kliMaster
Новости из мира документов относящихся к Информационной безопасности.
В связи с плачевным положением дел касаемых киберзащиты РФ. Подготавливают новый документ под названием № 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации".
Прошу обратить на него внимание, господа специалисты по безопасности.
№ 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации"
Законопроектами устанавливаются организационные и правовые основы обеспечения безопасности критической информационной инфраструктуры России в целях её устойчивого функционирования при проведении в отношении неё компьютерных атак, основные принципы государственного регулирования в этой сфере, полномочия органов государственной власти. Это будет способствовать устойчивому функционированию критической информационной инфраструктуры.
Проекты федеральных законов «О безопасности критической информационной инфраструктуры Российской Федерации», «О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"», «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"» подготовлены ФСБ России.
В процессе перехода России к информационному обществу большинство систем принятия решений и бизнес-процессов в ключевых отраслях экономики и сфере государственного управления реализуются или планируются к реализации с использованием информационных технологий. В информационных системах уже сейчас хранятся и обрабатываются большие объёмы информации, в том числе касающейся вопросов государственной политики и обороны, финансовой и научно-технической сферы, частной жизни граждан.
В настоящее время эффективное правовое регулирование в этой сфере затруднено из-за отсутствия системообразующих законодательных актов, устанавливающих порядок отношений в сфере обеспечения безопасности критической информационной инфраструктуры в России.
Проектом федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – законопроект) устанавливаются основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов в этой области, права, обязанности и ответственность лиц, владеющих на праве собственности или другом законном основании объектами такой инфраструктуры, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.
В соответствии с законопроектом безопасность критической информационной инфраструктуры России и её объектов обеспечивается, в частности, за счёт:
- определения федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры;
- разработки критериев категорирования объектов критической информационной инфраструктуры, показателей этих критериев и порядка категорирования объектов;
- ведения реестра значимых объектов критической информационной инфраструктуры;
- установления требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры с учётом их категорий;
- создания систем безопасности значимых объектов критической информационной инфраструктуры и обеспечения их функционирования;
- обеспечения взаимодействия систем безопасности с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на российские информационные ресурсы;
- государственного контроля в области безопасности критической информационной инфраструктуры.
Реализация этих мер позволит обеспечить комплексность и непрерывность обеспечения безопасности критической информационной инфраструктуры страны.
Проектом федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» наряду с дисциплинарной, гражданско-правовой и административной ответственностью предусматривается уголовная ответственность за нарушение законодательства о безопасности критической информационной инфраструктуры.
Предлагается выделить составы посягательств на критическую информационную инфраструктуру Российской Федерации в отдельную статью Уголовного кодекса 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
Предусматривается ответственность за:
- создание и (или) распространение компьютерных программ либо другой компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру России;
- неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в критической информационной инфраструктуре;
- нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации в этой инфраструктуре.
Учитывая высокую общественную опасность деяний, причиняющих вред безопасности критической информационной инфраструктуры Российской Федерации или создающих угрозу его причинения, санкции за эти деяния предусматривают, с учётом различных квалифицирующих признаков, наказания в виде штрафа, принудительных работ, лишения свободы (с лишением права занимать определённые должности или заниматься определённой деятельностью).
Законопроекты будут рассмотрены на заседании Правительства (http://government.ru/activities/selection/302/25449/)
Фильмы, которые вдохновили великих.
Valve устранила уязвимость, позволявшую взломать ПК через игры в Steam.
Проблема позволяла выполнить произвольный код на компьютере и установить вредоносное ПО.
В библиотеке Valve Source SDK обнаружена уязвимость, позволяющая выполнить произвольный код на компьютере пользователей, играющих в релизы от Valve, а также установить различное вредоносное ПО (трояны-вымогатели, банковские трояны, майнеры криптовалют и т.д.).
Проблема возникла из-за открытости инструментария, который Valve предоставляет пользователям. Многие игры на движке Source используют библиотеку Source SDK, позволяющую сторонним компаниям и независимым разработчикам загружать в игры различные сторонние текстуры, эффекты и анимации смерти.
Как отметил исследователь из компании One Up Security Джастин Тафт (Justin Taft), обративший внимание на проблему, сценариев атаки может быть несколько. Один из них выглядит следующим образом: злоумышленник создает вредоносную ragdoll-модель (анимация смерти персонажа), внедрив в файл эксплоит. Когда пользователь подключается к сторонним серверам, управляемым хакером, на его компьютер загружаются вредоносные ресурсы и при смерти его персонажа в игре исполняется вредоносный код.
Специалисты One Up Security проинформировали Valve об уязвимости и та уже устранила проблему в ряде игр, включая Counter-Strike: Global Offensive, Team Fortress 2, Left 4 Dead 2, Portal 2 и Half-Life 2: Deathmatch.
Source SDK - набор утилит для создания модификаций на движке Source, бесплатно доступный через Steam игрокам.
Steam - сервис цифрового распространения компьютерных игр и программ, принадлежащий компании Valve. Steam выполняет функции службы активации, загрузки через Интернет, автоматических обновлений и новостей для игр как самой Valve, так и сторонних разработчиков по соглашению с Valve.
Подробнее: http://www.securitylab.ru/news/487453.php
Знаменитый актер Rami Malek (Эллиот Алдерсон) играет в Watch Dogs 2. Видос от Ubisoft[EN]
Watch Dogs 2 Live Stream: Rami Malek Plays Watch Dogs 2 with Developers
Множественные уязвимости в Adobe Flash Player версии 26.0.0.131 и др. От 11 Июля исправление.
Дата изменения: 12.07.2017
Опасность: Высокая
Наличие исправления: Да
Количество уязвимостей: 3
CVSSv2 рейтинг:
(3.7 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)) = Base:0.3/Temporal:0
(7.4 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)) = Base:5.3/Temporal:0
(3.7 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)) = Base:0.3/Temporal:0
CVE ID:
CVE-2017-3080
CVE-2017-3099
CVE-2017-3100
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Adobe Flash Player 20.x
Adobe Flash Player 23.x
Adobe Flash Player 22.x
Adobe Flash Player 21.x
Adobe Flash Player 19.x
Adobe Flash Player 18.x
Уязвимые версии:
Adobe Flash Player версии 26.0.0.131, 26.0.0.126, 26.0.0.120
Описание:
Множественные уязвимости в Adobe Flash Player
URL производителя: http://www.adobe.com
Решение: Установите исправление с сайта производителя.
Ссылки: https://www.cybersecurity-help.cz/vdb/SB2017071102
Подробнее: http://www.securitylab.ru/vulnerability/487235.php
P.S. обновите.