План импортозамещения
Первого апреля Минкомсвязи России опубликован приказ «Об утверждении плана импортозамещения программного обеспечения», в соответствии с которым до 1 июля должны быть проработаны вопросы, связанные с:
- государственной поддержкой реализации плана импортозамещения;
- разработкой новых нормативных актов, предусматривающих предоставление отечественному ПО преференций;
- привлечением заинтересованных российских ИТ-организаций к проекту импортозамещения по направлениям реализации плана.
Утвержденный план импортозамещения ПО включает 14 основных направлений разработки ПО, в том числе ПО информационной безопасности, СУБД, клиентские и серверные ОС, для трех групп сегментов рынка:
- сегменты рынка корпоративного ПО, по которым уже имеется задел в виде конкурентоспособных отечественных продуктов. Для таких сегментов предлагается введение преференций отечественной продукции при осуществлении закупок за государственный счет;
- сегменты рынка корпоративного ПО, по которым нет достаточного задела в виде конкурентоспособных отечественных продуктов. Для данных сегментов предлагается оказывать поддержку коллективной разработки ПО;
- сегменты рынка программного обеспечения, связанные с отраслевой спецификой (промышленность, здравоохранение, транспорт и др.).
Безопасный мобильный банкинг
В связи с участившимися случаями мошенничества при использовании мобильного банкинга Банк России опубликовал у себя на сайте сообщение «О несанкционированных операциях, совершенных с использованием устройств мобильной связи», содержащее рекомендации по минимизации рисков хищения денежных средств при использовании мобильных устройств (смартфоны, телефоны, планшеты) для совершения банковских операций. Среди предлагаемых мер защиты:
- использование антивирусного ПО на устройствах мобильной связи;
- выполнение элементарных правил ИБ (не переходить по непроверенным ссылкам и не скачивать на устройство мобильной связи приложения из недостоверных источников);
- ограничение использования устройств мобильной связи и платежных карт третьими лицами, в том числе родственниками,
- хранение в тайне различной идентифицирующей и парольной информации (ПИН-код платежной карты, СVV/CVC-код, пароли от «Клиент-банка», одноразовые коды подтверждения) и своевременное уведомление кредитной организации при подозрении в компрометации такой информации.
- своевременное уведомление кредитной организации или оператора связи в случае обнаружения списания денежных средств.
Большинство указанных рекомендаций являются простыми и разумными правилами «гигиены ИБ», выполнение которых в большинстве случаев сможет значительно снизить риск потери денег при использовании мобильных устройств.
Документация ФСТЭК России
13 апреля на сайте ФСТЭК России было опубликовано информационное сообщение об утверждении новых версий перечней нормативной документации, необходимой соискателям лицензий и лицензиатам ФСТЭК России в области технической защиты и разработки средств защитыконфиденциальной информации.
В целом, список документов, обязательных для выполнения работ и оказания услуг в рамках лицензируемой деятельности, был значительно расширен за счет новых профилей защиты, разработанных ФСТЭК России в период с 2012 по 2014 год.
Внеочередная версия PCI DSS
15 апреля 2015 года Совет по стандартам безопасности Индустрии платежных систем (PCI SSC) опубликовал внеочередную версию стандарта безопасности данных (PCI DSS v.3.1), ограничивающую использование протоколов SSL и TLS ранних версий в связи с наличием в них ряда уязвимостей. Кроме того, для разъяснения возникших вопросов и порядка миграции с SSL и ранних версий TLS было опубликовано соответствующее информационное дополнение.
Краткие обзоры новых публикаций PCI SSC можно найти в статьях, подготовленных нашими коллегами:
- Обзор изменений PCI DSS V3.1
- HOWTO: Миграция с SSL в соответствии с требованиями PCI DSS 3.1
Статистика по кибербезопасности
В апреле ISACA совместно с RSA Conference был представлен очередной интересный аналитический обзор, посвященный кибербезопасности. В новой публикации изложены и проиллюстрированы результаты анонимного опроса специалистов в области кибербезопасности по следующим направлениям:
- взломы и атаки;
- угрозы ИБ;
- бюджет ИБ, потребность в квалифицированном персонале и его ключевые навыки;
- руководство ИБ.
Несколько фактов из статистики ISACA:
- согласно приведенным данным наиболее популярными типами атак, реализованных в 2014 году, стали фишинг и заражение вредоносным ПО
- почти 80% опрошенных ожидают рост числа киберугроз в 2015 году;
- в среднем, для поиска нового сотрудника на должность, связанную с ИБ, требуется 3 месяца;
- наибольшим пробелом в навыках ИБ-специалистов большинство опрошенных (72,3 %) считает непонимание потребностей бизнеса;
- более 56% респондентов сообщили об увеличении бюджета ИБ в 2015 году по сравнению с прошлым годом;
- только 41% руководителей организаций следуют установленным правилам безопасности.