-spacing: -0.007em; max-width: 100%;"><tr style="letter-spacing: -0.007em; max-width: 100%;"><th style="background: rgb(22, 141, 226); color: white; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Threats</p></th><th style="background: rgb(22, 141, 226); color: white; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Real examples</p></th><th style="background: rgb(22, 141, 226); color: white; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Mitigation via OSS SSC Framework</p></th><th style="background: rgb(22, 141, 226); color: white; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Framework requirement reference</p></th></tr></thead><tbody style="letter-spacing: -0.007em; max-width: 100%;"><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Accidental vulnerabilities in OSS code or Containers that we inherit</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://www.helpnetsecurity.com/2020/05/04/saltstack-salt-vulnerabilities/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">SaltStack</a></p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Automated patching, display OSS vulnerabilities as pull requests</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">UPD-2, UPD-3</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Intentional vulnerabilities/backdoors added to an OSS code base</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://arstechnica.com/information-technology/2012/09/questions-abound-as-malicious-phpmyadmin-backdoor-found-on-sourceforge-site/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">phpMyAdmin</a></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Perform proactive security review of OSS</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">SCA-5</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">A malicious actor compromises a known good OSS component and adds malicious code into the repo</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">ESLint incident</a></p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Ability to block ingestion via malware scan, single feed, all packages are scanned for malware prior to download</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">ING-3, ENF-2, SCA-4</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">A malicious actor creates a malicious package that is similar in name to a popular OSS component to trick developers into downloading it</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://www.securityweek.com/checkmarx-finds-threat-actor-fully-automating-npm-supply-chain-attacks" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">Typosquatting</a></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">OSS provenance analysis, single feed, all packages are scanned for malware prior to download</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">AUD-1, ENF-2, SCA-4</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">A malicious actor compromises the compiler used by the OSS during build, adding backdoors</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://blog.morphisec.com/morphisec-discovers-ccleaner-backdoor" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">CCleaner</a></p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Rebuilding OSS on trusted build infrastructure ensures that packages don’t have anything injected at build time</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">REB-1</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Dependency confusion, package substitution attacks</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://blog.morphisec.com/morphisec-discovers-ccleaner-backdoor" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">Dependency Confusion</a></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Single feed, securely configure your package source mapping</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">ENF-1, ENF-2</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">An OSS component adds new dependencies that are malicious</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://blog.npmjs.org/post/180565383195/details-about-the-event-stream-incident" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">Event-Stream incident</a></p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">All packages are scanned for malware prior to download, single feed</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">SCA-4, ENF-2</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">The integrity of an OSS package is tampered after build, but before consumption</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://github.com/jonmest/How-To-Tamper-With-Any-Electron-Application" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">How to tamper with Electron apps</a></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Digital signature or hash verification, SBOM validation</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">AUD-3, AUD-4</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Upstream source can be removed or taken down which can then break builds that depend on that OSS component or container</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://www.theregister.com/2016/03/23/npm_left_pad_chaos/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">left-pad</a></p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Use package-caching solutions, mirror a copy of OSS source code to an internal location for Business Continuity and Disaster Recovery (BCDR) scenarios</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">ING-2, ING-4</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">OSS components reach end-of-support/end-of-life and therefore don’t patch vulnerabilities</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://github.com/apache/logging-log4net/" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">log4net</a></p><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://nvd.nist.gov/vuln/detail/CVE-2018-1285" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">CVE-2018-1285</a></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Scan OSS to determine if it is at end-of-life</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">SCA-3</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Vulnerability not fixed by upstream maintainer in desired timeframe</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://hackerone.com/reports/712065" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">Prototype Pollution in lodash</a></p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Implement a change in the code to address a zero-day vulnerability, rebuild, deploy to your organization, and confidentially contribute the fix to the upstream maintainer.</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">FIX-1</p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Bad actor compromises a package manager account (e.g. npm), with no change to the corresponding open source repo, and uploads a new malicious version of a package</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><a href="https://www.truesec.com/hub/blog/uaparser-js-npm-package-supply-chain-attack-impact-and-response" style="background-color: transparent; cursor: pointer; letter-spacing: -0.007em; max-width: 100%; text-decoration-line: none;">Ua-parser-js</a></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">OSS provenance analysis, single feed, scan OSS for malware</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">AUD-1, ENF-2, SCA-4</p></td></tr></tbody></table><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">2. Во вторых в фреймворке дается детальное описание 8 групп практик безопасности, необходимых при использовании опенсорсного ПО</p><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><img class="thumbnail-attachment-image" data-attachment-image-id="271988" height="345" src="https://home.vk.team/media/attachments/attachmentimage/250810-7b930e5c9e28475ea59111c5fbbab1d0.png" style="border-style: none; cursor: pointer; height: 345px; image-orientation: none; letter-spacing: -0.007em; max-width: 100%; width: 341px;" width="341" /><br style="letter-spacing: -0.007em; max-width: 100%;" /></p><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Все практики безопасности разделены распределены по 4-м уровням зрелости, что позволяет их внедрять поэтапно, начиная с практик 1-ого уровня зрелости.</p><table style="background-color: white; border-collapse: collapse; border: 0px; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; margin: 0px 0px 30px; max-width: 100%;"><thead style="letter-spacing: -0.007em; max-width: 100%;"><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Framework requirements</span></p></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Requirement description</span></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">Framework Requirement ID</span></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">L1</span></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">L2</span></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">L3</span></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><span style="font-weight: bolder; letter-spacing: -0.007em; max-width: 100%;">L4</span></p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr></thead><tbody style="letter-spacing: -0.007em; max-width: 100%;"><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Use package managers</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">ING-1</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Local copy of artifact</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">ING-2</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Scan for known vulnerabilities</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">SCA-1</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Scan for software licenses</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">SCA-2</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Inventory OSS</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">INV-1</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Manual OSS Updates</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">UPD-1</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Scan for end of life</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">SCA-3</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Have an incident response plan</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">INV-2</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Auto OSS updates</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">UPD-2</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Display vulnerabilities as comments in pull requests</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">UPD-3</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Audit that developers are consuming OSS through the approved ingestion method</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">AUD-2</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Validate integrity of consumed OSS</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">AUD-3</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Secure package source file configuration</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">ENF-1</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Deny list capability</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">ING-3</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Clone OSS source code</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">ING-4</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Scan for malware</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">SCA-4</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Proactive security reviews</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">SCA-5</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Enforce OSS provenance</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">AUD-1</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Enforce consumption from curated feed</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">ENF-2</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Validate the SBOMs of OSS consumed</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">AUD-4</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Rebuild OSS on trusted infrastructure</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">REB-1</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Digitally sign rebuilt OSS</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">REB-2</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Generate SBOMs for rebuilt OSS</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">REB-3</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Digitally sign produced SBOMs</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">REB-4</p></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(243, 242, 241); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr><tr style="letter-spacing: -0.007em; max-width: 100%;"><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">Implement fixes</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><p style="letter-spacing: -0.007em; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">PRI-1</p></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"><br style="letter-spacing: -0.007em; max-width: 100%;" /></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;">+</td><td style="background: rgb(248, 247, 246); border-bottom: 1px solid rgb(255, 255, 255); color: #445859; letter-spacing: -0.007em; max-width: 100%; padding: 10px 20px; text-align: center; vertical-align: middle;"></td></tr></tbody></table><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;"><br style="letter-spacing: -0.007em; max-width: 100%;" /></p><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">По каждой практике есть примеры платных и опенсорсных утилит безопасности, которые помогут автоматизировать данную практику</p><figure style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; margin: 0px; max-width: 100%;"><img class="thumbnail-attachment-image" data-attachment-image-id="272004" height="3533" src="https://home.vk.team/media/attachments/attachmentimage/250810-836bc13b20b940e988cea1a6a318f976.png" style="border-style: none; cursor: pointer; height: 3533px; image-orientation: none; letter-spacing: -0.007em; max-width: 100%; width: 900px;" width="900" /><br style="letter-spacing: -0.007em; max-width: 100%;" /></figure><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin-bottom: 8px; margin-top: 5px; max-width: 100%;">В общем рекомендую обратить внимание на данный фреймворк, особенно на практики безопасности L1 если в вашем продукте ещё ничего не делается для обеспечения безопасности использования OSS</p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com1tag:blogger.com,1999:blog-7314557066073505547.post-21078470408263976182022-12-06T00:05:00.004-08:002022-12-06T00:05:37.553-08:00OWASP Top 10 CI/CD Security Risks<p> <span style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px;">В декабре OWASP опубликовали</span><span style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px;"> </span><a href="https://owasp.org/www-project-top-10-ci-cd-security-risks/" style="cursor: pointer; flex-shrink: 0; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.007em; text-decoration-line: none;">Top 10 CI/CD Security Risk</a></p><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin: 8px 0px; word-break: normal;">Сообщество OWASP уже отличалось широко известным рейтингом Top 10 web уязвимостей и мало известным Top 10 kubernetes уязвимостей.<br style="letter-spacing: -0.007em;" /></p><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin: 8px 0px; word-break: normal;">Почему решили сделать такой рейтинг и для CI/CD? Процессы, системы и окружения CI/CD - это сердце современной софтовой компании. Они доставляют код от разработчика до продакшена. В комбинации с подходами DevOps и микросервисными архитектурами CI/CD системы и процессы меняются и приобретают все большую значимость для бизнес-процессов компании:</p><ul style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; overflow: hidden; padding-left: 1.2em;"><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">современные подходы автоматизации тестирования, использование K8s, непрерывной доставки GitOps приводят к усложнению цепочек доставки ПО (pipeline)</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">развиваются практики Infrastructure as Code (IaC), Security as Code и даже Everything as Code</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">интеграция с внешними поставщиками, партнерами и иными третьими лицами также является часть экосистемы CI/CD.</li></ul><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin: 8px 0px; word-break: normal;">Эти особенности позволяют быстрее, гибче и удобнее выпускать ПО, но они же приводят к росту числа атак на CI/CD. Из недавних инцидентов можно отметить следующие:</p><ul style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; overflow: hidden; padding-left: 1.2em;"><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">В результате компрометации системы сборки ПО <span style="font-weight: bolder; letter-spacing: -0.007em;">SolarWinds</span> произошло внедрение вредоносного кода в инфраструктуры 18,000 крупных заказчиков</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">Утечка в <span style="font-weight: bolder; letter-spacing: -0.007em;">Codecov</span> привела к раскрытию секретов хранящихся в переменных окружения тысяч pipelin-ов большого количества разработчиков</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">Инцидент <span style="font-weight: bolder; letter-spacing: -0.007em;">PHP breach <span style="letter-spacing: -0.007em;"></span></span>произошел в результате внедрения вредоносного кода в версию PHP.</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">Новые атаки типа <span style="font-weight: bolder; letter-spacing: -0.007em;">Dependency Confusion</span> позволили подменить зависимости используемые крупными разработчиками ПО на вредоносные.</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">Компрометация NPM пакетов <span style="font-weight: bolder; letter-spacing: -0.007em;"><em style="letter-spacing: -0.007em;">ua-parser-js</em>, <em style="letter-spacing: -0.007em;">coa</em> и <em style="letter-spacing: -0.007em;">rc</em></span>, с миллионами скачиваний у каждого привели к попаданию вредоносного кода в окружения сборки и на рабочие компьютеры разработчиков.</li></ul><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin: 8px 0px; word-break: normal;">Сообщество OWASP подготовило Top 10 CI/CD Security Risk чтобы помочь вам закрыть самые популярные недостатки и уязвимости, через которые осуществляется большинство атак.</p><figure style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; margin: 0px;"><img class="thumbnail-attachment-image" data-attachment-image-id="272161" height="510" src="https://home.vk.team/media/attachments/attachmentimage/250810-9a423c3fccf1421d99ef186522391d27.png" style="border-style: none; cursor: pointer; display: inline-block; height: 510px; image-orientation: none; letter-spacing: -0.007em; margin-right: 10px; max-width: 100%; width: 974px;" width="974" /></figure><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin: 8px 0px; word-break: normal;">По каждому риску/угрозе приводится подробная информация:<br style="letter-spacing: -0.007em;" /></p><ul style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; overflow: hidden; padding-left: 1.2em;"><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">Definition - определение источника и сути угрозы</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">Description - детальное описание контекста угрозы и мотивации алакующего</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">Impact - предположения о возможном вреде, который может быть нанесен организации в результате реализации риска</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">Recommendations - возможный набор практик и мер безопасности для CI/CD</li><li style="letter-spacing: -0.007em; line-height: 1.6; list-style: disc;">References - ссылки на подобные уязвимости, утечки и инциденты</li></ul><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin: 8px 0px; word-break: normal;">В целом документ подробный, полезный и красиво оформлен.</p><p style="background-color: white; color: #333333; font-family: "VK Sans Text", sans-serif, arial; font-size: 15px; letter-spacing: -0.105px; line-height: 1.5; margin: 8px 0px; word-break: normal;">Рекомендую ознакомится всем работникам задействованным в управлении CI/CD, pipeline или обеспечении их безопасности</p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-2367973220610402512022-10-17T00:42:00.003-07:002022-10-17T00:42:33.777-07:00Изменение правил категорирование объектов КИИ<p><span style="background-color: white; font-family: -apple-system, BlinkMacSystemFont, Roboto, "Open Sans", "Helvetica Neue", "Noto Sans Armenian", "Noto Sans Bengali", "Noto Sans Cherokee", "Noto Sans Devanagari", "Noto Sans Ethiopic", "Noto Sans Georgian", "Noto Sans Hebrew", "Noto Sans Kannada", "Noto Sans Khmer", "Noto Sans Lao", "Noto Sans Osmanya", "Noto Sans Tamil", "Noto Sans Telugu", "Noto Sans Thai", sans-serif; font-size: 13px;">ФСТЭК России выступает с инициативой (</span><a href="https://vk.com/away.php?to=https%3A%2F%2Fregulation.gov.ru%2Fprojects%23npa%3D132326&post=-154111680_763&cc_key=" rel="nofollow noopener" style="background-color: white; cursor: pointer; font-family: -apple-system, BlinkMacSystemFont, Roboto, "Open Sans", "Helvetica Neue", "Noto Sans Armenian", "Noto Sans Bengali", "Noto Sans Cherokee", "Noto Sans Devanagari", "Noto Sans Ethiopic", "Noto Sans Georgian", "Noto Sans Hebrew", "Noto Sans Kannada", "Noto Sans Khmer", "Noto Sans Lao", "Noto Sans Osmanya", "Noto Sans Tamil", "Noto Sans Telugu", "Noto Sans Thai", sans-serif; font-size: 13px; text-decoration-line: none;" target="_blank">https://regulation.gov.ru/projects#npa=132326</a><span style="background-color: white; font-family: -apple-system, BlinkMacSystemFont, Roboto, "Open Sans", "Helvetica Neue", "Noto Sans Armenian", "Noto Sans Bengali", "Noto Sans Cherokee", "Noto Sans Devanagari", "Noto Sans Ethiopic", "Noto Sans Georgian", "Noto Sans Hebrew", "Noto Sans Kannada", "Noto Sans Khmer", "Noto Sans Lao", "Noto Sans Osmanya", "Noto Sans Tamil", "Noto Sans Telugu", "Noto Sans Thai", sans-serif; font-size: 13px;">) внесения изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации </span><span style="background-color: white; font-family: -apple-system, BlinkMacSystemFont, Roboto, "Open Sans", "Helvetica Neue", "Noto Sans Armenian", "Noto Sans Bengali", "Noto Sans Cherokee", "Noto Sans Devanagari", "Noto Sans Ethiopic", "Noto Sans Georgian", "Noto Sans Hebrew", "Noto Sans Kannada", "Noto Sans Khmer", "Noto Sans Lao", "Noto Sans Osmanya", "Noto Sans Tamil", "Noto Sans Telugu", "Noto Sans Thai", sans-serif; font-size: 13px;">от 08.02.2018 № 127.</span></p><span style="background-color: white; font-family: -apple-system, BlinkMacSystemFont, Roboto, "Open Sans", "Helvetica Neue", "Noto Sans Armenian", "Noto Sans Bengali", "Noto Sans Cherokee", "Noto Sans Devanagari", "Noto Sans Ethiopic", "Noto Sans Georgian", "Noto Sans Hebrew", "Noto Sans Kannada", "Noto Sans Khmer", "Noto Sans Lao", "Noto Sans Osmanya", "Noto Sans Tamil", "Noto Sans Telugu", "Noto Sans Thai", sans-serif; font-size: 13px;">По мнению регулятора от предлагаемых изменений ПП №127 дополнительных затрат в бюджете не появится, поэтому с большой вероятностью изменения будут приняты. Подготовил наглядный анализ изменений, чтобы было понятно, на сколько данные изменения коснутся субъектов КИИ и в каких сферах будут больше затронуты..</span><div><span style="background-color: white; font-family: -apple-system, BlinkMacSystemFont, Roboto, "Open Sans", "Helvetica Neue", "Noto Sans Armenian", "Noto Sans Bengali", "Noto Sans Cherokee", "Noto Sans Devanagari", "Noto Sans Ethiopic", "Noto Sans Georgian", "Noto Sans Hebrew", "Noto Sans Kannada", "Noto Sans Khmer", "Noto Sans Lao", "Noto Sans Osmanya", "Noto Sans Tamil", "Noto Sans Telugu", "Noto Sans Thai", sans-serif; font-size: 13px;"><br /></span></div><div><span style="background-color: white; font-size: 13px;"><span style="font-family: -apple-system, BlinkMacSystemFont, Roboto, Open Sans, Helvetica Neue, Noto Sans Armenian, Noto Sans Bengali, Noto Sans Cherokee, Noto Sans Devanagari, Noto Sans Ethiopic, Noto Sans Georgian, Noto Sans Hebrew, Noto Sans Kannada, Noto Sans Khmer, Noto Sans Lao, Noto Sans Osmanya, Noto Sans Tamil, Noto Sans Telugu, Noto Sans Thai, sans-serif;">https://vk.com/s/v1/doc/tVr4i3WW872rcq39qwtW34Gnyc_eGLTzJ2u8VVZgIPEHzaaReSg</span></span></div>
<iframe height="480" src="https://vk.com/s/v1/doc/tVr4i3WW872rcq39qwtW34Gnyc_eGLTzJ2u8VVZgIPEHzaaReSg" width="640"></iframe><br />
<div><span style="background-color: white; font-size: 13px;"><span style="font-family: -apple-system, BlinkMacSystemFont, Roboto, Open Sans, Helvetica Neue, Noto Sans Armenian, Noto Sans Bengali, Noto Sans Cherokee, Noto Sans Devanagari, Noto Sans Ethiopic, Noto Sans Georgian, Noto Sans Hebrew, Noto Sans Kannada, Noto Sans Khmer, Noto Sans Lao, Noto Sans Osmanya, Noto Sans Tamil, Noto Sans Telugu, Noto Sans Thai, sans-serif;"><br /></span></span></div><div><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span lang="" style="text-indent: -18pt;">PPS</span><span style="text-indent: -18pt;">:</span><o:p style="text-indent: -18pt;"> </o:p><span style="text-indent: -18pt;">Чтобы не пропустить другие избранную аналитику ИБ подписывайтесь в вашем любимом канале</span></p><div class="MsoNormal"><div class="MsoNormal"><a href="https://www.youtube.com/channel/UC_D3c5B0Duml5jGYEG4t_vw">YOUTUBE</a></div><div class="MsoNormal"><span lang=""><a href="https://twitter.com/sb0risov">TWITTER </a></span></div><div class="MsoNormal"><span lang=""><a href="https://www.facebook.com/cubanib/">FACEBOOK</a></span></div><div class="MsoNormal"><span lang=""><a href="https://vk.com/club154111680">VK</a></span></div><div class="MsoNormal"><span lang=""><a href="https://t.me/sergeyborisov23">Telegram</a></span></div><div><div class="MsoNormal"><a href="https://zen.yandex.ru/id/5cb453af456a7000b3a1c1c1">Дзен</a></div></div></div></div><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com06QCVPG99+QH-1.2806005 137.5189857-29.590834336178844 102.3627357 27.029633336178847 172.6752357tag:blogger.com,1999:blog-7314557066073505547.post-67966075825188276932021-12-31T03:14:00.004-08:002021-12-31T03:14:51.999-08:00С новым годом!<p> Коллеги, поздравляю всех с наступающим новым годом. Желаю всем в новом году:</p><p></p><ul style="text-align: left;"><li>регуляторов ИБ которые больше помогают, обучают и меньше запрещают</li><li>продуктов ИБ, которые решают именно ваши задачи</li><li>поставщиков, которые не забывают о вас до следующей оплаты, а помогают решить все возникающие проблемы</li><li>интеграторов, которые возьмутся за не самую прибыльную для них, но важную для вас, задачу</li><li>если придется столкнуться с хакерами, то пусть это будут энтузиасты, которые напишут вам же отчет и посоветуют как устранить дыру</li><li>ИТ-шников, которые работают с вами плечем к плечу</li><li>руководство, которое пусть на 10 минут, но выслушает вашу презентацию, и пусь аппетит к рискам будет не безграничен</li><li>HR-ов которые отличают технаря от бумажного безопасника и практика от теоретика. </li><li>PR-ов которые всегда помогут вам с внутренней презентацией и видео</li><li>юристов, которые за вас разберутся в соблюдении прав субъектов ПДн</li><li>подчиненных и коллег, которые всегда открыты к новому и не забывают "точить пилу"</li></ul><p></p><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEiySBGBOw22PtLZn4RCukT30HNU7gfm-6xjZjE4Ys4tgvBpKJC3MZRKy5pOmUd2myWmKBb080yPW2O-GGUp8VAyVkyNFGk75TcY9Nzu1iMt1NW7RB6_RKwl7udfuZ1G65GcBgnmdpwlG9EimaQk4xqt9QwYZz13LTqULOUGEPT2YLdXwChSLav1dFAW=s800" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="400" data-original-width="800" height="309" src="https://blogger.googleusercontent.com/img/a/AVvXsEiySBGBOw22PtLZn4RCukT30HNU7gfm-6xjZjE4Ys4tgvBpKJC3MZRKy5pOmUd2myWmKBb080yPW2O-GGUp8VAyVkyNFGk75TcY9Nzu1iMt1NW7RB6_RKwl7udfuZ1G65GcBgnmdpwlG9EimaQk4xqt9QwYZz13LTqULOUGEPT2YLdXwChSLav1dFAW=w618-h309" width="618" /></a></div><br /><p></p><p>2021-ый год выдался для меня очень уж напряженным, пришлось максимально далеко выйти из зоны комфорта, в том числе 2 раза сменить работу. Теперь я чуть дальше от отечественной нормативки и чуть ближе к реальной безопасности, лучшим и передовым практикам безопасности. </p><p>Надеюсь что и в следующем году будет много всего интересного, о чем можно будет вам рассказать. </p><p>А сейчас для подписчиков на <a href="https://www.patreon.com/sborisov">https://www.patreon.com/sborisov</a> и <a href="https://boosty.to/proib">https://boosty.to/proib</a> делюсь набором из 5 первоочередных задач CISO на новом месте, 5-ю реестрами и 2-мя карточками, в которые помогут вам выполнить эти 5 задач и зафиксировать самую важную инфрмацию для дальнейшей работы (естественно с примерами заполнения)</p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEiFVcL0CIlopn3AN9LlmvhfMZLGPW3KdBGV4-4KMXylqaEqXUNSeJNlMJWVbBYE0rFn35FbvXE-nx1RmGQMEeOIvY76QBfHbnjgyf_q1P4jVueRLeyQS7tIMJjmsE7KbbWGOh8D1NwsTzbK_uQCznM1GeVrESAwNhzf3Z6T1udqNn3huf50OtTK9zVd=s259" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="195" data-original-width="259" height="195" src="https://blogger.googleusercontent.com/img/a/AVvXsEiFVcL0CIlopn3AN9LlmvhfMZLGPW3KdBGV4-4KMXylqaEqXUNSeJNlMJWVbBYE0rFn35FbvXE-nx1RmGQMEeOIvY76QBfHbnjgyf_q1P4jVueRLeyQS7tIMJjmsE7KbbWGOh8D1NwsTzbK_uQCznM1GeVrESAwNhzf3Z6T1udqNn3huf50OtTK9zVd" width="259" /></a></div><br /><div class="separator" style="clear: both; text-align: center;"><br /></div><br /><br /><p><br /></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-79875855691111057242021-11-30T00:51:00.004-08:002021-11-30T00:51:55.565-08:00Сравнение лучших практик по анализу рисков ИБ с методикой моделирования угроз от ФСТЭК<p> Новая серия публикаций NISTIR 8286 посвящена обсуждению этапов управления рисками ИБ, того как они соотносятся с особенностями отдельных подразделений и систем, и того как они интегрируются в единую систему менеджмента рисками. Серия состоит из 3х частей, при этом для 8286A опубликована финальная версия, 8286B опубликован второй драфт, а 8286С обещают через пару недель.</p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYVXX617iEbKlYx2UYlYETp_UxfeP-Z29Zi6L1PH4rDAhyphenhyphen15YfzXE6MOMPv08p2mGseY0_RGIYuelQZb7ezPhIICMyHAMOJCJO8FdBWliGKKFle6HUM5EiVUWk5n5BDOYncjZTy_Sr52I/s607/risk+management+integration.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="607" data-original-width="319" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYVXX617iEbKlYx2UYlYETp_UxfeP-Z29Zi6L1PH4rDAhyphenhyphen15YfzXE6MOMPv08p2mGseY0_RGIYuelQZb7ezPhIICMyHAMOJCJO8FdBWliGKKFle6HUM5EiVUWk5n5BDOYncjZTy_Sr52I/w336-h640/risk+management+integration.png" width="336" /></a></div><p></p><p>Идею интеграции ИБ в единую систему менеджмента рисками хорошо иллюстрирует следующая картинка из документа. Правда в РФ пока мало задумываются над такими вопросами</p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjckMa0gKCtaAnQLM_KhDC2KzOHJ1aCimjCaVgDdIQbIuF4i-OsUNwKF5KUW9DXFBX1P2dum4j5e5tG2DhjLKjLdaX7czTGMKP3LZ3AWoTskBa73mN-j6PglFDiRJ23e0ORL-PmcEJs9go/s837/risk+management+integration+2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="837" data-original-width="605" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjckMa0gKCtaAnQLM_KhDC2KzOHJ1aCimjCaVgDdIQbIuF4i-OsUNwKF5KUW9DXFBX1P2dum4j5e5tG2DhjLKjLdaX7czTGMKP3LZ3AWoTskBa73mN-j6PglFDiRJ23e0ORL-PmcEJs9go/w462-h640/risk+management+integration+2.png" width="462" /></a></div><br /><p>Как видно большое внимание уделяется реестру рисков, как простому инструменту, с которым постоянно надо работать, поддерживать его в актуальном виде, интегрировать в реестры верхнего уровня. </p><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjkBxMxIq0sd7JnevgnAEwgZsKw4XzZplamC1rLh6eYfHszFYh2x5Myvy1gNcBtk006wRXOAhsOo3nPMxI7oyNj1QznH4uzvfXc-4u0ug3V3-n7zCfEghLPSUNWmhN2dET5FPqWFccvgHg/s1257/risk+register.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="423" data-original-width="1257" height="216" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjkBxMxIq0sd7JnevgnAEwgZsKw4XzZplamC1rLh6eYfHszFYh2x5Myvy1gNcBtk006wRXOAhsOo3nPMxI7oyNj1QznH4uzvfXc-4u0ug3V3-n7zCfEghLPSUNWmhN2dET5FPqWFccvgHg/w640-h216/risk+register.png" width="640" /></a></div><p><br /></p>NISTIR 8286 говорит что для понимания контекста риска ИБ нужна информация о risk appetite (общая сумма риска которую готовы принять для достижения бизнес-целей) на уровне компании в целом, а также информация о risk tolerance (допустимый уровень отклонения процессов от поставленных целей) отдельных подразделений. <p></p><p>Я провел сравнение NISTIR 8286 c другими лучшими практиками по управлению рисками ИБ а также с методикой моделирования угроз ФСТЭК России. </p><p>Лучшие практики говорят, что на первом этапе (context) организация должна определить для себя правила и методики, которые будут использоваться в процессе анализа рисков. Не исключается возможность использования разных правил для разного типа систем и подразделений. Методика моделирования угроз от ФСТЭК по сути представляет из себя один из возможных вариантов, который может быть встроен в процесс управления рисков.</p><p>Определение риска ИБ из NISTIR 8286, NIST 800-30 очень похоже на определение угрозы ИБ из документов ФСТЭК. Да и в целом общего с лучшими практиками больше чем вы думаете...<br /></p><div class="separator" style="clear: both; text-align: center;"><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi8MR-Xh1k5yrfCd6h25l4pvkq78Q9gTZEHWl4foyttwowa50JH30RlskTbZs90_O8qjR8T9aXSIcrzIjept2HaZJFLm64kpoP5yiqVMp6RH6lJjcmaz7awvlGD9NOANvpznAb-m7HwQNk/s751/Risk.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="166" data-original-width="751" height="142" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi8MR-Xh1k5yrfCd6h25l4pvkq78Q9gTZEHWl4foyttwowa50JH30RlskTbZs90_O8qjR8T9aXSIcrzIjept2HaZJFLm64kpoP5yiqVMp6RH6lJjcmaz7awvlGD9NOANvpznAb-m7HwQNk/w640-h142/Risk.png" width="640" /></a></div></div><p></p><p>Первая часть верхнеуровневого сравнения уже доступна для подписчиков на порталах <a href="https://www.patreon.com/sborisov">https://www.patreon.com/sborisov</a> и <a href="https://boosty.to/proib/">https://boosty.to/proib/</a></p><p>Далее планирую детализировать сравнения в мелочах, приложениях и добавить примеры угроз и рисков которые удалось найти в лучших практиках</p><p><br /></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-21122071036589402852021-11-02T08:14:00.006-07:002021-11-12T22:29:56.052-08:00Cравнения техник из приказа FST&CK и мер защиты из приказов ФСТЭК <p> </p><p class="MsoNormal" style="text-indent: 35.4pt;">Для тех, кто уже провел
моделирование угроз с использованием техник и тактик нарушителей из методики
ФСТЭК России следующим логичным шагом будет выбор контрмер, которыми можно предотвратить техники нарушителей.<o:p></o:p></p><p class="MsoNormal" style="text-indent: 35.4pt;"><o:p> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTYg9f4r51QnJTzrOXtC8PiU7XNnp9hEgdCf2-01yqeLWVGDweblIj3A2MbYh6X_5V6nWyL7YTOAv3JKVLXkLANsltiAUfehRpS9Q32h2GGAu-h1hBc64qebxeTtz7i-opP0eqDcpALlU/s1920/technick.png" style="margin-left: 1em; margin-right: 1em; text-align: center; text-indent: 35.4pt;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTYg9f4r51QnJTzrOXtC8PiU7XNnp9hEgdCf2-01yqeLWVGDweblIj3A2MbYh6X_5V6nWyL7YTOAv3JKVLXkLANsltiAUfehRpS9Q32h2GGAu-h1hBc64qebxeTtz7i-opP0eqDcpALlU/w400-h225/technick.png" width="400" /></a><br /><br /></o:p></p><p class="MsoNormal" style="text-indent: 35.4pt;">Логично что меры для защиты ИСПДн
надо выбирать из приказа ФСТЭК №21, для государственной информационной системы
из приказа ФСТЭК №17, для объектов КИИ из приказа ФСТЭК №239 и для остальных
объектов АСУТП из приказа ФСТЭК №31.<o:p></o:p></p><p class="MsoNormal" style="text-indent: 35.4pt;">Пока ФСТЭК России не выпустил каких-то
методических документов по соответствию между техниками и мерами защиты. От ассоциаций
и отраслевых регуляторов тоже не было ничего по этой части. А строить системы
защиты как-то надо…. <o:p></o:p></p><p class="MsoNormal" style="text-indent: 35.4pt;">Поэтому я провел для вас такой анализ
– какие меры защиты из приказов ФСТЭК лучше всего подойдут для предотвращения
техник нарушителей. <o:p></o:p></p><p class="MsoNormal" style="text-indent: 35.4pt;"><o:p> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjhrKMR9_sGogRo55adRwPnn-Vr2BXYKIIahPu1mf20ajt52jzvw3xr2SNY0aqbgctODIdpO7DCyjkgBhQ4t57ElySD6DPvqeTVbg4GUBh2tpuC6itjy_n9xK5UjAUya_p-uZbOSq2ssSg/s1495/fst%2526ck+technik+vs+control.png" style="margin-left: 1em; margin-right: 1em; text-align: center; text-indent: 35.4pt;"><img border="0" data-original-height="881" data-original-width="1495" height="378" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjhrKMR9_sGogRo55adRwPnn-Vr2BXYKIIahPu1mf20ajt52jzvw3xr2SNY0aqbgctODIdpO7DCyjkgBhQ4t57ElySD6DPvqeTVbg4GUBh2tpuC6itjy_n9xK5UjAUya_p-uZbOSq2ssSg/w640-h378/fst%2526ck+technik+vs+control.png" width="640" /></a><br /><br /></o:p></p><p class="MsoNormal" style="text-indent: 35.4pt;">Отмечу что каждую технику можно нейтрализовывать не одной а набором мер (тут скорее надо исходить из критичности системы)</p><p class="MsoNormal" style="text-indent: 35.4pt;">Ситуация осложнялась тем, что меры
защиты в разных приказах ФСТЭК все ещё не синхронизированы, и отдельно пришлось
выявлять, где скрываются аналогичные меры защиты. По моим оценкам 30% мер перемешаны
и остальные 70% совпадают во всех приказах или не имеют аналогов в других
приказах.<span style="text-indent: 35.4pt;"> </span><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEie3EUvLOgvG5lJwzDKDzTotT2e6zDFeTJUa9bO5iEu30bK6zSX7Xy0INsLzd5CjhtQFbnk6NJ3Q6Og20ytsRCJS_oUkCxTSbIfgNYIq3cZ-D3jrt2L2PFUY02HvBaSb2asfB_DBc71Ens/s1803/%25D0%25BF%25D1%2580%25D0%25B8%25D0%25BA%25D0%25B0%25D0%25B7%25D1%258B+%25D1%2584%25D1%2581%25D1%2582%25D1%258D%25D0%25BA.png" style="margin-left: 1em; margin-right: 1em; text-align: center; text-indent: 35.4pt;"><img border="0" data-original-height="887" data-original-width="1803" height="314" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEie3EUvLOgvG5lJwzDKDzTotT2e6zDFeTJUa9bO5iEu30bK6zSX7Xy0INsLzd5CjhtQFbnk6NJ3Q6Og20ytsRCJS_oUkCxTSbIfgNYIq3cZ-D3jrt2L2PFUY02HvBaSb2asfB_DBc71Ens/w640-h314/%25D0%25BF%25D1%2580%25D0%25B8%25D0%25BA%25D0%25B0%25D0%25B7%25D1%258B+%25D1%2584%25D1%2581%25D1%2582%25D1%258D%25D0%25BA.png" width="640" /></a></p><p class="MsoNormal" style="text-indent: 35.4pt;"><o:p><br /></o:p></p><p class="MsoNormal" style="text-indent: 35.4pt;">Также есть статистика по группам мер
защиты, наиболее востребованных в предотвращении техник
нарушителей. <o:p></o:p></p><p class="MsoNormal" style="text-indent: 35.4pt;"><o:p> </o:p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEja-PdXjsqCCKe6GcWpvKqOgEGiHM0U5edtnw0prwt-q4aVu9ahcJmtgT6czAY_JAcTBWX47tYaRstL63mlDLZYg9gE9JaHc_tBvHXQCFZoFi1yN2DahfGwFa6tU5EoygTOo95jl5iRjeg/s661/%25D1%2581%25D1%2582%25D0%25B0%25D1%2582%25D0%25B8%25D1%2581%25D1%2582%25D0%25B8%25D0%25BA%25D0%25B0+%25D0%25B8%25D1%2581%25D0%25BF%25D0%25BE%25D0%25BB%25D1%258C%25D0%25B7%25D0%25BE%25D0%25B2%25D0%25B0%25D0%25BD%25D0%25B8%25D1%258F+%25D0%25BC%25D0%25B5%25D1%2580.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="422" data-original-width="661" height="255" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEja-PdXjsqCCKe6GcWpvKqOgEGiHM0U5edtnw0prwt-q4aVu9ahcJmtgT6czAY_JAcTBWX47tYaRstL63mlDLZYg9gE9JaHc_tBvHXQCFZoFi1yN2DahfGwFa6tU5EoygTOo95jl5iRjeg/w400-h255/%25D1%2581%25D1%2582%25D0%25B0%25D1%2582%25D0%25B8%25D1%2581%25D1%2582%25D0%25B8%25D0%25BA%25D0%25B0+%25D0%25B8%25D1%2581%25D0%25BF%25D0%25BE%25D0%25BB%25D1%258C%25D0%25B7%25D0%25BE%25D0%25B2%25D0%25B0%25D0%25BD%25D0%25B8%25D1%258F+%25D0%25BC%25D0%25B5%25D1%2580.png" width="400" /></a></div><br /><p></p><p class="MsoNormal" style="text-indent: 35.4pt;">С результатами данного анализа в
режиме чтения можно ознакомиться на портале <a href="https://proib.ru/"><span lang="EN-US">proib</span>.</a><span lang="EN-US"><a href="https://www.proib.ru/">ru</a><o:p></o:p></span></p><p class="MsoNormal" style="text-indent: 35.4pt;"><br /></p><p class="MsoNormal" style="text-indent: 35.4pt;">Материалы в таблицах или онлайн <span lang="EN-US">airtable</span><span lang="EN-US"> </span>доступны
для подписчиков на порталах <a href="https://www.patreon.com/sborisov">https://www.patreon.com/sborisov</a>
и <a href="https://boosty.to/proib/">https://boosty.to/proib/</a><o:p></o:p></p><p>
</p><p class="MsoNormal" style="text-indent: 35.4pt;"><o:p> </o:p></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com1tag:blogger.com,1999:blog-7314557066073505547.post-9913600411076384962021-08-15T22:24:00.002-07:002021-08-15T22:44:21.206-07:00Визуализация и выводы сравнения техник и тактик MITRE ATT&CK и FST&CK<p><span face="aktiv-grotesk, sans-serif" style="background-color: white; color: #241e12; font-size: 16px; white-space: pre-line;">Для тех, кто проводит работы по анализу соответствия техник и тактик из разных каталогов, визуализация зачастую позволяет быстро, одним взглядом увидеть интересные закономерности и сделать полезные выводы.</span></p><p style="background-color: white; color: #241e12; font-family: aktiv-grotesk, sans-serif; font-size: 16px; line-height: 1.5; margin: 10px 0px; white-space: pre-line;">В сравнении исходим из предпосылки что база MITRE более подробная, чаще обновляется, содержит более современные техники поэтому с большей вероятность её надо брать за эталон и смотреть чего не хватает в каталогах техник и тактик ФСТЭК.</p><p style="background-color: white; color: #241e12; font-family: aktiv-grotesk, sans-serif; font-size: 16px; line-height: 1.5; margin: 10px 0px; white-space: pre-line;">Тактик не так много, и поэтому для сравнения вполне подошла обычная таблица.</p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhiEzQ96BCaa4XffWTR3EV2Any8zc6aGSMQCqHGqTo9ExOYFzd9taNKTGlXUoYZr6Ug3xfTKO3I1LfVZ0vukYj2KyWEh0xF-gzeZhfadBkjwsUgYfZWtw8RnSMq1aUq624H7KGH7i3d_64/s645/%25D1%2581%25D1%2580%25D0%25B0%25D0%25B2%25D0%25BD%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B5+%25D1%2582%25D0%25B0%25D0%25BA%25D1%2582%25D0%25B8%25D0%25BA.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="363" data-original-width="645" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhiEzQ96BCaa4XffWTR3EV2Any8zc6aGSMQCqHGqTo9ExOYFzd9taNKTGlXUoYZr6Ug3xfTKO3I1LfVZ0vukYj2KyWEh0xF-gzeZhfadBkjwsUgYfZWtw8RnSMq1aUq624H7KGH7i3d_64/w640-h360/%25D1%2581%25D1%2580%25D0%25B0%25D0%25B2%25D0%25BD%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B5+%25D1%2582%25D0%25B0%25D0%25BA%25D1%2582%25D0%25B8%25D0%25BA.png" width="640" /></a></div><p style="background-color: white; color: #241e12; font-family: aktiv-grotesk, sans-serif; font-size: 16px; line-height: 1.5; margin: 10px 0px; white-space: pre-line;">Основные выводы:</p><ul style="background-color: white; color: #241e12; font-family: aktiv-grotesk, sans-serif; font-size: 16px; margin: 0px; white-space: pre-line;"><li>Исходя из анализа типовых действий нарушителей в базе MITRE предлагается на более поздний этапе рассматривать тактику ТА0011 Command and Control</li><li>Аналоги для трех тактик отсутствуют в каталоге ФСТЭК, поэтому целесообразно их добавлять</li><li>Тактика Т9 из каталога ФСТЭК включает сразу 2 тактики MITRE. В матрице MITRE техники на этих двух этапах различаются достаточно сильно, как и способы детектирования их. Целесообразно также разделить в каталоге ФСТЭК</li></ul><p style="background-color: white; color: #241e12; font-family: aktiv-grotesk, sans-serif; font-size: 16px; line-height: 1.5; margin: 10px 0px; white-space: pre-line;">Для анализа соответствия техник лучше всего подошла диаграмма Sankey. Она получилась очень большая, но позволяет увидеть все необходимое на одной картинке.</p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh4DpFF8hKaDjLg3joODmyabGhIiWXUi8n7v5yrzDM2TBZyWGAIoDUyDvNHsEkLJtAhCaOPZLAcCr92AJikWHRCNuZwIMC44nxqVVDqy_SGVei-lQ0m-_dGitVCipxwKiuv7p2ZXaDvugQ/s962/%25D1%2581%25D1%2580%25D0%25B0%25D0%25B2%25D0%25BD%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B5+%25D1%2582%25D0%25B5%25D1%2585%25D0%25BD%25D0%25B8%25D0%25BA.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="962" data-original-width="319" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh4DpFF8hKaDjLg3joODmyabGhIiWXUi8n7v5yrzDM2TBZyWGAIoDUyDvNHsEkLJtAhCaOPZLAcCr92AJikWHRCNuZwIMC44nxqVVDqy_SGVei-lQ0m-_dGitVCipxwKiuv7p2ZXaDvugQ/s16000/%25D1%2581%25D1%2580%25D0%25B0%25D0%25B2%25D0%25BD%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B5+%25D1%2582%25D0%25B5%25D1%2585%25D0%25BD%25D0%25B8%25D0%25BA.png" /></a></div><p></p><p style="background-color: white; color: #241e12; font-family: aktiv-grotesk, sans-serif; font-size: 16px; line-height: 1.5; margin: 10px 0px; white-space: pre-line;">Основные выводы:</p><ul style="margin: 0px;"><li style="background-color: white; color: #241e12; font-family: aktiv-grotesk, sans-serif; font-size: 16px; white-space: pre-line;">Все техники из матрицы MITRE достаточно узкие – каждой из них соответствует в основном 1 техника из каталога ФСТЭК</li><li style="background-color: white; color: #241e12; font-family: aktiv-grotesk, sans-serif; font-size: 16px; white-space: pre-line;">Многие техники (Т1.1, Т4.1, Т4.4, Т4.6, Т5.10, Т6.1, Т6.4, Т6.7, Т7.1, Т7.4, Т7.10, Т7.13, Т7.27) из каталога ФСТЭК “крупные” (сформулированы слишком общо) и включают в себя от 10 до 65 техник из матрицы MITRE каждая. “Крупные” техники сложнее обрабатывать – сложнее подбирать точные контрмеры и способы обнаружения.</li><li style="background-color: white; color: #241e12; font-family: aktiv-grotesk, sans-serif; font-size: 16px; white-space: pre-line;">Пришлось дополнить техники из каталога ФСТЭК как минимум 39-ю дополнительными техниками, для того чтобы перекрыть все техники из матрицы MITRE</li><li><span face="aktiv-grotesk, sans-serif" style="color: #241e12;"><span style="background-color: white; white-space: pre-line;">58 техник из каталога ФСТЭК не имеют аналогов в основной матрице MITRE ATT&CK – они либо рассматривают действия нарушителей в другой нестандартной плоскости, либо связаны с АСУТП (а для этого есть отдельный каталог техник MITRE ICS) либо связаны с каким-то национальными особенностями кибератак (</span></span>Т1.13 Сбор информации через получение доступа к системам физической безопасности и видеонаблюдения, Т1.17 Сбор информации через получение контроля над личными устройствами сотрудников для скрытой прослушки и видеофиксации<span face="aktiv-grotesk, sans-serif" style="color: #241e12;"><span style="background-color: white; white-space: pre-line;">)</span></span></li></ul><div><span face="aktiv-grotesk, sans-serif" style="color: #241e12;"><span style="white-space: pre-line;"><br /></span></span></div><div><span face="aktiv-grotesk, sans-serif" style="color: #241e12;"><span style="white-space: pre-line;">Материалы в редактируемом виде и хорошем качестве доступны для подписчиков на порталах <a href="https://www.patreon.com/sborisov">https://www.patreon.com/sborisov</a> и <a href="https://boosty.to/proib/">https://boosty.to/proib/</a></span></span></div><div><span face="aktiv-grotesk, sans-serif" style="color: #241e12;"><span style="white-space: pre-line;"><br /></span></span></div><div><span face="aktiv-grotesk, sans-serif" style="color: #241e12;"><span style="white-space: pre-line;"><br /></span></span></div><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-54456808194737021272021-08-11T03:47:00.000-07:002021-08-11T03:47:01.518-07:00Сравнение техник и тактик нарушителей из методики ФСТЭК и матриц MITRE ATT&CK <p> Как вы, наверное, знаете, <a href="https://sborisov.blogspot.com/2021/04/blog-post_19.html">новая методика моделирования угроз ФСТЭК России</a> сделала революцию в российских подходах к моделированию угроз – теперь нужно рассматривать угрозы – как комбинацию сценариев действий нарушителей, составленных из элементарных частиц – техник и тактик.</p><p class="MsoNormal"><o:p></o:p></p><p class="MsoNormal"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtaw_unuKnFwBVIDV3F9k0j1AO_odaPS5sxS9LCtiXYf8ChGgpYXg0_OYaacttS6IzJlf265TGEqkYfWMS3aUwJ4s0hIpKC468Lh_FDptdhLnbfkWuTdeK558hpI9c_4e8bDvVUJkQAZo/s2048/%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1261" data-original-width="2048" height="197" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtaw_unuKnFwBVIDV3F9k0j1AO_odaPS5sxS9LCtiXYf8ChGgpYXg0_OYaacttS6IzJlf265TGEqkYfWMS3aUwJ4s0hIpKC468Lh_FDptdhLnbfkWuTdeK558hpI9c_4e8bDvVUJkQAZo/s320/%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE.png" width="320" /></a></div>Но техники и тактики из методики ФСТЭК немного, они недостаточно сбалансированы и пока не обновляются. Параллельно с этим существуют мировые лучшие практики по структурированию действий нарушителей кибербезопасности и самая популярная из них – матрица <span lang="EN-US">MITRE</span><span lang="EN-US"> </span><span lang="EN-US">ATT</span>&<span lang="EN-US">CK</span> и сопутствующие ей матрицы хакерских группировок, способов обнаружения и возможных мер защиты.<o:p></o:p><p></p><p class="MsoNormal">Как применить <span lang="EN-US">MITRE</span><span lang="EN-US"> </span><span lang="EN-US">ATT</span>&<span lang="EN-US">CK</span><span lang="EN-US"> </span>на практике хорошо рассказал <a href="https://www.youtube.com/watch?v=8aANMLbgwF8">Алексей Лукацкий на недавнем вебинаре</a><o:p></o:p></p><p class="MsoNormal">Но что, если мы хотим взаимоувязать моделирование угроз по методике ФСТЭК России и анализ по матрицам <span lang="EN-US">MITRE</span>?<o:p></o:p></p><p class="MsoNormal">Я вижу следующие возможные варианты интеграции этих двух каталогов:<o:p></o:p></p><p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;"> </span></span><!--[endif]-->Провести анализ актуальных техник и тактик и контрмер полностью по матрицам <span lang="EN-US">MITRE</span>, а потом в модели угроз заменить их на наиболее подходящие техники и тактики из каталогов ФСТЭК. <o:p></o:p></p><p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;"> </span></span><!--[endif]-->Провести анализ изначально по методике ФСТЭК, определить актуальные техники и тактики из каталогов ФСТЭК и дополнить их техниками и тактиками из матрицы <span lang="EN-US">MITRE</span> (какие то особенные техники, которых нет у ФСТЭК)<o:p></o:p></p><p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;"> </span></span><!--[endif]-->Провести анализ угроз только по методике ФСТЭК, но при выборе контрмер использовать имеющиеся у <span lang="EN-US">MITRE</span><span lang="EN-US"> </span>рекомендации по обнаружению и блокированию конкретных техник и тактик.<o:p></o:p></p><p class="MsoNormal">В сообществе давно говорят о необходимости установления соответствия между этими двумя каталогами, но пока никто не опубликовал ничего подобного.<o:p></o:p></p><p class="MsoNormal">Как амбассадор ИБ решил первым опубликовать такой <a href="https://www.proib.ru/p/fst-mitre-att.html">анализ в своем втором блоге</a>. Где это было возможно – определены соответствующие друг другу техники из каталогов ФСТЭК и <span lang="EN-US">MITRE</span>.<o:p></o:p></p><br /><p class="MsoNormal">Таблицы соответствия доступны на просмотр всем желающим. Вы можете использовать его в рамках своей текущей работы сравнивая ваши анализ с моим. Сделал небольшой видеообзор получившейся аналитики.<o:p></o:p></p><iframe frameborder="0" height="270" src="https://youtube.com/embed/TX3mO13mzsc" width="480"></iframe><p class="MsoNormal">Если по каким-то причинам вам необходимы исходники (таблицы соответствия или доступ к онлайн базе знаний) то эта возможность будет доступна моим подписчикам на <span lang="EN-US"><a href="https://www.patreon.com/sborisov">patreon</a></span><span lang="EN-US"> </span>или <span lang="EN-US"><a href="https://boosty.to/proib">boosty</a></span>.<o:p></o:p></p><br /><p class="MsoNormal"><br /></p><br /><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-63852412160849207182021-08-03T07:22:00.002-07:002021-08-03T07:22:39.263-07:00Отчет и рекомендации ENISA по кибербезопасности малого и среднего бизнеса <p> </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6OF_8wv-JBLOGmClwoIqcjnKXPT6oNJt5vXAl-v5_jflV31z2NHpJRVYQQTdjf-YGKeZOrN-ZUELkZNXjSkz0mSU97d9ytPpvdYA8tIY8jH_UbuGn-vzdGb49K9wWK9BOK1YUia8Ddlw/s813/logo.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="711" data-original-width="813" height="280" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6OF_8wv-JBLOGmClwoIqcjnKXPT6oNJt5vXAl-v5_jflV31z2NHpJRVYQQTdjf-YGKeZOrN-ZUELkZNXjSkz0mSU97d9ytPpvdYA8tIY8jH_UbuGn-vzdGb49K9wWK9BOK1YUia8Ddlw/s320/logo.png" width="320" /></a></div><p></p><p>Недавно европейский
орган о кибербезопасности <span lang="EN-US">European</span><span lang="EN-US">
</span><span lang="EN-US">Union</span><span lang="EN-US"> </span><span lang="EN-US">Agency</span><span lang="EN-US"> </span><span lang="EN-US">for</span><span lang="EN-US"> </span><span lang="EN-US">Cybersecurity</span> (<span lang="EN-US">ENISA</span>) выпустили свежий <a href="https://www.enisa.europa.eu/publications/enisa-report-cybersecurity-for-smes">отчет CYBERSECURITY FORSMES</a>
по анализу актуальных угроз ИБ для малого и среднего бизнеса, а также дал
рекомендации по защите. Давайте посмотрим на них подробнее:</p><p class="MsoNormal"><o:p></o:p></p>
<br />
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->В Европе 99% компаний относятся к <span lang="EN-US">SME</span>, поэтому их кибербезопасность очень важна (в России,
кстати, тоже доля СМБ составляет 90%, хотя общая доля таких компаний в ВВП не большая)<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->Растет зависимость всех типов <span lang="EN-US">SME</span><span lang="EN-US"> </span>от компьютеров и интернета<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->Большинство <span lang="EN-US">SME</span> (более 80%) автоматизировано обрабатывают критическую информации
и кибербезопасность для них ключевой приоритет<o:p></o:p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5uCo9pkHDoAt-5GJ-Gf0FrvQsCrunMS8AOJnlKfwhc8yxk36WTeRRH6n2-C6OvTHoTeaG-P6b0kv4NE0obJdVRHQZ0UuoQeMdjqQd499TYxeKBqxK67mT-608RV9IfqzXzh8jTi7zKuE/s723/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="566" data-original-width="723" height="251" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5uCo9pkHDoAt-5GJ-Gf0FrvQsCrunMS8AOJnlKfwhc8yxk36WTeRRH6n2-C6OvTHoTeaG-P6b0kv4NE0obJdVRHQZ0UuoQeMdjqQd499TYxeKBqxK67mT-608RV9IfqzXzh8jTi7zKuE/s320/2.png" width="320" /></a></div><br /><p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><span style="font-family: Symbol; text-indent: -18pt;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><span style="text-indent: -18pt;">Базовые меры защита внедрены в 70% </span><span lang="EN-US" style="text-indent: -18pt;">SME</span><span style="text-indent: -18pt;">, но расширенные меры применяют менее 30% </span><span lang="EN-US" style="text-indent: -18pt;">SME</span></p><p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEil_LD_MfFHkrVSwZmhVYUpB6YqGlA_lzU_O1SuZaiXnzf4-gwC-niJQf4CAbZNHpkY0UZg698H4i-3-2tq0ufnrpkita3FKy7IXtfLSEv7v3PuHa2buDOqDNx9N13JX7ycWKYGGHVSkng/s823/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="375" data-original-width="823" height="293" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEil_LD_MfFHkrVSwZmhVYUpB6YqGlA_lzU_O1SuZaiXnzf4-gwC-niJQf4CAbZNHpkY0UZg698H4i-3-2tq0ufnrpkita3FKy7IXtfLSEv7v3PuHa2buDOqDNx9N13JX7ycWKYGGHVSkng/w640-h293/3.png" width="640" /></a></div><span lang="EN-US" style="text-indent: -18pt;"><br /></span><p></p><p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->64% <span lang="EN-US">SME</span><span lang="EN-US">
</span>используют
облачные сервисы и 56% используют удаленный доступ<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->Основные атаки, с которыми столкнулись <span lang="EN-US">SME</span><span lang="EN-US"> </span>были фишинг, вредоносы и атаки на <span lang="EN-US">web</span><span lang="EN-US"> </span>приложения<o:p></o:p></p><p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEip2K8-ajX67VNtDuGj5aT_cx4CCAxPvVmMYlhPSf53yLJkCTZmwJF15ZKvmImeeVDBilmA9IBMXqDXjDQvH53HmKaVSfUqZnIvbqk8-plP14P_eJiBt9MeDl3KQhyN7v-Zt1H86BAeGeU/s1001/4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="276" data-original-width="1001" height="176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEip2K8-ajX67VNtDuGj5aT_cx4CCAxPvVmMYlhPSf53yLJkCTZmwJF15ZKvmImeeVDBilmA9IBMXqDXjDQvH53HmKaVSfUqZnIvbqk8-plP14P_eJiBt9MeDl3KQhyN7v-Zt1H86BAeGeU/w640-h176/4.png" width="640" /></a></div><br /><p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->Основные проблемы кибербезопасности <span lang="EN-US">SME:</span><o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";">o<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->слабая осведомленность персонала в вопросах ИБ
<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";">o<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->принимаемые меры защиты не адекватны
критичности и чувствительности обрабатываемой информации<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";">o<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->отсутствие экспертизы и выделенных ИБ
специалистов<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";">o<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->недостаток лучших практик, рассчитанных на <span lang="EN-US">SME</span><o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";">o<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->теневое ИТ и персональные устройства<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="EN-US" style="font-family: "Courier New"; mso-ansi-language: EN-US; mso-fareast-font-family: "Courier New";">o<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->отсутствие бюджета на ИБ<span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72.0pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";">o<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->слабая поддержка руководства<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->В отчете также приводится подборка типовых
инцидентов ИБ с подробным их разбором, но не буду их цитировать, рекомендую
ознакомится самостоятельно<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->Половину отчета занимают рекомендации по
базовым мерам ИБ, посильным для <span lang="EN-US">SME</span>. Данные
меры разбиты по 3 областям: персонал, процессы и технологии. Привожу ниже их
содержание, а подробнее рекомендую ознакомится самостоятельно<o:p></o:p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAi-i0PupqCdIMo1wYGyxihKgfLg_-ayALliR_x-jas461nc8OPNn5q7nGj8heMPMviYskeQwvgeRmfbWjJHjcFt8e6kzNEVCd0kOj4b-OqKG5sYR4pfTKpbzIFXgumlUw4wMFFIaMfvE/s847/peaple.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="555" data-original-width="847" height="421" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAi-i0PupqCdIMo1wYGyxihKgfLg_-ayALliR_x-jas461nc8OPNn5q7nGj8heMPMviYskeQwvgeRmfbWjJHjcFt8e6kzNEVCd0kOj4b-OqKG5sYR4pfTKpbzIFXgumlUw4wMFFIaMfvE/w640-h421/peaple.png" width="640" /></a></div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-VqH3GFB8qKLADG_1IkrEict5YLdD3OsNTsIsJ59IZ3gwVouQOBcT2POoU89MdAn3rZxF4RG77ghlO3xYvA6gquO5j6ghpEOW14K6sEH4NHs2Eg87-IDdJVU2PwoqlQTs1YB67K516TI/s849/process.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="481" data-original-width="849" height="362" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-VqH3GFB8qKLADG_1IkrEict5YLdD3OsNTsIsJ59IZ3gwVouQOBcT2POoU89MdAn3rZxF4RG77ghlO3xYvA6gquO5j6ghpEOW14K6sEH4NHs2Eg87-IDdJVU2PwoqlQTs1YB67K516TI/w640-h362/process.png" width="640" /></a></div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgKZRg9fNdnya7WVmIPobWgrYgK9nhUgBzOuELBh0NSRInWPeiLS8krTxt7GgV8NtsxSG5WOIYbfjh6-lNjTWqhK1OnbQrDkNOV-Sy_p86LUUzy84euBmbWmjd6Z7z9Xi-zRTQzBn-zEkw/s842/technology.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="601" data-original-width="842" height="456" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgKZRg9fNdnya7WVmIPobWgrYgK9nhUgBzOuELBh0NSRInWPeiLS8krTxt7GgV8NtsxSG5WOIYbfjh6-lNjTWqhK1OnbQrDkNOV-Sy_p86LUUzy84euBmbWmjd6Z7z9Xi-zRTQzBn-zEkw/w640-h456/technology.png" width="640" /></a></div><p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><br /></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->Наконец приводится таблица соответствия угроз
и мер защиты из данных рекомендаций <o:p></o:p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidAhKSQH7mVFXgd1IYp7jVS6_EwaU84lo3pKesCzwDEl_mXhQTGy7vo-5hgE5fF5SVjSWVCCYryC1a5msOPltSvptigDjqTAGemUQAR6LlgRY4-1mNruQh8FmjapAstadTO9Hzu8PrjoM/s840/mapping.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="722" data-original-width="840" height="344" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidAhKSQH7mVFXgd1IYp7jVS6_EwaU84lo3pKesCzwDEl_mXhQTGy7vo-5hgE5fF5SVjSWVCCYryC1a5msOPltSvptigDjqTAGemUQAR6LlgRY4-1mNruQh8FmjapAstadTO9Hzu8PrjoM/w400-h344/mapping.png" width="400" /></a></div><br /><p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><br /></p>
<p class="MsoNormal">Как мне
кажется основные проблемы и рекомендации актуальны и для наших компаний малого
и среднего бизнеса. Рекомендую применять как лучшие практики. <o:p></o:p></p>
<p class="MsoNormal"><span lang="EN-US"> </span></p>
<p class="MsoNormal"><span lang="" style="text-indent: -18pt;">PS</span><span style="text-indent: -18pt;">:</span><o:p style="text-indent: -18pt;"> </o:p><span style="text-indent: -18pt;">Чтобы не пропустить другие лучшие практики ИБ подписывайтесь в вашем любимом канале</span></p><div class="MsoNormal"><div class="MsoNormal"><a href="https://www.youtube.com/channel/UC_D3c5B0Duml5jGYEG4t_vw">YOUTUBE</a></div><div class="MsoNormal"><span lang=""><a href="https://twitter.com/sb0risov">TWITTER </a></span></div><div class="MsoNormal"><span lang=""><a href="https://www.facebook.com/cubanib/">FACEBOOK</a></span></div><div class="MsoNormal"><span lang=""><a href="https://vk.com/club154111680">VK</a></span></div><div class="MsoNormal"><span lang=""><a href="https://t.me/sergeyborisov23">Telegram</a></span></div><div><div class="MsoNormal"><a href="https://zen.yandex.ru/id/5cb453af456a7000b3a1c1c1">Дзен</a></div></div></div><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-80881566467889205962021-07-16T05:57:00.002-07:002021-07-16T05:57:46.635-07:00Роль юриста, инженера, аутсорсера в обеспечении приватности и защите персональных данных<p> </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjnyx8Zk4ypNH1-w97NvzEyj5dKSemLK4bYbJFavDFqaKOeFa5JIymKyzPN6o3e4DfrjP1cwT8Lrc4AwTuDPg22MGqyIDcHPwzOsgpfzuX_uuxd5YOM849dV_JCrAQOLv8yANpH_ghLmfQ/s1080/%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE+1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1080" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjnyx8Zk4ypNH1-w97NvzEyj5dKSemLK4bYbJFavDFqaKOeFa5JIymKyzPN6o3e4DfrjP1cwT8Lrc4AwTuDPg22MGqyIDcHPwzOsgpfzuX_uuxd5YOM849dV_JCrAQOLv8yANpH_ghLmfQ/s320/%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE+1.jpg" /></a></div><p></p><p>На прошлой
неделе провели с Ксенией Шудровой (<span lang="EN-US">RISC</span>) и
Денисом Лукашем (<span lang="EN-US">Infobip</span>) провели
межблогерский вебинар в котором в режиме батла обсудили разные подходы к
назначению, опыту, знаниям и подходам <span lang="EN-US">DPO</span> и
выстраиванию его взаимодействия с бизнесом.</p><p class="MsoNormal"><o:p></o:p></p>
<p class="MsoNormal">Раньше я
уже делал подобный анализ исходя из требований к функциям, образованию и
квалификации <span lang="EN-US">DPO</span>,
происходящих из нормативных требований и лучших практик. Если вам интересна эта тема, то рекомендую
ознакомится с этим <a href="https://www.youtube.com/watch?v=dd5du9OVVAU">коротким видео</a>.</p>
<p class="MsoNormal">Но в недавнем
вебинаре мы исходили из сложившейся практики и собственного опыта. <o:p></o:p></p>
<p class="MsoNormal">Рекомендую
вам самостоятельно ознакомится с <a href="https://www.youtube.com/watch?v=_FirLjUDHC8">записью вебинара</a>, и высказать свое мнение, а
для затравки приведу несколько интересных цитат из обсуждения:</p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“точка зрения юриста является преобладающей”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“мы не видим, что целью закона 152-ФЗ является
защита персональных данных”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“закон не про защиту данных бизнеса”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“какой риск аппетит у бизнеса?”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“в большой компании изменение бизнес процесса из-за
предписание будет стоить очень дорого”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“нужно сразу строить правильные бизнес
процессы, которые не потребуется менять долгие годы”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“к <span lang="EN-US">CEO</span><span lang="EN-US">
</span>или
правлению нужно приходить не с проблемой, а с решением”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“<span lang="EN-US">DPO</span><span lang="EN-US">
</span>должен
уметь переводить нарушения прав субъектов на бизнес риски”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“<span lang="EN-US">privacy</span><span lang="EN-US">
</span>для
небольших типовых компаний легче делать с использованием внешнего аутсорсера. Стандартные
риски”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“знание процессульного права необходим, когда
мы делаем анализ рисков для бизнес процесса”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“когда в организации есть человек занимающийся
защитой данных, также принимает много организационных мер, почему бы не разработать
ещё организацией обработки”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“так как штрафы маленькие, то юристам
совершенно не интересно заниматься этой темой”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“хорошо, когда работает рабочая группа в
тесном взаимодействии”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“большой драйвер персональных данных
использовался для того, чтобы решать проблемы ИБ”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“во многом современный <span lang="EN-US">CISO</span><span lang="EN-US"> </span>уже умеет разговаривать с бизнесом на
одном языке и доносить информацию о рисках”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“безопасники лучше анализируют информационные
системы и ИТ-процессы”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“непрофильную активность спихиваем на
аутсорсинг”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“хочется переложить часть рисков, часть
ответственности и получить поддержку при проверках”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“С чего начать: бизнес строится вокруг внешних
взаимодействий. Нужно провести ревизию всех внешних договоров, контрагентов и
обязательств.”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“С чего начать: проанализировать бизнес процессы,
выявить слабые места”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“Безопасник должен уметь слушать
представителей бизнеса”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“Инженер ИБ по верхам читает законы”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“Подход с тем чтобы раз в 3 года выполнять
проект по актуализации документов показал свою неэфективность”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“прежде чем выходить на руководство с
информацией об изменениях законодательства, нужно проанализировать затраты на
изменения процессов, возможные риски и подготовить несколько вариантов действий”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“аутсорсер как правило готовит дайжест по
изменению законодательства с выводами на какие компании и сферы деятельности распространяется,
какой типовой порядок действий необходимо предпринять”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“нет готовых коммерческих курсов для <span lang="EN-US">DPO</span><span lang="EN-US"> </span>на русском языке, полезная информация
скорее на небольших семинарах, вебинарах экспертов”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“полезно пройти обучение по <span lang="EN-US">GDPR</span><span lang="EN-US"> </span>даже для российских <span lang="EN-US">DPO</span>, так как дает хорошее понимание именно в <span lang="EN-US">privacy</span>”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“при планировании инструктажей сотрудников
нужно в первую очередь ориентироваться на бизнес-риски. Решаем задачи бизнеса”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“аутсорсер как правило ориентируется на типовые
вводные инструктажи по законодательству, разработанным политикам и регламентам”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“не забывать про системы дистанционного
обучения и готовые микрокурсы повышения осведомленности”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“лучше начинать повышение осведомленности с раскрытия
угрозы фишинга”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“внутренние проверки лучше начитать с наиболее
высоких рисков”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“аутсорсер предпочитает типовые внутренние
проверки, по которым есть сложившаяся практика и наибольшая вероятность
нарушений”<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]-->“в первую очередь проверить аттестованные
системы”<o:p></o:p></p>
<p class="MsoListParagraphCxSpLast"><o:p> </o:p></p><p class="MsoListParagraphCxSpLast">Слайды презентации c вебинара традиционно можно скачать в группах в <a href="https://www.blogger.com/blog/post/edit/7314557066073505547/8819959751768592224"><b>VK</b></a> и <a href="https://www.blogger.com/blog/post/edit/7314557066073505547/8819959751768592224"><b>FB</b></a></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-37961612648995211062021-06-18T06:50:00.003-07:002021-06-18T06:50:16.647-07:00Свежие ответы Роскомнадзора по обработке ПДн <p> </p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Недавно
задавал два простых вопрос в Роскомнадзор по поводу трактовки выполнения законодательства в сфере обработки персональных данных, привожу ниже вопросы, ответы и мои комментарии. <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">1ый вопрос
не дословно, но примерно звучал следующим образом:<o:p></o:p></span></p>
<p class="MsoListParagraph" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">В организации есть большое количество
работников-водителей устроенных по ГПХ, постоянная текучка. Можно ли их
рассматривать как работников (вести учет перечень лиц, ознакамливать с
внутренними регламентами и т.п. )? или относится к ним как третьим лицам
(заключать с ними договор поручение, а со всех субъектов брать согласие на
передачу этим третьим лицам)?<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Ответ
привожу ниже: <o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCMISJPy_9fHxYroLalzi_esVnO_h1maLlU_iSAB5IkrucmsnD5iEdyqPQerttgRbojv_MXH_a98jYuT57FDJoAwv4qFe8QwMqJmnjvWfMG39AJgu_0nuY7IGpu07wIoonTuMebNbbHyk/s851/%25D1%2581%25D0%25BA%25D0%25B0%25D0%25BD+%25D0%25BE%25D1%2582%25D0%25B2%25D0%25B5%25D1%2582%25D0%25B0+%25D0%2593%25D0%259F%25D0%25A5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="851" data-original-width="624" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCMISJPy_9fHxYroLalzi_esVnO_h1maLlU_iSAB5IkrucmsnD5iEdyqPQerttgRbojv_MXH_a98jYuT57FDJoAwv4qFe8QwMqJmnjvWfMG39AJgu_0nuY7IGpu07wIoonTuMebNbbHyk/w470-h640/%25D1%2581%25D0%25BA%25D0%25B0%25D0%25BD+%25D0%25BE%25D1%2582%25D0%25B2%25D0%25B5%25D1%2582%25D0%25B0+%25D0%2593%25D0%259F%25D0%25A5.png" width="470" /></a></div><p></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Ответ
вполне ожидаемый. Отмечу только что надо не забывать поддерживать в актуальном состоянии
перечень таких третьих лиц. Он будет постоянно меняться, поэтому вероятно
нужная автоматизация и автообновление на каком-то портале.</span></p><br /><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">2ой вопрос
не дословно, но примерно звучал следующим образом:<o:p></o:p></span></p>
<p class="MsoListParagraph" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">новая форма согласия на публикацию ПДн,
утвержденная РКН вступает в силу с 1 сентября. Как организациям быть до этого
времени? Это касается как публичных сайтов, к которым приходят новые клиенты, а
также гос. органов, в которых сейчас достаточно много случаев публикации,
которые не могут быть отложены до 1 сентября – например проводится областной
конкурс и публикуют данные победителя или публикация выпускников стобалльников.<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Ответ
привожу ниже: <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTeyKmfPOtDV1wciSJxeaqdt3hh0k7fwlZ5uzCbFPQQ4UBheFCyJz9-mJAZ9yRNdez9rk51ZXmpKnSIKQmxqPr_zMRcx_M0mw7mWS0kACEAi65IKhmTyToC17T0vXyRLaZ7J5vnkWrLt4/s905/%25D1%2581%25D0%25BA%25D0%25B0%25D0%25BD+%25D0%25BE%25D1%2582%25D0%25B2%25D0%25B5%25D1%2582%25D0%25B0+%25D1%2581%25D0%25BE%25D0%25B3%25D0%25BB%25D0%25B0%25D1%2581%25D0%25B8%25D1%258F.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="905" data-original-width="688" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTeyKmfPOtDV1wciSJxeaqdt3hh0k7fwlZ5uzCbFPQQ4UBheFCyJz9-mJAZ9yRNdez9rk51ZXmpKnSIKQmxqPr_zMRcx_M0mw7mWS0kACEAi65IKhmTyToC17T0vXyRLaZ7J5vnkWrLt4/w486-h640/%25D1%2581%25D0%25BA%25D0%25B0%25D0%25BD+%25D0%25BE%25D1%2582%25D0%25B2%25D0%25B5%25D1%2582%25D0%25B0+%25D1%2581%25D0%25BE%25D0%25B3%25D0%25BB%25D0%25B0%25D1%2581%25D0%25B8%25D1%258F.png" width="486" /></a></div><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Отмечу что
я ожидал не совсем такой ответ – более мягкую <u>возможность</u> использования согласия
от РКН на переходный период, а получил ответ о необходимости строгого
соответствия форме РКН уже сейчас. Спорно. Но в любом случае уже осталось мало
времени до вступления в силу приказа Роскомнадзора и надо успевать оперативно
внедрять новые согласия на публикацию. <o:p></o:p></span><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">В прошлом месяце
у нас с Ксенией Шудровой был </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">mini</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">межблогерский
вебинар по теме новый согласий на публикацию ПДн, обсудили большое количество
актуальных кейсов, если кто-то не видел, то рекомендую пересмотреть. <span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></b><b>https://www.youtube.com/watch?v=81NjMLfQhKg</b></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b><br /></b></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></b></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-64602967609284411562021-04-26T06:17:00.003-07:002021-04-26T06:20:06.199-07:00Лучшие практики по жизненному циклу безопасности ПО от PCI <p>PCI Software Security Framework (SSF)
это набор стандартов и сопутствующих им дополнительных материалов. В данный
момент набор включает в себя 2 параллельно работающих стандарта, имеющих общую
основу, а также свои особенности:</p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><b>Secure Software Standard</b> –
требования к функциям и возможностям безопасности ПО<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><b>Secure SLC Standard</b> –
требования к процессам разработки безопасного ПО<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtf4-_IbFYi0yaeXroW7CyRTIfe1opAEbxsblXHrsWxLqXeBsrjz7uif0qXcl4CzuAEME3RZLRTHs7vvBcQLLnenPNLhsD6mss4GEM5g9nNo5s3Ec3JgPR9AHHvCwX7UnF7wUuPa4bbic/s1073/framework.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="725" data-original-width="1073" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtf4-_IbFYi0yaeXroW7CyRTIfe1opAEbxsblXHrsWxLqXeBsrjz7uif0qXcl4CzuAEME3RZLRTHs7vvBcQLLnenPNLhsD6mss4GEM5g9nNo5s3Ec3JgPR9AHHvCwX7UnF7wUuPa4bbic/s320/framework.png" width="320" /></a></div>Последний
стандарт обновился совсем недавно, поэтому давайте взглянем на него
поподробнее:<p></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">как и во многих других лучших практиках,
декларируется объективный риск-ориентированный подход при выборе мер защиты и
частоты их выполнения<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">требования разделены на 4 большие группы:<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">управление безопасностью<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">безопасная разработка ПО<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">управление ПО и данными<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">безопасность взаимодействия<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">каждое требование включает следующие
компоненты:<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">задачи (Control Objectives) – результаты
которые должны быть достигнуты<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">оценка (Test Requirements) – способы которые
используются для оценки выполнения требований (Exemine, Observe, Interview)<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">рекомендации (Guidance) – дополнительная
информация по реализации и лучшие практики<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">пример требования<o:p></o:p></span></p><p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjN_IFrfPIj1i6oG2_IU9ze2Wl1ji1IhgJIepjS0leBq10UAZetXC0_2NJwOycV_2l6mPFGzTDicxEa-TWBB3Lm-yhp8pgifJtq-CmjQszTEK_DbL3Zt0PGLuyKc4gp0IRz3d45TiZa4mk/s1274/example.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="741" data-original-width="1274" height="372" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjN_IFrfPIj1i6oG2_IU9ze2Wl1ji1IhgJIepjS0leBq10UAZetXC0_2NJwOycV_2l6mPFGzTDicxEa-TWBB3Lm-yhp8pgifJtq-CmjQszTEK_DbL3Zt0PGLuyKc4gp0IRz3d45TiZa4mk/w640-h372/example.png" width="640" /></a></div><p></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">пример листа самооценки/оценки<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPSlI1JpIAzKdCvBnSXLLvH3CTfG35pxYXxfopTkLANsF1IAeh_uOaGYtSb5o2dcMTq6TJsYy9nuDTSUI45QbUb2kpvIL2Q5zuvuc-rezWX-DEb7ksjxOaoltn2Y9OgBiXkT5Y_bJaAk0/s1089/example2.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="717" data-original-width="1089" height="422" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPSlI1JpIAzKdCvBnSXLLvH3CTfG35pxYXxfopTkLANsF1IAeh_uOaGYtSb5o2dcMTq6TJsYy9nuDTSUI45QbUb2kpvIL2Q5zuvuc-rezWX-DEb7ksjxOaoltn2Y9OgBiXkT5Y_bJaAk0/w640-h422/example2.png" width="640" /></a></div><br /><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span><p></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">А давайте
сопоставим PCI Secure SLC Standard с главным
стандартом по разработке безопасного ПО в РФ ГОСТ Р 56939-2016 (<a href="https://sborisov.blogspot.com/2016/08/blog-post_8.html">обзор на который я делал ранее</a>). <o:p></o:p></p>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRiVSNN2SdsBu0lB8qJpGNP8LcinvVtMRzfTmZTTIVO4ZMjGL6pEb52ZmdVJrUHLrCWoEt8_Bv0BdZPmBJSbDxVmIH3NqbJ8H3RcULS2WZ2Q4FKu_Ng5WqdB7drWJpIJ5s1_XuPqWnnTA/s2012/%25D0%25A1%25D1%2580%25D0%25B0%25D0%25B2%25D0%25BD%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B5+PCI+SDL+%25D0%25B8+%25D0%2593%25D0%259E%25D0%25A1%25D0%25A2+56939+++++%25D0%25BC%25D0%25B5%25D0%25BD%25D1%258C%25D1%2588%25D0%25B8%25D0%25B9.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="2012" data-original-width="691" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRiVSNN2SdsBu0lB8qJpGNP8LcinvVtMRzfTmZTTIVO4ZMjGL6pEb52ZmdVJrUHLrCWoEt8_Bv0BdZPmBJSbDxVmIH3NqbJ8H3RcULS2WZ2Q4FKu_Ng5WqdB7drWJpIJ5s1_XuPqWnnTA/s16000/%25D0%25A1%25D1%2580%25D0%25B0%25D0%25B2%25D0%25BD%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B5+PCI+SDL+%25D0%25B8+%25D0%2593%25D0%259E%25D0%25A1%25D0%25A2+56939+++++%25D0%25BC%25D0%25B5%25D0%25BD%25D1%258C%25D1%2588%25D0%25B8%25D0%25B9.png" /></a></div><div class="separator" style="clear: both; text-align: center;"><br /></div>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><b>Вывод</b>: как видно
во многих пунктах стандарты совпадают, так что вполне можно совмещать лучшее и
учитывать дополнительные лучшие практики при построении процессов разработки
ПО. <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span lang="EN-US">PS</span>: Интересно ли кому-то сопоставление данных
стандартов с требованиями к разработке ПО из ГОСТ 57580?</p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span lang="" style="text-indent: -18pt;">PPS</span><span style="text-indent: -18pt;">:</span><o:p style="text-indent: -18pt;"> </o:p><span style="text-indent: -18pt;">Чтобы не пропустить другие лучшие практики ИБ подписывайтесь в вашем любимом канале</span></p><div class="MsoNormal"><div class="MsoNormal"><a href="https://www.youtube.com/channel/UC_D3c5B0Duml5jGYEG4t_vw">YOUTUBE</a></div><div class="MsoNormal"><span lang=""><a href="https://twitter.com/sb0risov">TWITTER </a></span></div><div class="MsoNormal"><span lang=""><a href="https://www.facebook.com/cubanib/">FACEBOOK</a></span></div><div class="MsoNormal"><span lang=""><a href="https://vk.com/club154111680">VK</a></span></div><div class="MsoNormal"><span lang=""><a href="https://t.me/sergeyborisov23">Telegram</a></span></div><div><div class="MsoNormal"><a href="https://zen.yandex.ru/id/5cb453af456a7000b3a1c1c1">Дзен</a></div></div></div><p class="MsoListParagraphCxSpLast" style="text-indent: -18pt;"><br style="text-indent: -24px;" /></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p><br /></o:p></span></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-28177688945328006002021-04-19T06:39:00.006-07:002021-09-30T11:21:42.446-07:00Модель угроз безопасности клиента финансовой организации<p> </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjfnRGDrIMu3i7F4kCr0ZgxtclsuDML3hcYIdDQw_srZlZqtWdjqLg-vBgr1Uu42FSG7_MDpMKV_AdOX5ihhZChNoDnbGV5Lm-efZn4QlrZ1R0Vj7FiTmqZonGM9kvi9ak7YwBeondvFKk/s1143/%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="640" data-original-width="1143" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjfnRGDrIMu3i7F4kCr0ZgxtclsuDML3hcYIdDQw_srZlZqtWdjqLg-vBgr1Uu42FSG7_MDpMKV_AdOX5ihhZChNoDnbGV5Lm-efZn4QlrZ1R0Vj7FiTmqZonGM9kvi9ak7YwBeondvFKk/s320/%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE.png" width="320" /></a></div><p></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">Уже более
2 месяцев как вступил в силу методический документ ФСТЭК по моделированию
угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было
опубликовано. Как мы обсуждали на <a href="https://www.youtube.com/watch?v=y4zlLtPQ7E4">межблогерском вебинаре по моделированию угроз ИБ</a>, такой пример мог бы сильно помочь ответственным лицам, обязанным
руководствоваться данной методикой.</p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">Пример
модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась <a href="https://lukatsky.blogspot.com/search/label/%D1%83%D0%B3%D1%80%D0%BE%D0%B7%D1%8B">серия публикаций про проблемы моделирования</a> и примера ещё нет.</p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">В <a href="https://www.ussc.ru/">УЦСБ</a> в
рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику
и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит
о возможности моделирования угроз по новой Методике. <o:p></o:p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">К
последнему межблогерскому вебинару по безопасности клиентов финансовых
организаций я решил проверить насколько адекватной получится
модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и
обновил графическое оформление). Давайте посмотрим на неё подробнее (структура
МУ соответствует приложению 3 к Методике).</p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">2. В
начале определим характеристики типового сегмента ФО и схему этого сегмента. <o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhtQ5_4lwbAFAHLiHEU5A1Y-ZmHHDPcrpem5Xr6u4oDo_97S9GZuAVKRAzo5RnF3-WftKKJ6Vcvi4KG_maTdtYvJivyElvmYUPywJD6Cs4F0faMb7fD-J1Kn6Zv8xFOXA5H7ktfIlDOKQA/s1916/1.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1916" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhtQ5_4lwbAFAHLiHEU5A1Y-ZmHHDPcrpem5Xr6u4oDo_97S9GZuAVKRAzo5RnF3-WftKKJ6Vcvi4KG_maTdtYvJivyElvmYUPywJD6Cs4F0faMb7fD-J1Kn6Zv8xFOXA5H7ktfIlDOKQA/w640-h360/1.png" width="640" /></a></div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNgRix7zBR3oislYMhGGB2q-RRXMKPJMp5kj77WJIOQKE-m40EKmljhlcSocNXDfBhiah63p24igHeBSHRuhUGYa5pzyy7DSAsQCY6bnacEhQ3hXTwy42QRU7gDEz9dpYOvA4QxlzdAkM/s1916/2.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1076" data-original-width="1916" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNgRix7zBR3oislYMhGGB2q-RRXMKPJMp5kj77WJIOQKE-m40EKmljhlcSocNXDfBhiah63p24igHeBSHRuhUGYa5pzyy7DSAsQCY6bnacEhQ3hXTwy42QRU7gDEz9dpYOvA4QxlzdAkM/w640-h360/2.png" width="640" /></a></div><br /><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Я не стал раздувать
этот раздел, но вам надо дополнить его классом защищенности и описанием
основных процессов взаимодействия с ФО.<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">3. В следующем
разделе основным негативным последствием определено хищение денежных средств.
Другие виды последствий также могут быть, но как правило они несут на несколько
порядков меньший ущерб… <span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"></span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEir1BESOSiByzc1rDNHGNZruKhEDY5G-bPKEroLl1r8KGXRde09oPrqZtV319sVKPXM46hOUdYFyi8yjHJLghGA5T8JdlxFh_45uxIpznFaHGVt0d-3nHuXtGEuuyQlQU-56dMbm9YMs6o/s1920/3.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1074" data-original-width="1920" height="358" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEir1BESOSiByzc1rDNHGNZruKhEDY5G-bPKEroLl1r8KGXRde09oPrqZtV319sVKPXM46hOUdYFyi8yjHJLghGA5T8JdlxFh_45uxIpznFaHGVt0d-3nHuXtGEuuyQlQU-56dMbm9YMs6o/w640-h358/3.png" width="640" /></a></div><p></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">4. Далее
определяем объекты воздействия, интерфейсы доступа и возможные виды воздействия
на них. Типовые примеры объектов, интерфейсов и видов воздействий приводятся в
Методике, но состав объектов я немного адаптировал к нашему типовому сегменту<o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgk2rfPDm_QHX42W3ibHwRpLYlvReecpZccEOpZivs0Mem7Q_qTJFe8FjbJB7-Imvcu5zyxEzo7Eu0vDI_x-qKRoXZRfikK0KwIgyefWHSuic89KipG3vsb7dw7gTC4hNfG_If0ytRAm48/s1918/4.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1078" data-original-width="1918" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgk2rfPDm_QHX42W3ibHwRpLYlvReecpZccEOpZivs0Mem7Q_qTJFe8FjbJB7-Imvcu5zyxEzo7Eu0vDI_x-qKRoXZRfikK0KwIgyefWHSuic89KipG3vsb7dw7gTC4hNfG_If0ytRAm48/w640-h360/4.png" width="640" /></a></div><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">5. Далее
мы определяем актуальные цели нарушителей (примеры целей берем в Методике), по цель+возможные
негативные последствия определяем вид нарушителя, а по виду нарушителя его
категорию и возможности. <span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"></span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgak2_RYNwlGaAcip5Hto0eY1VkjuiVobLlldveMr5LSONTqcPpSOUm8N6dVoipGe0pVhhyv-S-9ThiPkXxOkbiIkm_pvse5gSXkyqsvP1grRNoMRjJPn6NUamOjXDVgowvS_I-p0elnEw/s1920/5.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1078" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgak2_RYNwlGaAcip5Hto0eY1VkjuiVobLlldveMr5LSONTqcPpSOUm8N6dVoipGe0pVhhyv-S-9ThiPkXxOkbiIkm_pvse5gSXkyqsvP1grRNoMRjJPn6NUamOjXDVgowvS_I-p0elnEw/w640-h360/5.png" width="640" /></a></div><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">6. Исходя
из объектов воздействия и доступных интерфейсов, определяем для каждого вида
нарушителя актуальные способы реализации угроз (примеры способов берем из Методики
+ дополняем ещё несколькими способами)<o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj6gCdinuTTf-fpplAu2cyBcaE-8UqFEz6zE0HsBnYAvlaNLvmO3Dpz7UOpYOq3Y2fPvTBYWkvwYopwKsGgoTMdV2dMeMM-NLcXsEvBZeni2zogtkYW9X9kDGEmGvfwQhD1oi9wu_JOqAs/s1916/6.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1078" data-original-width="1916" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj6gCdinuTTf-fpplAu2cyBcaE-8UqFEz6zE0HsBnYAvlaNLvmO3Dpz7UOpYOq3Y2fPvTBYWkvwYopwKsGgoTMdV2dMeMM-NLcXsEvBZeni2zogtkYW9X9kDGEmGvfwQhD1oi9wu_JOqAs/w640-h360/6.png" width="640" /></a></div><br /><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">7.1 Из
общего состава техник и тактик, приведенных в Методике, исключаем те, которые
не связаны с используемыми у нас технологиями, не применимы к нашим процессам (например,
связанные с АСУ ТП, так как у нас клиент ФО), не приводящие к ущербу или недоступные актуальным нарушителям. Все актуальные сценарии должны быть
подмножествами их этого ограниченного набора тактик<o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjiotaAkexlVM-L7YRY09Eu2XPBQV63WyZG0BNv0xINDAWRwc-ahY-GOT9pV3ykWBh35wbwf39HKnMeis8xcTKJnueIx31Vyz2rB0IcnzXmY6gY88gF3_AmSQX2sj6hShFZSi209amAQTs/s1920/7.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjiotaAkexlVM-L7YRY09Eu2XPBQV63WyZG0BNv0xINDAWRwc-ahY-GOT9pV3ykWBh35wbwf39HKnMeis8xcTKJnueIx31Vyz2rB0IcnzXmY6gY88gF3_AmSQX2sj6hShFZSi209amAQTs/w640-h640/7.png" width="640" /></a></div>7.2 Также
опционально можно посмотреть в <span lang="EN-US">MITRE</span><span lang="EN-US">
</span><span lang="EN-US">ATT</span>&<span lang="EN-US">CK</span><span lang="EN-US"> </span>техники которые чаще всего применяют группы
нарушителей, атакующие клиентов ФО<p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2DmCdYyE376AH0dWfxKnlBZJutvXAmsrc1BBJt2uRdIxvyhDq3n76wgk-eDS4EvTLl42s5guQ82gFNb6GyzU-ROoRcCFWMObAWaRyPaIn-mRCKA7xhZhTO7du-pDaTkuzzMfOMhdZ1UI/s1582/mitre1.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="964" data-original-width="1582" height="390" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2DmCdYyE376AH0dWfxKnlBZJutvXAmsrc1BBJt2uRdIxvyhDq3n76wgk-eDS4EvTLl42s5guQ82gFNb6GyzU-ROoRcCFWMObAWaRyPaIn-mRCKA7xhZhTO7du-pDaTkuzzMfOMhdZ1UI/w640-h390/mitre1.png" width="640" /></a></div><br /><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">И проверить,
какие из этих техник ещё не закрыты применяющимися у вас мерами защиты.</p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"></span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5wY41yIGeU7bJvlcpqzZ3J_WZjkoSmuSjYmnmziPSV314N57e5UjYzPli2yIaUslg04eyJNC-Nl7bozAR5wRwj2OU8diyFsWdpyWsCkwraEsmQHHGvFdU_pZI6kkjsw3cmNjD0Irqeq0/s1842/mitre2.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="943" data-original-width="1842" height="328" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5wY41yIGeU7bJvlcpqzZ3J_WZjkoSmuSjYmnmziPSV314N57e5UjYzPli2yIaUslg04eyJNC-Nl7bozAR5wRwj2OU8diyFsWdpyWsCkwraEsmQHHGvFdU_pZI6kkjsw3cmNjD0Irqeq0/w640-h328/mitre2.png" width="640" /></a></div><p></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">Можно дополнить
этими техниками, перечень из Методики. Подробнее об этом можно посмотреть на
вебинаре или в блоге у Алексей Лукацкого – а если всё-таки непонятно, пишите в
комментариях – выпущу отдельное видео об этом.</p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">7.3 Далее
уже исходя из этих применимых тактик, возможностей нарушителей, объектов
воздействия и их интерфейсов и способов реализации мы определяем актуальные
угрозы (в данном примере угрозы из БДУ объединены в общие группы угроз).<o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhBH0l-ZXyYbHab5KN1RF7ePTKBnn1UBcXKLSdYUEXus_cq-ZJax-GwSDkz-uW8jgFlQDdpSi5hd9E4ZL91B-jPT0UA1BCMZF7ErvSC0t6MqHh7VJHwMfYvviAUccd1jfYECsBOIvIf7Io/s1920/8.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1082" data-original-width="1920" height="360" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhBH0l-ZXyYbHab5KN1RF7ePTKBnn1UBcXKLSdYUEXus_cq-ZJax-GwSDkz-uW8jgFlQDdpSi5hd9E4ZL91B-jPT0UA1BCMZF7ErvSC0t6MqHh7VJHwMfYvviAUccd1jfYECsBOIvIf7Io/w640-h360/8.png" width="640" /></a></div><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">В итоге
как мне, кажется, получилась довольно адекватная модель угроз, которую любой клиент
ФО может применять у себя в организации. <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Также
рекомендую не ограничиваться этим, а посмотреть (пересмотреть) запись вебинара
полностью, подписаться, поставить палец вверх и поделится с коллегами:<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><a href="https://www.youtube.com/watch?v=Fj2jWmwlM-Q">https://www.youtube.com/watch?v=Fj2jWmwlM-Q</a><o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Слайды презентации
и МУ традиционно можно скачать в группах в <a href="https://vk.com/club154111680"><b>VK</b></a> и <a href="https://www.facebook.com/groups/388358171839455"><b>FB</b></a><o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com6tag:blogger.com,1999:blog-7314557066073505547.post-47877611473595737792021-04-01T02:29:00.008-07:002021-04-01T23:55:35.118-07:00Юмор. О профессиональном стандарте «Блогер в сфере информационной безопасности» <p>Как вы,
наверное, слышали недавно госдумой были внесены <a href="https://sozd.duma.gov.ru/bill/1057895-7">изменения в ФЗ «об образовании в РФ»</a> в части регулирования просветительской деятельности.</p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">Сразу же
появилось много вопросов, о том, что блогеры по информационной безопасности
тоже попадают под эти требования и как именно их будут регулировать?</p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Как будто
в ответ на эти вопросы недавно был утвержден и опубликован Профессиональный стандарт
«Блогер в сфере информационной безопасности». <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjD_yOg9HPdj4t3Pyr5WUCE3nfhzJFUubS4uM_su71K8dZMpS9GSQQWDebojxw2n_94OLixIjXoTY4U26Q1KUYh7-RVkBDNbD_vnHJ8x8IQibjDS15PvO9fspdRYIfG4cEPeaUvImdFCTQ/s2048/%25D0%25A1%25D1%2582%25D0%25B0%25D0%25BD%25D0%25B4%25D0%25B0%25D1%2580%25D1%2582+%25D0%25B1%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25B5%25D1%2580.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="2048" data-original-width="1517" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjD_yOg9HPdj4t3Pyr5WUCE3nfhzJFUubS4uM_su71K8dZMpS9GSQQWDebojxw2n_94OLixIjXoTY4U26Q1KUYh7-RVkBDNbD_vnHJ8x8IQibjDS15PvO9fspdRYIfG4cEPeaUvImdFCTQ/w296-h400/%25D0%25A1%25D1%2582%25D0%25B0%25D0%25BD%25D0%25B4%25D0%25B0%25D1%2580%25D1%2582+%25D0%25B1%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25B5%25D1%2580.jpg" width="296" /></a></div><b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> <div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgsKTaoRpGMrmsaQoThRg0U2DgsG_lRoz1Nxrm_32GtRUvWtS1CkhJfssyQ3QNRNY9BDZ7R3tRyIS05A0E9VyBWjt-fbIDN-5po_7NR4MYZ5Ukgjl7pVpyqLFrxwtqmDZMfHIz3y2-HTTI/s2048/%25D0%25A1%25D1%2582%25D0%25B0%25D0%25BD%25D0%25B4%25D0%25B0%25D1%2580%25D1%2582+%25D0%25B1%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25B5%25D1%2580+2.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="2048" data-original-width="1517" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgsKTaoRpGMrmsaQoThRg0U2DgsG_lRoz1Nxrm_32GtRUvWtS1CkhJfssyQ3QNRNY9BDZ7R3tRyIS05A0E9VyBWjt-fbIDN-5po_7NR4MYZ5Ukgjl7pVpyqLFrxwtqmDZMfHIz3y2-HTTI/w474-h640/%25D0%25A1%25D1%2582%25D0%25B0%25D0%25BD%25D0%25B4%25D0%25B0%25D1%2580%25D1%2582+%25D0%25B1%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25B5%25D1%2580+2.jpg" width="474" /></a></div><br /><br /></o:p></span></b><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">В
стандарте определены виды блогеров, их трудовые функции, необходимое
образование, навыки и умения, а также порядок взаимодействия с органами
контроля. <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">В
частности, определено, что осуществления своей деятельности блогеры должны
будут получить разрешительное заключение от трех профильных органов государственного
контроля – Роскомнадзора, ФСТЭК России и ФСБ России. Для этого нужно будет:<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">пройти обучение в организациях, установленных профильными
органами;<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">подтвердить соответствие утвержденному
стандарту</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">;</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">перенести блог на ресурсы, находящиеся на
территории РФ;<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">заключить с профильными органами соглашения о
взаимодействии и предоставить реквизиты доступа для возможности оперативного устранения
нарушений, связанных с «</span><span style="line-height: 115%; mso-bidi-font-size: 14.0pt;">агитацией, сообщением недостоверных сведений об исторических,
<span style="letter-spacing: -0.05pt;">о национальных, религиозных и культурных
традициях народов, а также для </span>побуждения к действиям, противоречащим
Конституции Российской Федерации</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">»<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Я оцениваю
утверждение данного стандарта как положительный шаг, с связи с полных разбродом
и шатанием происходящим сейчас в российской блогосфере по информационной
безопасности. <span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><o:p> PS: С публикациями о других новостях ИБ вы всегда можете ознакомится <a href="https://sborisov.blogspot.com/search/label/1apr">в моем блоге</a> </o:p><span style="text-indent: -18pt;">и в вашей любимой соцсети</span></p><div class="MsoNormal"><div class="MsoNormal"><a href="https://www.youtube.com/channel/UC_D3c5B0Duml5jGYEG4t_vw">YOUTUBE</a></div><div class="MsoNormal"><span lang=""><a href="https://twitter.com/sb0risov">TWITTER </a></span></div><div class="MsoNormal"><span lang=""><a href="https://www.facebook.com/cubanib/">FACEBOOK</a></span></div><div class="MsoNormal"><span lang=""><a href="https://vk.com/club154111680">VK</a></span></div><div class="MsoNormal"><span lang=""><a href="https://t.me/sergeyborisov23">Telegram</a></span></div><div><div class="MsoNormal"><a href="https://zen.yandex.ru/id/5cb453af456a7000b3a1c1c1">Дзен</a></div></div></div><p class="MsoNormal"></p><p class="MsoListParagraphCxSpLast" style="text-indent: -18pt;"><br style="text-indent: -24px;" /></p><p></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"></span></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com2tag:blogger.com,1999:blog-7314557066073505547.post-54243665190425717992021-03-30T02:43:00.001-07:002021-03-30T07:11:42.155-07:00Разъяснения ФСТЭК по поводу уровней доверия СЗИ для ГИС <p> </p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"></span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYA8yTWnOt43dktfcNbx8C5ZWfqWXfLmUc6ksB2On9Qp1n2Z5b8UxKzrrZlzaOqPVmSWNvsWJOqiPwgWBYu9YBsWt5p1JvooJ0Mc5XMXKVIfFo82wfWEhd_VkNh7sNuGU1L-TBeA0zNQs/" style="margin-left: 1em; margin-right: 1em;"><img alt="" data-original-height="190" data-original-width="320" height="190" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYA8yTWnOt43dktfcNbx8C5ZWfqWXfLmUc6ksB2On9Qp1n2Z5b8UxKzrrZlzaOqPVmSWNvsWJOqiPwgWBYu9YBsWt5p1JvooJ0Mc5XMXKVIfFo82wfWEhd_VkNh7sNuGU1L-TBeA0zNQs/" width="320" /></a></div><br />В конце
прошлого года создалось впечатление что отсутствует даже базовый набор средств
защиты информации подходящий под новые требования к уровням доверия. Даже у российских
производителей традиционно известных только сертифицированными решениями был
провал.<p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">С этим
была связана последняя <a href="https://sborisov.blogspot.com/2020/12/blog-post_24.html">моя статья и аналитика в 2020 году</a>. С момента её публикации
новости о сертификации по УД посыпались как из рога изобилия и острота
проблемы спала. <o:p></o:p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">В той статье
я обещал поделиться ответами ФСТЭК по поводу применения новых требований. И
хотя представители ФСТЭК в этом году и так уже публично дали на удивление много
публичных комментариев (<a href="https://www.youtube.com/channel/UC_D3c5B0Duml5jGYEG4t_vw">рекомендую пересмотреть видео записи</a>), но возможно кому-то
будет полезным посмотреть и письменные ответы органа гос. контроля на мои
вопросы: <o:p></o:p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><i style="mso-bidi-font-style: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">“Прошу уточнить возможность применения в ГИС
средств защиты информации, имеющих действующий сертификат или техническую
поддержку, но не сертифицированные по уровням доверия:<span style="mso-spacerun: yes;"> </span><o:p></o:p></span></i></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><i style="mso-bidi-font-style: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Можно ли
использовать такие средства в ТЗ на создание/модернизацию или проектирование
создаваемых/модернизируемых систем защиты информации ГИС? <o:p></o:p></span></i></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><i style="mso-bidi-font-style: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Можно ли
продолжать использовать такие ранее приобретенные средства?<o:p></o:p></span></i></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><i style="mso-bidi-font-style: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Можно ли
при расширении ГИС использовать такие средства в целях сохранения
совместимости?<o:p></o:p></span></i></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><i style="mso-bidi-font-style: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">При аттестации ГИС
после 1 января, может ли положительное заключение быть получено при
использовании таких средств?”<o:p></o:p></span></i></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZ6891C_Ml62Wyrs5obuAHgShW1lTfBCN2nEOQWXzhIE4pson2n_KOe5NauwSUXSlkNy3dDy7Vyz45-x-34EqweK2UrHOeJ_ONh5eGA_kpLfGQeVfWWrpXZuam39HBsdU16Kj4tWz00KQ/s1284/%25D0%259E%25D1%2582%25D0%25B2%25D0%25B5%25D1%2582+%25D0%25A4%25D0%25A1%25D0%25A2%25D0%25AD%25D0%259A.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1284" data-original-width="613" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZ6891C_Ml62Wyrs5obuAHgShW1lTfBCN2nEOQWXzhIE4pson2n_KOe5NauwSUXSlkNy3dDy7Vyz45-x-34EqweK2UrHOeJ_ONh5eGA_kpLfGQeVfWWrpXZuam39HBsdU16Kj4tWz00KQ/s16000/%25D0%259E%25D1%2582%25D0%25B2%25D0%25B5%25D1%2582+%25D0%25A4%25D0%25A1%25D0%25A2%25D0%25AD%25D0%259A.jpg" /></a></div><br /><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Таким
образом мы видим: <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Что при изменениях или создании ГИС происходящих
после 1 января 2021 должны уже применяться СЗИ с новыми сертификатами<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">СЗИ установленные до 1 января 2021 (а
соответственно этому те, которые на этот момент уже находились в стадии
создания, поставки, установки и аттестации) могут продолжать применяться при
наличии техподдержки (даты поддержки видно в реестре ФСТЭК и как правило без
техподдержки сертификаты будут отзываться и вообще пропадать из реестра)<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">По мнению ФСТЭК поддержки совместимости разных
версий нет, а если и будет, то производитель должен предоставить возможность
обновится до версии, сертифицированной по уровням доверия<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></b></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-50465726825844676292021-03-18T22:30:00.005-07:002021-03-19T00:32:29.382-07:00Рекомендации Банка России по информирование клиентов кредитных организаций <p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgH4yy97aurG6M6u2puAww3kQw8PXdo1qAweuxiqBnA6W4v5VRLPe1ybelNXAQbvzkSaZ3rD9_KeEhmRhPxNeSiEChjD2LWxZEGjU40b5LkhtQZxc0Z1E9T6PVamlOVYS30nmndFsXJNo0/s1920/%25D0%259B%25D0%25BE%25D0%25B3%25D0%25BE+%25D0%2591%25D0%25B0%25D0%25BD%25D0%25BA+%25D0%25A0%25D0%25BE%25D1%2581%25D1%2581%25D0%25B8%25D0%25B8+%25D1%2581%25D0%25BE%25D0%25B2%25D0%25B5%25D1%2589%25D0%25B0%25D0%25BD%25D0%25B8%25D0%25B5+.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgH4yy97aurG6M6u2puAww3kQw8PXdo1qAweuxiqBnA6W4v5VRLPe1ybelNXAQbvzkSaZ3rD9_KeEhmRhPxNeSiEChjD2LWxZEGjU40b5LkhtQZxc0Z1E9T6PVamlOVYS30nmndFsXJNo0/s320/%25D0%259B%25D0%25BE%25D0%25B3%25D0%25BE+%25D0%2591%25D0%25B0%25D0%25BD%25D0%25BA+%25D0%25A0%25D0%25BE%25D1%2581%25D1%2581%25D0%25B8%25D0%25B8+%25D1%2581%25D0%25BE%25D0%25B2%25D0%25B5%25D1%2589%25D0%25B0%25D0%25BD%25D0%25B8%25D0%25B5+.jpg" width="320" /></a></div> <p></p><p class="MsoNormal" style="text-indent: 35.4pt;">Недавно прошло онлайн совещание кредитных
организаций, АРБ с Банка России по информированию клиентов по вопросам
противодействия мошенничеству. <span style="mso-spacerun: yes;"> </span>Совещание
было посвящено недавним методическим рекомендациям Банка России <a href="https://www.cbr.ru/StaticHtml/File/117596/20210219_3-mr.pdf">3-МР по «усилению кредитными организациями информационной работы с клиентами в целях противодействия несанкционированным операциям»</a> от 19.02.2021<o:p></o:p></p><p class="MsoNormal" style="text-indent: 35.4pt;"><span style="text-indent: 35.4pt;">Обязанность формировать для
клиентов рекомендации по защите информации и доводить до клиентов информацию о
возможных рисках установлена рядом документов:</span></p><p class="MsoNormal" style="text-indent: 35.4pt;"><o:p></o:p></p>
<p class="MsoListParagraphCxSpFirst" style="margin-left: 71.4pt; mso-add-space: auto; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->пунктом <span lang="EN-US" style="mso-ansi-language: EN-US;">7 </span>положения 683-П<o:p></o:p></p>
<p class="MsoListParagraphCxSpLast" style="margin-left: 71.4pt; mso-add-space: auto; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->пунктом 2 положения 684-П<o:p></o:p></p>
<p class="MsoNormal" style="text-indent: 35.4pt;">Задача повышения киберграмотности
населения и координация деятельности в этойсфере поднадзорных организаций установлена
п. 2.2.1.5 Положения о Департаменте информационной безопасности Банка России.<o:p></o:p></p>
<p class="MsoNormal" style="text-indent: 35.4pt;">В свое время финансовые
организации задавали вопросы, о том, что включать в рекомендации, в каком
формате и по каким каналам надо доводить эту информацию до клиентов. Собственно
недавние МР-3 и являются ответом на данный вопрос. <span style="mso-spacerun: yes;"> </span><o:p></o:p></p>
<p class="MsoListParagraphCxSpFirst" style="margin-left: 71.4pt; mso-add-space: auto; mso-list: l1 level1 lfo2; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->рекомендуется использовать такие каналы как: экраны
банкоматов, сайт КО, <span lang="EN-US" style="mso-ansi-language: EN-US;">SMS</span>,
включать в рекламные компании, соцсети, в помещениях КО, при звонке в колл-центр
<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 71.4pt; mso-add-space: auto; mso-list: l1 level1 lfo2; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->проводить информирование регулярно (не реже раза
в 6 месяцев)<o:p></o:p></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 71.4pt; mso-add-space: auto; mso-list: l1 level1 lfo2; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->проводить оценку эффективности своего
информирование таким образом чтобы достичь охвата не менее 80% клиентов<o:p></o:p></p>
<p class="MsoListParagraphCxSpLast" style="margin-left: 71.4pt; mso-add-space: auto; mso-list: l1 level1 lfo2; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]-->актуализировать документы, регламентирующие
информирование клиентов<o:p></o:p></p>
<p class="MsoNormal" style="text-indent: 35.4pt;">Нельзя не отметить что это пока только рекомендации, но они основаны на лучших практиках, отработанных в ряде ведущих банков и доказали свою эффективность. Следование рекомендациям может положительно повлиять на риск-профиль КО для Банка России. Также данные рекомендации также могут использовать некредитные ФО с небольшими адаптациями. </p><p class="MsoNormal" style="text-indent: 35.4pt;">Для более подробной информации
рекомендую ознакомится с самими МР-3 и видео записью докладов и ответов Банка
России (четь позже добавлю таймлайн)<span lang="EN-US" style="mso-ansi-language: EN-US;"><o:p></o:p></span></p>
<p class="MsoNormal" style="text-indent: 35.4pt;"><a href="https://www.youtube.com/watch?v=V6qWZDTkXu4">https://www.youtube.com/watch?v=V6qWZDTkXu4</a><o:p></o:p></p>
<p class="MsoNormal" style="text-indent: 35.4pt;"><o:p> </o:p></p>
<p class="MsoNormal" style="text-indent: 35.4pt;"><o:p> </o:p></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-88199597517685922242021-03-16T01:09:00.005-07:002021-03-16T01:21:48.211-07:00Mind map по моделированию угроз ИБ<p>11 марта
2021 вместе с Ксенией Лебедевой (Шудровой) и Алексеем Лукацким провели вебинар
по моделированию угроз информационной безопасности. Уже прошел почти месяц с момента <a href="https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g">публикации новой методики ФСТЭК России</a>, а никаких обзоров, анализа и обсуждений ещё не было.
Нужно было кому то начинать и мы взяли на себя это.</p><p>Лично я
начинал анализ новой методики с того, что сделал для себя <span lang="EN-US">mind</span><span lang="EN-US"> </span>карту документа – отметил там основные
тезисы, проблемы, направления будущей аналитики. Её же использовал при
подготовке вебинара и пару раз она промелькнула на самом вебинаре. В связи с
большим количеством запросов на её в комментариях – выкладываю эту карту в
картинке тут. А исходники будут в группах в <span lang="EN-US"><a href="https://vk.com/club154111680"><b>VK</b></a></span><span lang="EN-US"> </span>и <span lang="EN-US"><a href="https://www.facebook.com/groups/388358171839455/"><b>FB</b></a></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhryy4ORTXB_CNvZB0dVihP3nxk6yHeTLNflPSrgvZXLW3bjUC6gX1uSY-XiKxQwEDnclgchMkVRjBBmLFq84o-GnXYaRzQtBEKhYUf6IHisdADwDtExW0pW7Et5xuTXNEfZVBcAaRwGJA/s2048/mind+map+%25D0%259C%25D0%25A3.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="2044" data-original-width="2048" height="638" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhryy4ORTXB_CNvZB0dVihP3nxk6yHeTLNflPSrgvZXLW3bjUC6gX1uSY-XiKxQwEDnclgchMkVRjBBmLFq84o-GnXYaRzQtBEKhYUf6IHisdADwDtExW0pW7Et5xuTXNEfZVBcAaRwGJA/w640-h638/mind+map+%25D0%259C%25D0%25A3.jpg" width="640" /></a></div><br /><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span><p></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Основные
мои мысли по поводу новой методики: <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">В методике достаточно много остается на экспертную
оценку, экспертное определение и нужно много придумывать. Соответственно нужно закладывать
большое количество трудозатрат по сравнению с предыдущими вариантами методик. <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Хотя и в новой методике имеется ссылка на БДУ
ФСТЭК, но прямое использование БДУ как раньше стало невозможно. Теперь у нас
есть укрупненные виды воздействий и способы реализации угроз, из комбинации
которых с нужно составлять угрозы. Ожидаю что должна произойти переработка БДУ,
и в первую очередь стоило бы перенести в неё все приложения с примерами и
перечнями из методики и далее вести их в электронном виде. <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">В связи с тем, что практика применения
методики отсутствует и пока не понятно, как её использовать наиболее эффективным
способом, то я не советую всем 100% операторам срочно бежать и переделывать существующие
МУ по новой методике.<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Есть организации, которые будут обязаны
использовать методику – в связи с тем, что решение о создании или модернизации систем
у них принимается после 5 февраля 2021. Остальным я советую пока присмотреться
к техникам и тактикам из методики и </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">MITRE</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">ATT</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">&</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">CK</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">, подумать какие из них закрываются существующими мерами защиты.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18pt; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Но
рекомендую не ограничиваться этим, а посмотреть (пересмотреть) запись вебинара
полностью, подписаться, поставить палец вверх и поделится с коллегами: <o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18pt; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">>>>>>
<a href="https://www.youtube.com/watch?v=y4zlLtPQ7E4">https://www.youtube.com/watch?v=y4zlLtPQ7E4</a>
<<<<<<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 18pt; tab-stops: center 254.25pt right 508.5pt;">PS: Также рекомендую <a href="https://lukatsky.blogspot.com/2021/03/blog-post.html">статью Алексея Лукацкого</a> по итогам вебинара</p><p class="MsoNormal" style="margin-left: 18pt; tab-stops: center 254.25pt right 508.5pt;">PPS: Предварительно анонсирую что планирую преобразование второго своего блога proib.ru из обзора видео, идеи - которая потеряла актуальность, в новый формат для совместной работы и публикации результатов различной аналитики по ИБ совместно с сообществом. Надеюсь что в ближайшее время напишу подробнее</p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-69932106030720569062021-02-26T06:32:00.005-08:002021-02-26T06:32:42.868-08:00Лучшие практики обезличивания персональных данных <p>Вчера
совместно с Ксенией Лебедевой (Шудровой) провели вебинар в новом для нас мини
формате. Если предыдущие межблогерские вебинары стремились по времени к 3
часам, то этот удалось уместить в 1 час.</p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Сделали обзор
законодательства и судебной практики РФ по обезличиванию ПДн. В большинстве
случаев обезличивание ПДн остается добровольным мероприятием оператора ПДн. Но
постепенно появляется все больше случаев, когда обезличивание является
обязанностью:<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">152-ФЗ</span></b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l1 level1 lfo1; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Альтернатива удалению при достижении целей
обработки ПДн<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l1 level1 lfo1; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">При обработке в статистических или иных
исследовательских целях<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l1 level1 lfo1; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">В целях повышения эффективности гос. и
муниципального управления<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l1 level1 lfo1; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">В целях эксперимента по ИИ в Москве<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">123-ФЗ</span></b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l3 level1 lfo2; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">В целях эксперимента по ИИ в Москве<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">44-ФЗ</span></b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l7 level1 lfo3; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Решения врачебной комиссии при закупке
лекарственных препаратов<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">192-ФЗ</span></b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l4 level1 lfo4; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Обезличивание фискальных данных<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">78-ФЗ</span></b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l6 level1 lfo5; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Обезличивание результатов жалоб
Уполномоченному при опубликовании их в сети Интернет<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">168-ФЗ</span></b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l5 level1 lfo6; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Обезличивание ПДн в федеральном регистре
сведений о населении<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Приказ
Минпромторга России от 27.06.2019 N 2296</span></b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l0 level1 lfo7; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Обезличивание при обработке в ГИС Честный Знак<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Приказ
Минздрава России от 14.06.2018 N 341н</span></b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l2 level1 lfo8; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Обезличивание при обработке в ЕГИСЗ<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">ГОСТ
57580.1</span></b><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l8 level1 lfo9; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Запрет обработки защищаемой информации в сегментах
разработки и тестирования <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Далее
рассмотрели лучшие практики обезличивания (там это называется </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Pseudonymisation</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">) из Евросоюза:<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l8 level1 lfo9; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span lang="EN-US" style="font-family: "Arial",sans-serif; mso-ansi-language: EN-US; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><a href="https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices"><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Pseudonymisation
techniques and best practices </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">от</span></a><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><a href="https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices"> ENISA</a><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l8 level1 lfo9; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><span lang="EN-US" style="font-family: "Arial",sans-serif; mso-ansi-language: EN-US; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><a href="https://www.enisa.europa.eu/publications/data-pseudonymisation-advanced-techniques-and-use-cases"><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Data
Pseudonymisation: Advanced Techniques and Use Cases </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">от</span></a><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><a href="https://www.enisa.europa.eu/publications/data-pseudonymisation-advanced-techniques-and-use-cases"> ENISA</a><o:p></o:p></span></p>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTuQXscnzzwj_tAayE4Y0vBKFRqW-yyZQnzciSUqqBQC0UWHCao0UoL3H3jxlMlnw5Efp0KpAIH3GCgYYwO3fGbd2Z0ngbJ-AXtpO_A3DmaOLWdT_H5LvZUWQPiJ7c_Kf_2iGpdMUgsrU/s1423/%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="757" data-original-width="1423" height="340" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTuQXscnzzwj_tAayE4Y0vBKFRqW-yyZQnzciSUqqBQC0UWHCao0UoL3H3jxlMlnw5Efp0KpAIH3GCgYYwO3fGbd2Z0ngbJ-AXtpO_A3DmaOLWdT_H5LvZUWQPiJ7c_Kf_2iGpdMUgsrU/w640-h340/%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE3.png" width="640" /></a></div>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Основными выводами
которых являются</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">:<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l8 level1 lfo9; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Pseudonymization</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">должен
заниматься каждый оператор<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l8 level1 lfo9; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Нет одного лучшего способа<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l8 level1 lfo9; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Нужно исходить из оценки рисков и целей<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l8 level1 lfo9; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Для сложных масштабных задач есть продвинутые
техники, посредники обезличивания и т.п.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left: 36.0pt; mso-list: l8 level1 lfo9; tab-stops: list 36.0pt center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">•<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">По проектам национального уровня – собирать
рабочие группы, проводить исследования<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">Предлагаю
вам самостоятельно ознакомится с записью вебинара, а если будет интересным то и
с самими лучшими практиками <a href="https://www.youtube.com/watch?v=tGXqefi1iNI">https://www.youtube.com/watch?v=tGXqefi1iNI</a><o:p></o:p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com1tag:blogger.com,1999:blog-7314557066073505547.post-79111872512521539512021-02-17T03:43:00.001-08:002021-02-17T03:43:18.064-08:00Новые методические документы ФСТЭК России <p> Вчера на
сайте ФСТЭК России были опубликованы 2 методических документа:</p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l1 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><a href="https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/338-proekty">Рекомендации по оценке показателей критериевэкономической значимости объектов критической информационной инфраструктурыРоссийской Федерации</a><o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l1 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><a href="https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g">Методика моделирования угроз безопасностиинформации</a><o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><br /></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">Обзор первого
методического документа я сделал в формате короткометражного видео. Рекомендую
ознакомится:</p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><a href="https://youtu.be/CTRp5GF4uRQ">https://youtu.be/CTRp5GF4uRQ</a><o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">Обзор проекта
методики моделирования угроз <a href="https://sborisov.blogspot.com/2020/04/blog-post_14.html">я делал ранее</a>, но как я не старался сделать это в
максимально обобщенном виде, всё равно изменения итоговой методики получились
значительные – значит обзор надо будет переделывать. Но этот подробный разбор
будет чуть позже. <o:p></o:p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">А пока отмечу
что: <o:p></o:p></span></p>
<p class="MsoListParagraph" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">поменялся рекомендованный порядок этапов
моделирования: <o:p></o:p></span></p>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgrDnW28jvGRaKyClEZf7Sylxh0bZTy6tuSC9nGEbLUO98k0qvqcm6C_5_hJ2qt0brMoyZBnFEn_C54d4f-7be9qFQvY6gCTXdATCPTQ5gYcWFW7T9xgA2BHnt3ZhlTL4OiVTuqn3YHVtk/s2048/%25D0%25BF%25D0%25BE%25D1%2580%25D1%258F%25D0%25B4%25D0%25BE%25D0%25BA.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="2048" data-original-width="1625" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgrDnW28jvGRaKyClEZf7Sylxh0bZTy6tuSC9nGEbLUO98k0qvqcm6C_5_hJ2qt0brMoyZBnFEn_C54d4f-7be9qFQvY6gCTXdATCPTQ5gYcWFW7T9xgA2BHnt3ZhlTL4OiVTuqn3YHVtk/w509-h640/%25D0%25BF%25D0%25BE%25D1%2580%25D1%258F%25D0%25B4%25D0%25BE%25D0%25BA.jpg" width="509" /></a></div>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><v:shapetype coordsize="21600,21600" filled="f" id="_x0000_t75" o:preferrelative="t" o:spt="75" path="m@4@5l@4@11@9@11@9@5xe" stroked="f">
<v:stroke joinstyle="miter">
<v:formulas>
<v:f eqn="if lineDrawn pixelLineWidth 0">
<v:f eqn="sum @0 1 0">
<v:f eqn="sum 0 0 @1">
<v:f eqn="prod @2 1 2">
<v:f eqn="prod @3 21600 pixelWidth">
<v:f eqn="prod @3 21600 pixelHeight">
<v:f eqn="sum @0 0 1">
<v:f eqn="prod @6 1 2">
<v:f eqn="prod @7 21600 pixelWidth">
<v:f eqn="sum @8 21600 0">
<v:f eqn="prod @7 21600 pixelHeight">
<v:f eqn="sum @10 21600 0">
</v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:f></v:formulas>
<v:path gradientshapeok="t" o:connecttype="rect" o:extrusionok="f">
<o:lock aspectratio="t" v:ext="edit">
</o:lock></v:path></v:stroke></v:shapetype><v:shape id="_x0000_i1025" o:ole="" style="height: 575.4pt; width: 456.6pt;" type="#_x0000_t75">
<v:imagedata o:title="" src="file:///C:/Users/sborisov/AppData/Local/Temp/msohtmlclip1/01/clip_image001.emz">
</v:imagedata></v:shape><!--[if gte mso 9]><xml>
<o:OLEObject Type="Embed" ProgID="Visio.Drawing.15" ShapeID="_x0000_i1025"
DrawAspect="Content" ObjectID="_1675077711">
</o:OLEObject>
</xml><![endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">теперь в методике отсутствуют формулы, но
таблиц стало побольше<o:p></o:p></span></p><p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">самое сложное – определение сценариев угроз всё
равно, по сути, остается на усмотрение эксперта. А в качестве примера сценария
теперь приводится уже такая визуализация<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><v:shape id="_x0000_i1026" o:ole="" style="height: 231pt; width: 516.6pt;" type="#_x0000_t75">
<v:imagedata o:title="" src="file:///C:/Users/sborisov/AppData/Local/Temp/msohtmlclip1/01/clip_image002.emz">
</v:imagedata></v:shape><!--[if gte mso 9]><xml>
<o:OLEObject Type="Embed" ProgID="Visio.Drawing.15" ShapeID="_x0000_i1026"
DrawAspect="Content" ObjectID="_1675077712">
</o:OLEObject>
</xml><![endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-spacerun: yes;"> </span></span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLK22a-yPdVF5UIRvNdY_jVM3hMG4lajpNacO05n-jOwROP-ZvqFMlk18355417kIGpfAV45zg4xMnZ4ys1VhY7S3kS1_BIaATj_Hngko_iHZiTIAv13MHTtLU6PdaSWYOxXjDNOEMwrE/s2628/%25D1%2581%25D1%2586%25D0%25B5%25D0%25BD%25D0%25B0%25D1%2580%25D0%25B8%25D0%25B9.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1197" data-original-width="2628" height="292" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLK22a-yPdVF5UIRvNdY_jVM3hMG4lajpNacO05n-jOwROP-ZvqFMlk18355417kIGpfAV45zg4xMnZ4ys1VhY7S3kS1_BIaATj_Hngko_iHZiTIAv13MHTtLU6PdaSWYOxXjDNOEMwrE/w640-h292/%25D1%2581%25D1%2586%25D0%25B5%25D0%25BD%25D0%25B0%25D1%2580%25D0%25B8%25D0%25B9.jpg" width="640" /></a></div><br /><o:p></o:p><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> На самом деле изменений много и позднее мы разберем их детально ... </o:p></span></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com1tag:blogger.com,1999:blog-7314557066073505547.post-58965468465798348192021-02-08T23:20:00.001-08:002021-02-08T23:20:09.480-08:00Обсуждение изменений законодательства о персональных данных на недавних мероприятиях<p> На
несколько недель после публикации изменений в 152-ФЗ внесенных 519-ФЗ
экспертное сообщество замерло, не было видно аналитики, публикаций экспертов…</p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Наконец 28
января 2021 сезон комментариев открыл Роскомнадзор на своем дне открытых
дверей. Отдельно прокомментировали изменения законодательства. <o:p></o:p></span></p>
<iframe frameborder="0" height="270" src="https://youtube.com/embed/ZTTAN0u07XI" width="480"></iframe>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">А также
ответили на некоторые вопросы от сообщества, в том числе про распространение
ПДн <o:p></o:p></span></p>
<iframe frameborder="0" height="270" src="https://youtube.com/embed/bErpPKmOKHk" width="480"></iframe>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Делаю основной
вывод</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">:<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">всем операторам надо определится: <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">используют ли они персональные данные из
публичных источников?<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">публикуют ли они данные пользователей?<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="margin-left: 72pt; mso-add-space: auto; mso-list: l0 level2 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">предоставляют ли пользователям самим публиковать
данные о себе?<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">все соцсети, форумы, менеджеры, маркеты,
отзовики, доски почета – видимо да<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">если да, то придется получать отдельное согласие
от субъекта <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">получать напрямую, либо через систему РКН<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">текущие требования к содержимому согласия
опубликованы<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">разработать порядок действий в случае отзыва
согласия<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">4 февраля
прошел интересный онлайн семинар от </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">RPPA</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">. <o:p></o:p></span></p>
<iframe frameborder="0" height="270" src="https://youtube.com/embed/tQzYL_fjOKU" style="background-image: url(https://i.ytimg.com/vi/tQzYL_fjOKU/hqdefault.jpg);" width="480"></iframe>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">В основном
докладчики жаловались на большое количество коллизий с другим законодательством.
Невыполнимость в некоторых сферах. При этом согласились что поменять
законодательство в ближайшее время вряд ли получится и надо вырабатывать какую-то
согласованную позицию </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">RPPA</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">по
оптимальному варианту выполнения, которую надо доносить до РКН. <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Опять же
делаю вывод что надо потихоньку готовится к выполнению новых требований с
учетом того, что:<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l1 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">законодательство не имеет обратной силы,
поэтому видимо по перс. данным, собранным до нового года можно продолжать обрабатывать<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l1 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">на порталы, сайты, приложения с
предварительной авторизацией (корпоративные порталы, отраслевые, закрытые клубы/площадки)
новые требования не распространяются<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">И наконец 5
февраля на Инфофоруме 2021 прошла сессия Финцифра-21 “Киберустойчивость и
конфиденциальность персональных данных в цифровую эпоху” <o:p></o:p></span></p>
<iframe frameborder="0" height="270" src="https://youtube.com/embed/El3DLS3U1UM" width="480"></iframe>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Сошлись на
том, что текущее законодательство или сложившаяся практика правоприменения и
контроля применения не соответствует современному цифровому времени. Высказали много
предложений как можно улучшить и что надо делать. Врядли озвученные идеи можно
сразу взять в работу, но выводы законодателю делать надо. <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Также один
из ключевых выводов участников – тема с ЕБС провальная, не взлетает. Все
участники в минусе.<o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></p><p class="MsoListParagraphCxSpLast" style="text-indent: -18pt;"><span lang="">PPS</span>:<o:p> </o:p>Чтобы не пропустить другие обзоры законодательства и мероприятий ИБ подписывайтесь в вашем любимом канале</p><div class="MsoNormal"><div class="MsoNormal"><span lang=""><a href="https://twitter.com/sb0risov">TWITTER </a></span></div><div class="MsoNormal"><span lang=""><a href="https://www.facebook.com/cubanib/">FACEBOOK</a></span></div><div class="MsoNormal"><span lang=""><a href="https://vk.com/club154111680">VK</a></span></div><div class="MsoNormal"><span lang=""><a href="https://t.me/sergeyborisov23">Telegram</a></span></div><div><div class="MsoNormal"><a href="https://zen.yandex.ru/id/5cb453af456a7000b3a1c1c1">Дзен</a></div></div></div><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"></span></p><p class="MsoListParagraphCxSpLast" style="text-indent: -18pt;"><br style="text-indent: -24px;" /></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-33394878790147235222021-02-01T05:40:00.006-08:002021-02-02T04:40:41.311-08:00Итоги 3-х лет и перспективы безопасности КИИ по 187-ФЗ<p>В прошлый четверг
провел с Валерием Комаровым и Ксенией Лебедевой (Шудровой) одноименный вебинар,
на котором с коллегами подводили итоги, обсуждали проблемные места и возможные
варианты действий. Ниже ссылка на запись вебинара:</p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><a href="https://youtu.be/a_IjTrAzfeI">https://youtu.be/a_IjTrAzfeI</a><o:p></o:p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Также в
этой заметке хочу поделится итогами голосования, которое проводилось среди
участников вебинара и других подписчиков. <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">1.Первая
группа вопросов касалась проработанности законодательства в сфере КИИ на разных
уровнях. </span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">(в распределении справа (голубой и фиолетовый цвет) находятся слушатели положительно оценившие НПА, а слева (синий и красный) отрицательно оценившие НПА)<o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDm_-ckYn8mfsQNm8OhzPQARYoN3NLqHtb1AJ6PqLd0rJHo5LDCV__iRr2DEdUpPdMJtG3ou-dGTdQwKttfwCL6cnMloNSGfsgm4pNZcTBXj3Dkjlwn9HTR-8Va38hXECoRm8kc9LbkCg/s735/npa1.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="381" data-original-width="735" height="333" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDm_-ckYn8mfsQNm8OhzPQARYoN3NLqHtb1AJ6PqLd0rJHo5LDCV__iRr2DEdUpPdMJtG3ou-dGTdQwKttfwCL6cnMloNSGfsgm4pNZcTBXj3Dkjlwn9HTR-8Va38hXECoRm8kc9LbkCg/w640-h333/npa1.png" width="640" /></a></div><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">2. И
интегральная оценка. Как видно, выше всего оценивают документы ФСТЭК. Ниже
всего оценивают проработанность ФЗ о правонарушениях (УК РФ и КоАП РФ)<o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUaVf_fouLgxDI1unwZoui0iDJIllIes8vc1XYpluXUsWPHhR9VdQUUJGvRSCOBRKgsZU7423afboTPidgKF2RwNl3w6p7iVaEaq86zotVvNEPsCXh-xECnJZphK8Iis68GmDnpesMMT4/s618/npa2.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="361" data-original-width="618" height="374" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUaVf_fouLgxDI1unwZoui0iDJIllIes8vc1XYpluXUsWPHhR9VdQUUJGvRSCOBRKgsZU7423afboTPidgKF2RwNl3w6p7iVaEaq86zotVvNEPsCXh-xECnJZphK8Iis68GmDnpesMMT4/w640-h374/npa2.png" width="640" /></a></div><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">3. Далее я
спрашивал, как оценивают знания НПА ответственными лицами и практическое
применение их на практике. Как видно примерно треть работников хорошо знают и применяют
НПА. Около трети ответственных лиц предположительно не знают даже основных НПА.
<span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"></span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbvdcnhZ8Rrj2z8nzCf2hMvIxxL4Eg9LRvzLaQpBpyhZMKcIfgeXLIBIFSNqAXvCn8Dx5F0svLox6L-W10J1mqrJH8SyKWVPaevTqZRbpczNIjBYCs7WVx-RZDSjg05gUVYHIY_MVw4BY/s583/npa3.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="415" data-original-width="583" height="456" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbvdcnhZ8Rrj2z8nzCf2hMvIxxL4Eg9LRvzLaQpBpyhZMKcIfgeXLIBIFSNqAXvCn8Dx5F0svLox6L-W10J1mqrJH8SyKWVPaevTqZRbpczNIjBYCs7WVx-RZDSjg05gUVYHIY_MVw4BY/w640-h456/npa3.png" width="640" /></a></div><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">4. Далее я
попросил оценить на сколько тема КИИ в различных каналах распространения
информации. <o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiiOZqmvhsCvS4kz-zhanz9e2zzDgiwMb9x30W1szoB-2lCklzMKWWmBpT2so_5Wfbd2uU6YYYtCaDmT2-VulY2n3w1c6x5eUTmC339WVrzvb4o1a7vMvFIL8OZmi5QOVI7y4Iu8gGNrQo/s809/smi.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="465" data-original-width="809" height="368" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiiOZqmvhsCvS4kz-zhanz9e2zzDgiwMb9x30W1szoB-2lCklzMKWWmBpT2so_5Wfbd2uU6YYYtCaDmT2-VulY2n3w1c6x5eUTmC339WVrzvb4o1a7vMvFIL8OZmi5QOVI7y4Iu8gGNrQo/w640-h368/smi.png" width="640" /></a></div><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">5. И
интегральная оценка. Как видно, хуже всего оценивают популярность темы КИИ в
СМИ. Лучше всего в чатах и на мероприятиях ИБ. <o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjX6-HmuCivsKH34NwLhue4cZNOF8lefumTM9WZX4dbWto0qSwMmjTSf40SRFG3rnT9MoDV0QGZHMnsLrs6WhugQSkPxE5jSAzEsQttyYvE8HX_I-cHI_vd087LQpCrgIuqfyoi5pDJxOI/s751/smi2.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="361" data-original-width="751" height="308" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjX6-HmuCivsKH34NwLhue4cZNOF8lefumTM9WZX4dbWto0qSwMmjTSf40SRFG3rnT9MoDV0QGZHMnsLrs6WhugQSkPxE5jSAzEsQttyYvE8HX_I-cHI_vd087LQpCrgIuqfyoi5pDJxOI/w640-h308/smi2.png" width="640" /></a></div><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">6. Так как
тема КИИ достаточно хорошо распространялась по всем каналам информации, то следующим
вопросом хотелось оценить насколько тема КИИ была осознана руководством. Как
видно, понимание проблемы на хорошем уровне есть примерно в 2/3 организаций. Но
хорошая поддержка ресурсам обеспечивается примерно в </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">1/5 </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">организаций <span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"></span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgN8A1lNgslaxkH-yYjEN9feX2qfbswbzNrNHco00eL29QsDsXRMYpDaDf1tSy8MpasadEfLCIi_U46r8WYcw0Z6qfdurBDp7OiiqendQ5sQzxqxqPXgZt-FZ4AbrTOkRPLR2gC1jbE2zY/s584/governance.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="414" data-original-width="584" height="454" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgN8A1lNgslaxkH-yYjEN9feX2qfbswbzNrNHco00eL29QsDsXRMYpDaDf1tSy8MpasadEfLCIi_U46r8WYcw0Z6qfdurBDp7OiiqendQ5sQzxqxqPXgZt-FZ4AbrTOkRPLR2gC1jbE2zY/w640-h454/governance.png" width="640" /></a></div><span style="mso-spacerun: yes;"><br /></span><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">7. Далее
нужно было оценить, оказал ли 187-ФЗ положительное или отрицательное
воздействие на существующую систему обеспечения информационной безопасности
предприятия. Как видно, почти половина считает, что никакое или отрицательное
влияние. Остальная же половина проголосовавших оценивает эффект как положительный
<o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjSuzSzuHCxi91A22z_j611Bc0QvDeYujzAVHqLcGK4jIcG8VVMovQcbj_JXq-R4F3Rzr1ouH1N2yioay_MbSPNkKg9lpOawKu-lnD8bcenF9AiYs05k2XTmdB-Wpihe4wMgnK2b1QtVLo/s960/influence.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="315" data-original-width="960" height="210" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjSuzSzuHCxi91A22z_j611Bc0QvDeYujzAVHqLcGK4jIcG8VVMovQcbj_JXq-R4F3Rzr1ouH1N2yioay_MbSPNkKg9lpOawKu-lnD8bcenF9AiYs05k2XTmdB-Wpihe4wMgnK2b1QtVLo/w640-h210/influence.png" width="640" /></a></div><p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">8. И напоследок
надо было оценить влияние 187-ФЗ на рынок ИБ: как видно почти половина считает
что услуги и образовательные программы хорошо удовлетворяют потребностям
субъектов КИИ. <span style="mso-spacerun: yes;"> </span>1</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">/3 </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">довольна выбором технических средств для защиты критической
информационной инфраструктуры.<o:p></o:p></span></p>
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhA4mWjZIcFtjpGX-RNuPg72vnHdFTM44HoG4cJOiPm1HrGvOhOZCGqHeI5dW6xjBIQKBrLydluLe-AwV31TGtKnnmGQ690R9K3kP42bart0BqPD69i5kTJ2lRryR8R2vnU-IAiV7feR9g/s610/market.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="416" data-original-width="610" height="436" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhA4mWjZIcFtjpGX-RNuPg72vnHdFTM44HoG4cJOiPm1HrGvOhOZCGqHeI5dW6xjBIQKBrLydluLe-AwV31TGtKnnmGQ690R9K3kP42bart0BqPD69i5kTJ2lRryR8R2vnU-IAiV7feR9g/w640-h436/market.png" width="640" /></a></div><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><br /></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">PS</span>: Также на вебинаре мы старались ответить на
вопросы слушателей, но на большую часть всётаки ответить не успели и Валерий
Комаров отдельно ответил на них на <a href="https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/mejblogerskii-vebinar-otvety-na-voprosy-601694bfd3c91450c620892b">своем Дзен канале</a>, за что ему большое
спасибо.<o:p></o:p></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><br /></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></b></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-69334452479226019302021-01-12T06:14:00.003-08:002021-01-12T06:15:46.623-08:00Новый классификатор средств ИБ<p> </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuh0hNqMi4HMLNL2b42_UeNbFXz5bek9CSFAmlFE8ndHjMv7riy07J-7lCgaf5qfoJ3OSB51ObOgyCIW5U1q26c-oEdJDRNCHeXeDn6f8GqFmA8cRJO_WbEuGS_VawRJHsfGt2q7Am7J0/s240/%25D0%25BA%25D0%25BB%25D0%25B0%25D1%2581%25D1%2581%25D0%25B8%25D1%2584%25D0%25B8%25D0%25BA%25D0%25B0%25D1%2582%25D0%25BE%25D1%2580+%25D0%25A1%25D0%2597%25D0%2598.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="211" data-original-width="240" height="176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuh0hNqMi4HMLNL2b42_UeNbFXz5bek9CSFAmlFE8ndHjMv7riy07J-7lCgaf5qfoJ3OSB51ObOgyCIW5U1q26c-oEdJDRNCHeXeDn6f8GqFmA8cRJO_WbEuGS_VawRJHsfGt2q7Am7J0/w200-h176/%25D0%25BA%25D0%25BB%25D0%25B0%25D1%2581%25D1%2581%25D0%25B8%25D1%2584%25D0%25B8%25D0%25BA%25D0%25B0%25D1%2582%25D0%25BE%25D1%2580+%25D0%25A1%25D0%2597%25D0%2598.png" width="200" /></a></div><p></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">Не так
давно был утвержден и зарегистрирован приказ Минцифры России <a href="https://digital.gov.ru/uploaded/files/prikaz-486-gv.pdf">“Об утверждении
классификатора программ для электронных вычислительных машин и баз данных”<o:p></o:p></a></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">В отличие
от предыдущего классификатора, в котором Средства обеспечения информационной
безопасности шли отдельным пунктом 02.13, а для систем управления ИБ (<span lang="EN-US">SGRC</span>, <span lang="EN-US">SOAR</span>),
инцидентами (<span lang="EN-US">IPR</span>),
угрозами (<span lang="EN-US">TI</span>) вообще
не было места, в новом классификаторе Средства обеспечения информационной
безопасности получили целый раздел 03:</p>
<table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody><tr style="mso-yfti-firstrow: yes; mso-yfti-irow: 0;">
<td style="background: rgb(255, 192, 0); border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; padding: 0cm 5.4pt;">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt; text-align: center;"><b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Класс<o:p></o:p></span></b></p>
</td>
<td style="background: rgb(255, 192, 0); border-left: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-themecolor: text1; padding: 0cm 5.4pt;">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt; text-align: center;"><b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Описание класса программ для электронных
вычислительных машин и баз данных<o:p></o:p></span></b></p>
</td>
<td style="background: rgb(255, 192, 0); border-left: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-themecolor: text1; padding: 0cm 5.4pt;">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt; text-align: center;"><b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Код<o:p></o:p></span></b></p>
</td>
</tr>
<tr style="mso-yfti-irow: 1;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства
защиты от несанкционированного доступа к информации<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программы, которые должны
предотвращать несанкционированный доступ к информации некриптографическими
методами и обеспечивать: идентификацию и аутентификацию, управление доступом,
целостность, аудит (регистрацию и учет). Включает программы управления
средствами (устройствами) защиты от несанкционированного доступа к информации<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.01<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 2;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства управления событиями
информационной безопасности<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программы, которые должны
обеспечивать выявление и предотвращение кибератак за счет анализа в режиме
реального времени событий (данных) с целью определения потенциальных угроз
безопасности<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.02<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 3;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Межсетевые экраны<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программы, которые должны
осуществлять контроль и фильтрацию проходящих через него сетевых пакетов в
соответствии с заданными правилами<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.03<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 4;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства фильтрации негативного
контента<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программное обеспечение, которое
должно позволять управлять доступом к различным категориям веб-сайтов, для
ограничения определенного нежелательного контента, средства защиты от спама и
нежелательной корреспонденции<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.04<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 5;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства защиты сервисов
онлайн-платежей и дистанционного банковского обслуживания<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программное обеспечение, которое
должно позволять выявлять, анализировать и предотвращать мошенничество<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.05<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 6;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства антивирусной защиты<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программное обеспечение, которое
должно позволять обнаруживать, перехватывать и обезвреживать вредоносное
программное обеспечение как в памяти устройства, так и во входящем/исходящем
трафике<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.06<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 7;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства выявления целевых атак<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программное обеспечение, которое
должно обнаруживать атаки (в том числе DDoS атаки) на конкретную организацию,
страну или индустрию с целью кражи данных, получения контроля над ресурсами
или блокирования их работы; должно противодействовать таким атакам<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.07<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 8;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства гарантированного
уничтожения данных<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программное обеспечение, которое
должно использовать специальные методики многократной перезаписи
определенными паттернами, для минимизации вероятности восстановления
информации с носителей на базе жестких магнитных дисков (HDD). Должно быть
ограниченно применимо к твердотельным накопителям (SSD)<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.08<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 9;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства обнаружения и
предотвращения утечек информации<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программы, которые должны
обнаруживать утечки и предотвращать распространения охраняемой законом
компьютерной информации<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.09<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 10;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства криптографической защиты
информации и электронной подписи<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программы, которые должны
предотвращать несанкционированный доступ к информации криптографическими
методами, а также управлять ключевой информацией, включая ключи электронной
подписи, ключи проверки электронной подписи и ключи шифрования информации;
программное обеспечение, которое предназначено для изготовления сертификатов
открытых ключей и управления ими (аннулирование, приостановление,
возобновление), включая служебные функции (управление списками сертификатов,
подтверждение статусов сертификатов открытых ключей, сервисы доверенного
времени)<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.10<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 11;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства защиты каналов передачи
данных, в том числе криптографическими методами<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программы, которые должны
обеспечивать конфиденциальность информации, передаваемой через общедоступные
каналы связи<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.11<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 12;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства управления доступом к
информационным ресурсам<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Совокупность программных или
программно-аппаратных технических средств безопасности, которые должны
ограничивать и регистрировать доступ к ресурсам информационной системы<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.12<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 13;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства резервного копирования<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программное обеспечение, которое
должно обеспечивать создание копии данных на носителе (жестком диске,
твердотельных накопителях и иных носителях) и которое должно обеспечивать их
восстановление в оригинальном или новом месте в случае их повреждения или
утраты<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.13<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 14;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства обнаружения и/или
предотвращения вторжений (атак)<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Системы, которые должны позволять
обнаруживать вторжения уровня сети, уровня узла<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.14<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 15;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства обнаружения угроз и
расследования сетевых инцидентов<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программное обеспечение, которое
должно выявлять вредоносную активность, присутствие злоумышленников,
нецелевое использование ресурсов, халатность администраторов и должно
позволять расследовать сетевые инциденты информационной безопасности<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.15<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 16;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства администрирования и
управления жизненным циклом ключевых носителей<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Программное обеспечение, которое
должно обеспечивать связь между учетными записями пользователей, средствами
аутентификации, приложениями и регламентами информационной безопасности<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.16<o:p></o:p></span></p>
</td>
</tr>
<tr style="mso-yfti-irow: 17; mso-yfti-lastrow: yes;">
<td style="border-top: none; border: 1pt solid black; mso-border-alt: solid black .5pt; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства автоматизации процессов
информационной безопасности<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;" valign="top">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Средства, которые должны
автоматизировать процессы управления и обеспечения информационной
безопасности, включая менеджмент инцидентов информационной безопасности, учет
и контроль безопасности ИТ-активов, контроль соблюдения требований по
безопасности, моделирование угроз и управление рисками информационной
безопасности, получение и анализ данных об актуальных угрозах с целью
прогнозирования вероятных кибератак и их предотвращения<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid black; border-left: none; border-right: 1pt solid black; border-top: none; mso-border-alt: solid black .5pt; mso-border-bottom-themecolor: text1; mso-border-left-alt: solid black .5pt; mso-border-left-themecolor: text1; mso-border-right-themecolor: text1; mso-border-themecolor: text1; mso-border-top-alt: solid black .5pt; mso-border-top-themecolor: text1; padding: 0cm 5.4pt;">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">03.17<o:p></o:p></span></p>
</td>
</tr>
</tbody></table>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Всем российским
разработчикам нужно будет соответственно этому классифицировать свои решения при
включении в реестр российского ПО. Аналогичные классы ПО нужно будет
использовать в проектной и эксплуатационной документации.<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">С одной
стороны, хорошо, что появился такой свежий, достаточно объемный классификатор
средств ИБ. С другой стороны, он не полностью стыкуется с наименованиями средств
ИБ в иных, более ранних документах, таких как приказы ФСТЭК России 17/21/31/239,
приказ ФСБ России №196, недавние проекты<a href="https://sborisov.blogspot.com/2020/08/blog-post.html"> ГОСТов по мониторингу ИБ и реагированию на инциденты</a>. Например, нет средств анализа<span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">/</span>контроля защищенности.</p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><span style="mso-spacerun: yes;"> </span>Также теперь возникает вопрос, все ли
средства обеспечения ИБ (в том числе </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">SGRC</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">, </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">SOAR</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">и прочие системы управления ИБ) теперь
попадают под требования к сертификации из ПП РФ №1236 (подпункт д) пункта 5)<o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><br /></span></p><p class="MsoListParagraphCxSpLast" style="text-indent: -18pt;">D<span lang="">PPS</span>:<o:p> </o:p>Чтобы не пропустить другие обзоры изменений НПА, стандартов и рекомендаций ИБ подписывайтесь в вашем любимом канале</p><div class="MsoNormal"><div class="MsoNormal"><span lang=""><a href="https://twitter.com/sb0risov">TWITTER </a></span></div><div class="MsoNormal"><span lang=""><a href="https://www.facebook.com/cubanib/">FACEBOOK</a></span></div><div class="MsoNormal"><span lang=""><a href="https://vk.com/club154111680">VK</a></span></div><div class="MsoNormal"><span lang=""><a href="https://t.me/sergeyborisov23">Telegram</a></span></div><div><div class="MsoNormal"><a href="https://zen.yandex.ru/id/5cb453af456a7000b3a1c1c1">Дзен</a></div></div></div><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"></span></p><p class="MsoListParagraphCxSpLast" style="text-indent: -18pt;"><br style="text-indent: -24px;" /></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><b style="mso-bidi-font-weight: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></b></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-9646640863589116322020-12-30T04:40:00.001-08:002020-12-30T04:40:09.520-08:00С наступающим новым годом и видео вебинара!!! <div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj89mU5S_qf2GjvjGL7A8wkbWYEkLDqslcTjlHsfeAoQ3X-3isFeiUcd9WwlOAjPZe0mT1qJ_e0I4cvHof_ymP6iwFC6QKS9tdhLzfe2Vv2WFMe6hPlX7BMb4CVgD9lG2P6GPSywDIe8xc/s2048/%25D0%25BE%25D1%2582%25D0%25BA%25D1%2580%25D1%258B%25D1%2582%25D0%25BA%25D0%25B0_png.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1384" data-original-width="2048" height="177" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj89mU5S_qf2GjvjGL7A8wkbWYEkLDqslcTjlHsfeAoQ3X-3isFeiUcd9WwlOAjPZe0mT1qJ_e0I4cvHof_ymP6iwFC6QKS9tdhLzfe2Vv2WFMe6hPlX7BMb4CVgD9lG2P6GPSywDIe8xc/w262-h177/%25D0%25BE%25D1%2582%25D0%25BA%25D1%2580%25D1%258B%25D1%2582%25D0%25BA%25D0%25B0_png.png" width="262" /></a></div><p>Коллеги, поздравляю
с окончанием 2020-ого года. Год выдался неординарный. Пришлось преодолевать
много трудностей и испытаний, но они принесли бесценный опыт. </p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">В этом
году отменились офлайн мероприятия, зато много раз встречался с вами на
онлайнах: 8 вебинаров УЦСБ и 9 межблогерских вебинаров. Надеюсь, что-то из этого
было полезным, и спасибо за ваши отзывы, но <span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Последний
выпуск межблогерского вебинара получился больше развлекательный и лайтовый, зато
его можно пересмотреть в свободное время на новогодние каникулы. Собралась
отличная ИБ компания и в меню были следующие блюда: <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Антипредставления участников (что о тебе расскажут
коллеги)<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Про плюсы минусы разных регионов, с точки
зрения путешествий, напитков, цен и т.п.<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Про походы, про штрафы, про неотвратимость
наказаний, комплаенс, актуальность ИБ в европе, про инструменты двойного
назначения в открытом доступе<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Про кейс чемпионаты, силу регионов на
чемпионатах и сложность найма в московские компании<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Про аварнес, тестирование пользователей<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Про то зачем вести блог, какая мотивация и
профит, альтруизм, значимость обратной связи<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Ответы на вопросы слушателей (повторить много
раз)<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Экспресс-вопросы конкурса капитанов с
Кейс-чемпионата<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Конкурс на ИБ ассоциации с новогодними
открытками<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Конкурс угадай ИБ блогера<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Показательный разбор одного кейса из Кейс
чемпионата<o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Рекомендую
посмотреть и дать обратную связь:<o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4oDaOZ7iPZyseZTCPFv2-Mltk-bopZrrJBci_6CGXAm9SVS_TIdGlzYa_Hqs7xn43ZxCsen2qiPC1dPeDA67rufqUvZC5aB6derDk_WWv1yEzAL2QPwC2N8_YgbHqhzY2Qx03v8T5iGA/s1228/%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img alt="https://www.youtube.com/watch?v=x7z_FAbH_x4" border="0" data-original-height="691" data-original-width="1228" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4oDaOZ7iPZyseZTCPFv2-Mltk-bopZrrJBci_6CGXAm9SVS_TIdGlzYa_Hqs7xn43ZxCsen2qiPC1dPeDA67rufqUvZC5aB6derDk_WWv1yEzAL2QPwC2N8_YgbHqhzY2Qx03v8T5iGA/w320-h180/%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE.png" title="https://www.youtube.com/watch?v=x7z_FAbH_x4" width="320" /></a></div><p></p>
<p class="MsoNormal" style="text-align: center;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> <a href="https://www.youtube.com/watch?v=x7z_FAbH_x4">https://www.youtube.com/watch?v=x7z_FAbH_x4</a><o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Если на
праздники найдется свободный час, то выйду в эфир с небольшой геймификацией по
ИБ – подписывайтесь, чтобы не пропустить. <o:p></o:p></span></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">Всем добра, безопасности и удачи в новом 2021 году. </p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com0tag:blogger.com,1999:blog-7314557066073505547.post-38725592361896736692020-12-24T03:18:00.008-08:002021-01-10T22:04:03.642-08:00(UPDATE 2) Готовы ли ГИС к уровням доверия СЗИ?<p> </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_pwpkuReL5RXNijzqwA7zbGtGwsdgixewmBdLRcBIQEGJn5n2YBqtOmhbmUSMkV0HPGNMrhMHEPY9j4DoqJF44AZWhkZ6POOQpRIMMtfBRM5IB42Y6miC_IMrt89Em9mhSJHasAplBUU/s582/%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="346" data-original-width="582" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_pwpkuReL5RXNijzqwA7zbGtGwsdgixewmBdLRcBIQEGJn5n2YBqtOmhbmUSMkV0HPGNMrhMHEPY9j4DoqJF44AZWhkZ6POOQpRIMMtfBRM5IB42Y6miC_IMrt89Em9mhSJHasAplBUU/s320/%25D0%25BB%25D0%25BE%25D0%25B3%25D0%25BE.jpg" width="320" /></a></div><div class="separator" style="clear: both; text-align: center;"><br /></div><p></p><p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;">С 1 января
2021 г. вступает в силу последний пункт <a href="https://www.youtube.com/watch?v=VSlZ7tKOOkU">изменений в приказ ФСТЭК России от 11февраля 2013 г. N 17</a>, посвященный уровням доверия в средствах защиты информации
государственных информационных систем: <o:p></o:p></p>
<p class="MsoNormal" style="margin-left: 35.4pt; tab-stops: center 254.25pt right 508.5pt;"><i style="mso-bidi-font-style: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">“В пункте 26 абзац пятый изложить в следующей
редакции:<o:p></o:p></span></i></p>
<p class="MsoNormal" style="margin-left: 35.4pt; tab-stops: center 254.25pt right 508.5pt;"><i style="mso-bidi-font-style: normal;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">"В информационных системах 1 класса
защищенности применяются сертифицированные средства защиты информации,
соответствующие 4 или более высокому уровню доверия. В информационных системах
2 класса защищенности применяются сертифицированные средства защиты информации,
соответствующие 5 или более высокому уровню доверия. В информационных системах
3 класса защищенности применяются сертифицированные средства защиты информации,
соответствующие 6 или более высокому уровню доверия.";”<o:p></o:p></span></i></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Данный
пункт уже откладывался на полгода, из-за того, что отрасль была не готова, но
сейчас видимо всё-таки будет вступать в силу. <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Сейчас
интересны 2 вопроса</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">: <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l1 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Насколько готовы производители СЗИ,
традиционно используемых при создании систем защиты информации ГИС?<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l1 level1 lfo1; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Что делать с имеющимися на данный момент СЗИ без
уровней доверия? <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">По первому
пункту привожу краткий обзор наличия в сертификатах СЗИ соответствия уровням
доверия (выборка на мой субъективный взгляд): <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Касперский – весь по 4 до 2 уровня доверия (кроме
</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">KICS</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">for</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">networks</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> и </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">K</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Endpoint</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">для </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Mac</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">)<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Dr</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">. </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Web</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">– <span style="mso-spacerun: yes;"> </span>по 2 УД<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">КБ </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Secret</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Net</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Studio</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">– нет УД, <span style="mso-spacerun: yes;"> </span></span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Secret</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Net</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">LSP</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">– по УД 4, Соболь – нет УД, </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">vGate</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">– 4 УД<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Dallas</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Lock</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> 8 – УД 4 (только для версии -К), -
нет УД (для версии -С, для </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Linux</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">и
для виртуализации)<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">eToken</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> 10 – 6 УД,
</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">ruToken</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">– 4 УД, </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">JaCarta</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">– нет УД<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">КБ Континент СОВ – 3 УД, АПКШ – 3 УД, </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">WAF</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">и </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">TLS</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">– нет УД, АП – нет УД<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">ViPNet</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">IDS</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">– 3 УД, </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">TIAS</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">– 4 УД, </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Coordinator</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">HW</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">–
4УД, </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">xFirewall</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">– нет УД, на
</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Client</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">– сертификат
ФСТЭК вообще отсутствует<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">С-терра – УД 4<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span lang="EN-US" style="font-family: Symbol; mso-ansi-language: EN-US; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Check Point – </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">нет</span><span style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">УД</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">, FortiGate – </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">нет</span><span style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"> </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">УД</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">, <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">С</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">isco</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">ASA</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">– отдельные экземпляры по 6 УД, остальные
и серии – нет УД, </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Cisco</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">IE</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">-3000 по УД 6<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span lang="EN-US" style="font-family: Symbol; mso-ansi-language: EN-US; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">PT AF, AI,
NAD, ISIM, SIEM, Xspider, MP – 4 </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">УД</span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">RedCheck</span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">
</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">–
4 УД, <span style="mso-spacerun: yes;"> </span>Сканер-ВС – 4 УД <o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo2; tab-stops: center 254.25pt right 508.5pt; text-indent: -18pt;"><!--[if !supportLists]--><span style="font-family: Symbol; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Из серт. Операционных систем – УД есть только
у </span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Astra</span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">, Альт, Ред ОС и Аврора <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Если
оценивать в среднем – то готовность ГИС к уровням доверия <b style="mso-bidi-font-weight: normal;">63%.</b><o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Давайте
теперь подумаем, что делать операторам, у которых оказались СЗИ без уровней
доверия в составе системы защиты? Хотелось бы, конечно, получить разъяснения от
ФСТЭК России – и такой вопрос я им отправил, буду держать вас в курсе. <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Сейчас
хотелось бы придерживаться позиции что новый “закон” не имеет обратной силы и системы,
которые уже находятся в эксплуатации могут продолжать использовать СЗИ до
окончания срока поддержки / исключения из реестра ФСТЭК. Также при расширении
системы (типовые сегменты) без ТЗ на создание/модернизацию, думаю, что будет уместна закупка СЗИ без УД (продление, тиражирование). <o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">С другой
стороны, если производится проектирование создания новых/модернизация
существующих ГИС или новая аттестация, то необходимо будет уже соответствовать
действующим требованиям – то есть закладывать СЗИ с УД. Тем самым <b>выбор СЗИ сократится, а защиту удаленного доступа (VPN, TLS)</b></span><span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><b> </b></span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><b>невозможно будет реализовать</b>. <span style="mso-spacerun: yes;"> </span><span style="mso-spacerun: yes;"> </span><span style="mso-spacerun: yes;"> </span></span><span lang="EN-US" style="mso-ansi-language: EN-US; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p></o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p>
<p class="MsoNormal" style="tab-stops: center 254.25pt right 508.5pt;"><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;"><o:p> </o:p></span></p><div class="blogger-post-footer">Блог Сергея Борисова sborisov.blogspot.com</div>Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.com8