AKTIV.CONSULTING

⚡️Презентация доклада Анастасии Харыбиной, руководителя AKTIV.CОNSULTING и председатель Ассоциации АБИСС, на тему «Аудит информационной безопасности как инструмент подтверждения уровня надежности электронной подписи» на PKI Форуме 2024. 💬tg_AC

📣Анастасия Харыбина, руководитель AKTIV.CОNSULTING и председатель Ассоциации АБИСС, в рамках сессии «Трансграничное признание иностранной электронной подписи» на PKI Форуме рассказала, как подтвердить надежность электронной подписи с помощью аудита ИБ. Эксперт рассмотрела: • тему независимого аудита в России на примере организаций кредитно-финансовой сферы; • правоприменительную практику и роль регуляторов; • вопросы и место саморегуляции на рынке аудита ИБ; • возможности использования полученного опыта в процессах подтверждения уровня надежности электронной подписи при трансграничном ЭДО. 📎Ниже прикрепляем презентацию доклада для ознакомления. 💬tg_AC

📢Как определить, что является объектом КИИ, когда стоит их обобщать, а когда - разделять? Эксперт AKTIV.CОNSULTING Ольга Копейкина подробно рассмотрит данный вопрос в рамках вебинара Ассоциации АБИСС «Практика построения системы обеспечения ИБ субъектов КИИ», который пройдет 25 сентября в 11:00. ⚡️На мероприятии спикер: • расскажет про типовые вопросы и сложности исполнения требований федерального закона 187-ФЗ; • разберет, когда стоит обобщать объекты КИИ, а когда - разделять; • выделит плюсы и минусы каждого подхода (обобщение или разделение). Также Ольга поделится собственным практическим опытом защиты территориально распределенных объектов, включающих различные АСУ, разных периодов выпуска и ввода в эксплуатацию и даст рекомендации, как сделать это корректно, и что стоит принять во внимание. Участие в вебинаре бесплатное. Необходима предварительная регистрация. 25 сентября, 11:00 Не пропустите! Узнать подробности и зарегистрироваться 💬tg_AC

🗣Недавний выпуск подкаста «Безопасный выход», посвященный теме Bug Bounty, познакомил нас с целым рядом интересных каналов, которые пишут по родственной для нас тематике. Сегодня хотим порекомендовать один из них. 🔐Что-то на пентестерском — канал, где рассказывают про то, как развиваться и обучиться веб и мобильному пентесту легально и бесплатно, а также как находить 0-day уязвимости. А ещё фишки, трюки и истории взлома веб и мобильных приложений с баг-хантинга и проектов. Изучить и подписаться можно по ссылке⬅️

⚡️Сегодня в рамках PKI Форума прошла сессия «Трансграничное признание иностранной электронной подписи», участие в которой приняли представители ФСБ России, Минэкономразвития, отраслевых ассоциаций и организаций ИБ-отрасли. 🆗Одним из экспертов сессии стала Анастасия Харыбина, председатель АБИСС и руководитель AKTIV.CОNSULTING, которая в своём докладе рассказала про инфраструктуру аудита ИБ как одного из инструментов подтверждения уровня надежности электронной подписи. Подробнее об итогах сессии — на видео⤵️

⚡️Список интересных мероприятий на октябрь 🌐 Инфофорум-Прикамье 1-4 октября, Пермь Цель мероприятия — привлечение внимания широкой общественности к проблематике информационной безопасности и защиты информации. 🌐 GIS DAYS 2-4 октября, Санкт-Петербург, Москва На форуме эксперты, регуляторы, бизнес, интеграторы и разработчики обсудят настоящее и будущее ИБ. 🌐 Guardant Day 4 октября, Санкт-Петербург Ежегодная конференция для специалистов в области разработки ПО, на которой обсудят вопросы обеспечения технической защиты, выбора бизнес-модели лицензирования и определения стратегии развития продукта. 🌐 КИБЕРТЕХ 7-8 октября, Москва Ключевая площадка взаимодействия отраслевых регуляторов и бизнеса для выработки решений и рекомендаций по вопросам построения национальной ИБ-инфраструктуры. 🌐 GITEX Global 14-18 октября, Дубай Самая значимая выставка в сфере информационных технологий и потребительской компьютерной техники на Ближнем Востоке. 🌐 Форум «PRO автоматизацию» 15 октября, Москва Мероприятие посвящено вопросам обеспечения технологического суверенитета в АСУ ТП и автоматизации производства. 🌐 Киберзастава SOC Tech 15 октября, Москва Отраслевая экспертиза и лучшие практики для руководителей ИБ-подразделений и специалистов мониторинга. 🌐 Конференция TAdviser «IT Security Day» 17 октября, Москва Среди тем встречи — управление рисками, соблюдение нормативных требований, киберустойчивость, реагирование на инциденты и будущее кибербезопасности. 🌐 Конференция АБИСС по вопросам регуляторики в сфере ИБ 22 октября, Москва Мероприятие призвано объединить специалистов, деятельность которых сопряжена с обеспечением соответствия ИБ-требованиям. 🌐 Международный форум ВБА 22-23 октября, Москва Выставка и деловая программа охватят практически все важнейшие направления использования информационных технологий в финансах. 🌐 ИНФОТЕХ 23-24 октября, Тюмень Форум является местом встречи IT-профессионалов государственного и коммерческого сектора для обмена опытом в сфере цифровизации проектов федерального и регионального уровней. 🌐 РБК Tech 31 октября, Москва Ежегодный форум об инновационном и цифровом развитии России с участием крупных технологических компаний и курирующих представителей власти. 💬tg_AC

👤Регулирование дипфейков. Что нас ждет? На этой неделе в Госдуму были внесены два законопроекта, которые касаются регулирования дипфейков в нашей стране. Первый документ предусматривает штраф до 1,5 млн рублей за кражу и клевету с применением дипфейков. Второй законопроект предполагает, что запись голоса человека можно использовать только с его согласия (в т.ч. те записи, в которых голос воссоздан с помощью специальных технологий синтеза речи). Портал ComNews опросил экспертов и узнал, есть ли необходимость в данных законопроектах, и что нужно предусмотреть. 🔊Наш специалист по информационной безопасности Анастасия Калиничева в комментарии изданию отметила, что регулирование дипфейков – важная инициатива, ведь сегодня доступ к моделям ИИ, позволяющим легко создавать дипфейки, имеет большое количество людей. Эксперт подчеркнула, что для введения ответственности сначала необходимо закрепить определение дипфейка, т.к. в настоящий момент этот термин нельзя однозначно трактовать. Помимо этого, важно также определить в законодательстве взаимосвязь сущностей дипфейков и биометрических персональных данных. В чем сложность регулирования дипфейков и есть ли смысл в их маркировке? ➡️ Читайте в статье ComNews с комментарием нашего эксперта. 💬tg_AC

🚩Основные риски при работе с подрядчиками С увеличением количества атак ИБ-директора уделяют всё больше внимания не только внутренней безопасности, но и безопасности контрагентов, так как те способны стать «слабым звеном» в цепочке поставок. Воспользовавшись их уязвимостями, злоумышленники могут взломать даже самый защищенный периметр. Давайте рассмотрим основные риски при работе со сторонними поставщиками: 🦏Неэффективные методы обеспечения информационной безопасности, применяемые поставщиками более «низкого уровня» (устаревшие методы и подходы, устаревший стек технологий, отсутствие бюджета на ИБ и т.д.). 🦏Широкий спектр уязвимостей в звеньях цепи поставок (как организационных, к примеру, недостаточный контроль доступа в серверные помещения, так и технических, к примеру, критические уязвимости в информационных системах поставщиков). 🦏Контрафактное оборудование, аппаратные средства, программное обеспечение со встроенным вредоносным ПО или «бэкдорами». 🦏Ошибки при приобретении услуг IT-поставщиков и провайдеров: двусмысленные формулировки услуг в SLA и офертах, недобросовестная тарификация, несоответствие заявленным уровням сервиса. ❓️Какие вопросы можно задать потенциальным контрагентам для установления их степени надежности: • документирован ли у подрядчика процесс разработки программного/аппаратного обеспечения, оказания услуг? • какие существуют средства мониторинга за производственными процессами (контроль стабильности оказания услуг и продуктов поставщика)? • какие меры физической безопасности применяются? • какие средства сетевой безопасности применяются (перечислить классы решений)? • как они защищают и хранят данные клиентов? • какие шаги предпринимаются для защиты услуг, сервисов, продуктов от несанкционированного доступа? • какие требования в области безопасности предъявляются к «нижестоящим» и «вышестоящим» поставщикам? Как оценивается соблюдение этих стандартов? • как поставщик планирует, обеспечивает и контролирует безопасность на протяжении всего жизненного цикла продукта? А какие вопросы для установления степени надежности подрядчика задаете вы? 💬tg_AC

⚡️AKTIV.CОNSULTING теперь в VK! Актуальные новости, свежие статьи, все выпуски подкаста «Безопасный выход» — всё самое интересное от наших экспертов теперь собрано в одном месте. 📱 Подписывайтесь на страницу и узнайте больше про: • управленческие подходы и инструменты, их эффективность и применимость в сфере ИБ; • новые технологии; • регуляторные инициативы; • крупные проекты, способные трансформировать сферу информационной безопасности. Будьте в курсе событий! ▶️Подписаться◀️ 💬tg_AC