Вопрос:

Для чего можно использовать менеджер паролей?

Ответ:

Сегодня сотрудники компаний используют множество внешних сервисов, что создает повышенные риски ИБ, возникающие, как правило, при небезопасном хранении своих паролей или при выборе одного пароля для разных сервисов.
Подходящим вариантом минимизации такой категории рисков может быть менеджер паролей — сервис, предназначенный для безопасного управления паролями. О принципах создания паролей мы говорили ранее.

К преимуществам использования такого сервиса относятся:

🔸Защита паролей: хранение всех паролей пользователя в зашифрованной базе данных, которая защищена одним главным паролем (мастер-паролем).
🔸Защита систем: при компрометации учётных записей или увольнении работника возможна оперативная смена паролей во всех системах компании.
🔸Удобство: генерация уникальных и надежных паролей для каждого аккаунта и отсутствие необходимости запоминания паролей.
🔸Ускорение процесса авторизации: автоматическое заполнение соответствующих форм паролями и логинами для входа в систему.
🔸Синхронизация: получение доступа к паролям на разных устройствах пользователя через сервис.
🔸Безопасный обмен: передача паролей между пользователями через сервис.
🔸Аудит безопасности: своевременное уведомление о слабых или украденных паролях.

Сценариями использования менеджера паролей компанией могут быть:

🔸Контроль соблюдения работниками парольной политики.
🔸Проведение аудитов использования паролей с возможностью выявлять подозрительные учетные записи.
🔸Организация безопасного обмена паролями доступа к папкам или ПО между работниками, который может потребоваться в рамках проекта.
🔸Автоматизация предоставления паролей для новых работников и сброса паролей для увольняющихся.

Популярные сервисы менеджера паролей, которые предлагают различные уровни защиты и возможности в зависимости от потребностей:

🔸BearPass
🔸Bitwarden
🔸CommonKey
🔸Passbolt
🔸Passwork
🔸Zoho Vault

#ИБ
#ОтвечаетKept

Вступило в силу 27 сентября 2024 г.:
Постановление Правительства РФ от 19.09.2024 № 1281 о внесении изменений в Правила категорирования объектов КИИ
▫для кого: субъекты КИИ
▫что делать:
🔸субъектам КИИ, которые провели категорирование объектов КИИ: принять к сведению исключение из процедуры категорирования требования по формированию перечня объектов КИИ, подлежащих категорированию.
🔸субъектам КИИ, которые не провели категорирование объектов КИИ: принять к сведению риск привлечения к административной ответственности за непредоставление форм сведений о результатах категорирования

Вступило в силу 1 октября 2024 г.:
Положение Банка России от 27.10.2020 № 738-П о порядке обеспечения бесперебойности функционирования платежной системы Банка России
*▫*для кого: участники платежной системы Банка России
▫что делать:
🔸предусмотреть дополнительные контрольные мероприятия в целях мониторинга уровня риска ИБ в платежной системе;
🔸идентифицировать значимые риски не реже одного раза в год;
🔸ознакомиться с расширением перечня субъектов организационной структуры, обязанных обеспечивать бесперебойность функционирования платежной системы;
🔸ознакомиться с критериями отнесения риск-событий, реализовавшихся при оказании услуг платежной инфраструктуры, к риск-событиям приостановления оказания таких услуг

#ИБ
#ДеЮре

Дополнение к первому выпуску (часть 2)

Вступило в силу 01 апреля 2024 г.:

Национальный стандарт РФ ГОСТ Р 71206-2024
· для кого: компании, внедряющие процесс разработки безопасного программного обеспечения (РБПО)
· что делать: реализовать требования к мерам по РБПО при выполнении конструирования и комплексирования ПО, вводя дополнительные требования к безопасному компилятору
Национальный стандарт РФ ГОСТ Р 71207-2024
· для кого: компании, внедряющие РБПО
· что делать: реализовать требования к проведению статического анализа ПО, а также требования к статическим анализаторам и специалистам, участвующим в анализе
Национальный стандарт РФ ГОСТ Р 71252-2024
· для кого: компании, определившие риски при передаче данных в индустриальных системах
· что делать: рассмотреть возможность применения протокола защищенного обмена CRISP для индустриальных систем
Предварительный национальный стандарт РФ ПНСТ 905-2023
· для кого: объекты критической информационной инфраструктуры (КИИ)
· что делать: придерживаться единой терминологии, относящейся к доверенным программно-аппаратным комплексам, применимых на объектах КИИ
п. 2.4 Положения Банка России от 30.08.2023 № 808-П
· для кого: бюро кредитных историй
· что делать: использовать прикладное ПО автоматизированных систем и приложений, прошедших сертификацию ФСТЭК России, или оценку соответствия по требованиям к оценочному уровню доверия не ниже 4-ого уровня

Вступило в силу 06 апреля 2024 г.:

ФЗ от 06.04.2024 № 78-ФЗ об ужесточении наказания за нарушение требований к рекламе через email-рассылки, звонки и SMS
· для кого: компании, рекламирующие свои услуги; кредитные или микрофинансовые компании
· что делать: проверить выполнение требования к рекламе, исключив спам-звонки и рассылки

#ДеЮре
#ИБ
#КИИ

Дополнение к первому выпуску (часть 1)
Вступило в силу 01 января 2024 г.:
Абзац четвертый п. 3.3 Положения Банка России от 20.04.2021 № 757-П
· для кого: операторы систем, выпускающие цифровые финансовые активы; операторы обмена цифровыми финансовыми активами
· что делать: реализовать требование: использовать узлами ИС безопасной топологии коммуникационных сетей, программного кода и протоколов с учетом актуальных угроз безопасности

Вступило в силу 23 января 2024 г.:

Приказ Минцифры от 29.11.2023 № 1024 о формах подтверждения соответствия для Единой биометрической системы (ЕБС)
· для кого: операторы, обрабатывающие биометрические персональные данные (ПДн) в ЕБС
· что делать: подтвердить соответствие средств, обрабатывающих биометрические ПДн, требованиям подп. "е" п. 1 ст. 2 572-ФЗ

Вступило в силу 26 марта 2024 г.:
ПП РФ от 23.03.2024 № 367 об изменении использования ЕБС
·  для кого: операторы, обрабатывающие биометрические ПДн в ЕБС
·  что делать: уточнить объем обрабатываемых ПДн в ЕБС

Вступило в силу 30 марта 2024 г.:

ПП РФ от 20.03.2024 № 342 об обязанности хранить сведения о геолокации и средствах платежа
· для кого: организаторы распространения информации в интернете
· что делать: обновить перечень информации, подлежащей хранению и предоставлению в органы власти
ПП РФ от 20.03.2024 № 341 об изменении порядка заселения граждан РФ
· для кого: гостиничный бизнес
· что делать: рассмотреть возможность заселения граждан РФ с использованием ЕБС

#ДеЮре
#Privacy
#ИБ