Компания Positive Technologies выпустила отчет о киберугрозах за третий квартал 2022 года
Согласно результатам исследования, количество атак увеличилось на 10% по сравнению с предыдущим кварталом текущего года и на треть относительно третьего квартала 2021 года. В атаках на организации с использованием ВПО злоумышленники по-прежнему чаще всего выбирали программы-вымогатели. Также статистика показывает, что по отношению ко второму кварталу применение вредоносных программ для ОС Linux выросло на 18%.
Ботнет IcedID распространяется с помощью вредоносной рекламы
Исследователи из Trend Micro рассказали о новом методе распространения ботнета IcedID, в рамках которого злоумышленники злоупотребляли рекламой Google PPC (Pay-Per-Click) для распространения ВПО через поддельные веб-страницы организаций и известные приложения. Цепочка заражения включает в себя доставку начального загрузчика бота в виде MSI-файла и выполнение полезной нагрузки, которая обычно представляет собой бэкдор. В опубликованном отчете подробно описаны технические детали вредоносной кампании, а также указаны индикаторы компрометации.
Обнаружен вредоносный бот для YouTube
Аналитики Cyble Research Labs обнаружили новое ВПО, которое может выполнять автоматические комментирование и просмотр видео на платформе YouTube, а также красть конфиденциальную информацию из браузера и получать команды с C&C-сервера для выполнения дополнительных вредоносных действий. Закрепление в системе жертвы происходит с помощью запланированной задачи AvastSecurity, что позволяет вредоносу функционировать даже после перезагрузки устройства.
Для общественного обсуждения представлен проект условий и порядка обработки персональных данных субъектов персональных данных в связи с осуществлением Минфином России функций оператора государственной интегрированной информационной системы в сфере контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них на всех этапах этого оборота.
Изменения в список контрольных вопросов для проверок в области обработки ПДн
Подготовлен проект поправок в приказ РКН от 24.12.2021 № 253 «Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами».
Перечень информации об отнесенных к ведению ГУСП
Опубликован приказ ГУСП от 22.10.2022 № 163 «Об установлении перечня информации об отнесенных к ведению Главного управления специальных программ Президента Российской Федерации пунктах управления государством и Вооруженными Силами Российской Федерации, иных специальных объектах мобилизационного назначения и объектах их инфраструктуры, составляющей профессиональную тайну, а также требований к защите данной информации», который приоткрывает завесу тайны защиты информации в этом довольно закрытом ведомстве.
Требования по безопасности информации к средствам контейнеризации
ФСТЭК России опубликовал информационное сообщение № 240/24/6265 «Об утверждении Требований по безопасности информации к средствам контейнеризации».
Официально опубликован приказ РКН от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
Проект постановления Правительства связанный с массовыми утечками ПДн
Проект постановления позволяет РКН (при условии согласования с органами прокуратуры) осуществлять внеплановые контрольные (надзорные) мероприятия федерального государственного контроля (надзора) за обработкой персональных данных в отношении операторов, являющихся в том числе аккредитованными организациями, которые осуществляют деятельность в области информационных технологий, в случае если установлен факт распространения (предоставления) в информационно-телекоммуникационной сети «Интернет» баз персональных данных (или их части), в том числе имеющих признаки принадлежности аккредитованной организации.
Формы документов для лицензирования деятельности по ТЗКИ
ФСТЭК России для общественного обсуждения представлен проект Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации.
Порядок лицензирования деятельности по технической защите конфиденциальной информации
Для общественного обсуждения представлен проект приказа ФСТЭК России «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации».
Для общественного обсуждения представлен проект приказа ФСТЭК России «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации».
Штрафы за недостоверные сведения о результатах категорирования КИИ
Официально опубликован Федеральный закон от 19.12.2022 № 518-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», который вносит поправки в КОАП, устанавливающие ответственность за предоставление недостоверных сведений о результатах категорирования ОКИИ (в т.ч. за повторное аналогичное правонарушение).
Официально опубликовано постановление Правительства Российской Федерации от 20.12.2022 № 2360 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127».
Штрафы за недостоверные сведения о результатах категорирования КИИ
Официально опубликован Федеральный закон от 19.12.2022 № 518-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», который вносит поправки в КОАП, устанавливающие ответственность за предоставление недостоверных сведений о результатах категорирования ОКИИ (в т.ч. за повторное аналогичное правонарушение).
С 26.12.22 используются новые формы для уведомления РКН:
• о намерении осуществлять обработку персональных данных;
• об изменении сведений содержащихся в ранее проданном уведомлении о намерении осуществлять обработку персональных данных;
• о прекращении обработки персональных данных.