Рупор бумажной безопасности

2021-06-09 10:34:21 Ну что же. Имеем возможное нарушение правил эксплуатации аппарата ИВЛ, повлекшее тяжкие последствия (гибель людей). Посмотрим на квалификацию преступления и действия следствия. "Очаг пожара в реанимации в Областной клинической больнице имени Н. А. Семашко в Рязани находился в аппарате искусственной вентиляции лёгких. По предварительным данным, это оборудование иностранного производства PRUNUS Boaray 5000D, сообщил ТАСС. Как уточнили в правоохранительных органах, первопричина возгорания будет устанавливаться — это могла быть «перегрузка, неисправность, короткое замыкание и даже неправильная эксплуатация ИА REGNUM." Открыть/Комментировать

2021-06-09 08:27:42 #КИИ https://valerykomarov.blogspot.com/2021/06/blog-post_9.html Открыть/Комментировать

2021-06-08 09:38:55 Как топ-менеджеру относиться к ИБ-рискам, кроме подхода "либо случится, либо нет"? — Личный опыт на vc.ru
https://vc.ru/life/134209-kak-top-menedzheru-otnositsya-k-ib-riskam-krome-podhoda-libo-sluchitsya-libo-net Открыть/Комментировать

2021-06-07 17:31:43 #КИИ Дело 33а-7660/2020 Кемерово. Где только 187-ФЗ не появляется.

Указывает, что способ передачи сигнала о срабатывании пожарной сигнализации в подразделения пожарной охраны определен однозначно: в автоматическом режиме «без участия работников объекта и (или) транслирующей этот сигнал организации».

Начальник Главного управления МЧС России по Кемеровской области оспариваемым приказом санкционировал «размещение» с целью использования в подразделениях пожарной охраны Кемеровской области пультового оборудования систем передачи извещений о пожаре, не включенных в номенклатуру специальной техники и материальных средств, в отношении которых МЧС России осуществляет функции государственного заказчика по размещению заказов, заключению, оплате, контролю и учету выполнения государственных контрактов по государственному оборонному заказу.

Размещение в подразделениях пожарной охраны «сертифицированных» «систем передачи извещений о пожаре» это - введение в государственную информационную систему вызова экстренных оперативных служб, которая относится к значимым объектам критической информационной инфраструктуры, технических и программных средств коммерческих структур, взимающих плату за передачу сигналов о пожаре.

Считает, что действия Главного управления МЧС России по Кемеровской области по «размещению» в подразделениях пожарной охраны «сертифицированных» «систем передачи извещений о пожаре» способны повлечь тяжкие последствия в случае возникновения пожара по причине применения подразделениями пожарной охраны оборудования, не соответствующего требованиям безопасности (ст. 238 УК РФ), что является существенным нарушением законных интересов граждан (неопределенного круга лиц), выразившихся в создании им препятствий в получении своевременной помощи в случае возникновения пожара, а также - снижают уровень антитеррористической защищенности на территории Российской Федерации.

Данные действия Главного управления МЧС России по Кемеровской области по целенаправленной организации мероприятий по включению в государственную информационную систему сертифицированных технических устройств и программных средств сторонних организаций, посредством которых такие организации имеют возможность отключать объекты, блокировать сигналы и выводить из строя сети связи специального назначения, по которым осуществляется вызов экстренных оперативных служб (пожарной охраны), образуют объективную сторону состава преступлений, предусмотренных статьями 159.6, 283.1, 274.1 УК РФ. Открыть/Комментировать

2021-06-07 00:13:59 #КИИ https://valerykomarov.blogspot.com/2021/06/blog-post_7.html Открыть/Комментировать

2021-06-06 21:44:45 141-ФЗ вступил в силу. Теперь живем с административной ответственностью за некоторые нарушения требований 187-ФЗ. Открыть/Комментировать

2021-06-03 23:59:11 Однако сам «Росводоканал» и все другие российские компании водоснабжения пока не подпадают под действие 187-ФЗ в полном объеме, хотя соответствующие поправки в закон готовятся. Нужны ли такие поправки, на ваш взгляд?
Действительно, «Росводоканал» и в целом отрасль водоснабжения и водоотведения России пока по формальным признакам не подпадают под действие 187-ФЗ. И мне пока неизвестно о поправках, которые готовятся в этот закон. С точки зрения обычной логики и понимания влияния предприятий водоснабжения и водоотведения на жизнеобеспечение в городах, безусловно, такие поправки были бы обоснованы. Ведь вода и водоотведение – стратегический ресурс города. Это с точки зрения логики. Но есть, как и в любом вопросе, другая сторона медали. В целом отрасль ЖКХ и наша индустрия водоснабжения и водоотведения являются не самыми развитыми, к сожалению. Это во многом связано с длительным недофинансированием отрасли и с ограничением текущей тарифной емкости. Если мы говорим о необходимости распространить требования 187-ФЗ на нашу отрасль, то это повлечет за собой существенные дополнительные затраты. Готовы ли мы эти затраты включать в тариф на водоснабжение-водоотведение? Это большой вопрос. Существующих возможностей тарифа для реализации новых требований в подавляющем количестве случаев не хватит. Как выбрать между модернизацией, например, очистных сооружений для улучшения экологии и вложениями в реализацию требований 187-ФЗ для обеспечения безопасности?
Тут скорее потребуется подход, который будет предусматривать отдельное субсидирование программы развития информационной безопасности в ЖКХ. Либо должны быть предусмотрены изменения в тарифной политике, возможно применение субсидированных тарифов. Сейчас много говорят о цифровой экономике. А когда приходим к практике, зачастую расходы на информационную безопасность в тариф не принимаются или как экономически необоснованные, или вследствие невозможности роста тарифа. Пока на уровне регулирования и на уровне бизнес-правил отрасли этот парадокс не будет разрешен, включение отрасли в сферу действия 187-ФЗ выглядит проблематично. https://safe-surf.ru/specialists/article/5286/665102/ Открыть/Комментировать

2021-06-03 12:16:02 https://fstec.ru/127-lenta-novostej/2232-informatsionnoe-soobshchenie-32 В целях повышения уровня знаний и умений специалистов в области информационной безопасности ФСТЭК России с участием НОУ ДПО "Центр повышения квалификации специалистов по технической защите информации" (г. Воронеж) и ФГБУН "Институт системного программирования им. В.П.Иванникова Российской академии наук" (г. Москва) разработаны программы и организовано проведение курсов повышения квалификации специалистов по анализу программного обеспечения на наличие уязвимостей и недекларированных возможностей и внедрению процедуры разработки безопасного программного обеспечения.

Информацию о курсах повышения квалификации можно посмотреть на сайтах НОУ ДПО "Центр повышения квалификации специалистов по технической защите информации" и ФГБУН "Институт системного программирования им. В.П.Иванникова Российской академии наук".

Учитывая высокую заинтересованность специалистов в получении знаний в данной области ФСТЭК России с участием ФГБУН "Институт системного программирования им. В.П.Иванникова Российской академии наук" подготовили курс видеолекций в соответствии с программой N 31 повышения квалификации специалистов "Техническая защита информации. Инструментальная и технологическая поддержка проведения фаззинг-тестирования программного обеспечения".

Видеолекции посвящены следующим тематикам:

особенности фаззинг-тестирования при проведении сертификационных испытаний;

подходы к фаззинг-тестированию управляемого кода;

основы динамического символьного выполнения. Поиск ошибок при помощи динамического символьного выполнения;

инструментальная и технологическая поддержка проведения фаззинг-тестирования программного обеспечения.

Указанные информационные материалы опубликованы на сайте банка данных угроз безопасности информации ФСТЭК России по адресу https://bdu.fstec.ru/education.

ФСТЭК России выражает благодарность специалистам ФГБУН "Институт системного программирования им. В.П.Иванникова Российской академии наук" и Медиа группы "Авангард" за участие в подготовке видеолекций. Открыть/Комментировать

2021-06-03 00:39:17 #суд https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/oshibki-pri-oformlenii-pravonarushenii-subektov-kii-60b7e83cce205b665f6363fb Открыть/Комментировать

2021-06-02 10:09:02 Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 21.12.2020 № 734 "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации" (Зарегистрирован 01.06.2021 № 63735) http://publication.pravo.gov.ru/Document/View/0001202106010042 Открыть/Комментировать