Дайджест Jet CSIRT [15-18.01.2021]

16.01.2021

Опубликован традиционный Threat Roundup от Cisco Talos

Команда Cisco Talos опубликовала очередной Threat Roundup по наиболее актуальным угрозам ИБ за период с 15 по 18 января.


В операционной системе Windows обнаружена критическая уязвимость

Исследователь в области кибербезопасности Джонас Люкгард обнаружил уязвимость способную привести к синему экрану смерти(BSOD). Для эксплуатации данной проблемы любому пользователю достаточно ввести определённый путь в адресную строку браузера и выполнить несколько команд. Специалист не подтверждает использование данной уязвимости злоумышленниками, однако на данный момент известно, что с помощью этой ошибки злоумышленник может провести DoS-атаку.


Несколько критических уязвимостей обнаружено в роутерах FiberHome

 

Специалист в области информационной безопасности Пьер Ким провел исследование в ходе которого в двух моделях роутеров FiberHome — HG6245D и RP2602 было обнаружено несколько уязвимостей в прошивке устройств. Большинство проблем связаны с наличием бэкдор-аккаунтов, ключи к которым прописаны в коде. Специалист предполагает, что некоторые бэкдоор-аккаунты были внедрены производителем намеренно. Пьер сообщил о своих находках разработчикам устройств, однако не известно были ли устранены все найденный уязвимости на сегодняшний день.


КИИ и импортозамещение

 

Минцифры представило для общественного обсуждения проект постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядок перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции».


Приказ №554 ФСБ России для регулирования ЭП

 

ФСБ опубликовала приказ №554 «Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи».


Приказ №555 ФСБ России для регулирования ЭП

ФСБ опубликовала приказ №555 «О внесении изменений в приложения № 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. № 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».


Приказ №556 ФСБ России для регулирования ЭП

 

ФСБ опубликовала приказ №556 «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной

средствам электронной подписи».


Административная ответственность за нарушение правил создания, замены и выдачи ключа ЭП, используемого при оказании госуслуг

Официально опубликован Федеральный закон от 30.12.2020 № 516-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», вводящий административную ответственность за нарушение правил создания, замены и выдачи ключа ЭП, используемого при оказании государственных и муниципальных услуг в электронной форме.


Принят Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»

Основные изменения:

  • Из понятийного аппарата Федерального закона «О персональных данных» исключено понятие «общедоступные ПДн», которое заменено на «ПДн, разрешённые субъектом ПДн для распространения».
  • Для того, чтобы оператору ПДн начать обрабатывать ПДн, разрешённые субъектом ПДн для распространения, необходимо получить соответствующее согласие, обособленное от других согласий на обработку ПДн. Содержание такого согласия должно включать, как минимум, перечень ПДн по каждой из категории ПДн, которые разрешается распространять.
  • Никакие запреты, установленные субъектом ПДн, на передачу и обработку или условия обработки ПДн, разрешённых для распространения, не перестают действовать, если это касается неких государственных, общественных и иных публичных интересов, установленных законодательством Российской Федерации.
  • Внесённые поправки не применяются в случае обработки ПДн федеральными органами исполнительной власти, органами исполнительной субъектов Российской Федерации, органами местного самоуправления при выполнении возложенных на них функций, обязанностей и полномочий.