Верхнее

V Межотраслевой форум директоров по информационной безопасности. Впечатления.

Cпасибо Евгению Царёву, который меня, а точнее Тараса Злонова, пригласил на V Межотраслевой форум директоров по информационной безопасности, открывшийся сегодня. Делюсь своими впечатлениями.В самом первом форуме 2008 года мне довелось поучаствовать в качестве докладчика, а вот теперь, благодаря Евгению и своему блогу, предстал в ипостаси представителя прессы =)

Сравнивая мероприятия, разнесённые во времени на пять лет (в 2009-2011 на форуме побывать не довелось), прежде всего хочу отметить рост числа участников: в далёком теперь 2008 году в том же зале стояли столы и людей присутствовало явно меньше, теперь же на плотно выстроенных в ряды стульях свободных мест было мало.
Именно из-за общего количества участников в фойе, где были представлены стенды, было довольно тесно и в перерывах приходилось буквально протискиваться между коллегами и колоннами. Пожалуй, пришло время подыскивать другую площадку, попросторнее.

Открыл форум и модерировал первую его часть Виктор Минин, чей опыт ведения подобных мероприятий на мой взгляд только отточился за прошедшие годы. В первой части были доклады представителей регуляторов, заказчиков, интеграторов и вендоров. Приведу вкратце содержание некоторых из них.

Олег Залунин, представитель ФСБ.
Как это принято, выступал без презентации, по бумажке =) Говорил о новой нормативной базе  в сфере защиты персональных данных (ПДн). По его словам, работа над проектами законов внутри ФСБ завершена и документы отправлены на согласование во ФСТЭК и Роскомнадзор. Обещал публикацию данных законопроектов на сайте ФСБ в ближайшее время. Из основных нововведений: ввод понятий «уровень защищённости» и «категория нарушителей». Как рассказал Олег, одна из идей, которую закладывали в новые документы — минимизация затрат тех операторов ПДн, которые уже привели свои системы в соответствие требованиям законодательства, а также неужесточение требований к системам защиты. Тем не менее, всем, кто уже проделал работу по выполнению устаревших теперь требований, всё равно придётся пересмотреть модель нарушителя и внести ряд других изменений (в частности, в изданные акты), связанных с новым понятием «уровень защищённости». Уже после доклада, в ходе ответов на вопросы, Олег Залунин подчеркнул, что требования будут едиными для госорганов и коммерческих компаний, а отвечая на вопрос про трансграничную передачу ПДн посоветовал «идти от практики».
Виталий Лютиков, представитель ФСТЭК.
Напомнил о выходе руководящего документа (РД) для систем предотвращения вторжений (IPS), обратив внимание, что впредь упор будет делаться именно на сертификацию по общим критериям (ОК) с применением оценочных уровней доверия (ОУД). Анонсировал скорый выход РД для антивирусов, а в чуть более отдалённой перспективе — модулей доверенной загрузки, двухфакторной аутентификации и DLP. Так что, сертификация по техническим условиям (ТУ), видимо, доживает свои последние год-два. Также в выступлении Виталий посетовал на «некоторых авторов статей», дезинформирующих читателей своей неправильной трактовкой изменений в законодательстве о лицензировании. На традиционный вопрос о необходимости получения лицензии при использовании средств защиты для собственных нужд прозвучал не менее традиционный ответ: «Решение о необходимости наличия лицензии принимается самостоятельно, а для официального ответа можете обратиться с официальным запросом в соответствующий территориальный орган«. Затем Виталию раза четыре в разных вариациях задали один и тот же вопрос о необходимости использовать именно сертифицированных средств для защиты ПДн. Ответ каждый раз был утвердительным со ссылкой на постановление правительства №330.

 — Ну, а что делать, если просто нет сертифицированных средств защиты? — Алексей Лукацкий.
— Разработать! — Виктор Минин.
(смех в зале)

Далее выступал Алексей Лукацкий, говоривший о тенденциях в области информационной безопасности (монетизация, кибервойны и пр.), ну, да свою презентацию, думаю, Алексей у себя в блоге лучше представит.

Дмитрий Костров поделился «приятной» новостью о том, что в новом разрабатываемом федеральном законе, вносящем изменения в законы «О связи» и «Об информации, информационных технологиях и о защите информации«, планируется внести ряд положений, суть которых сводится к тому, что операторы связи будут обязаны закрывать доступ к сайтам в трёхдневный срок при отсутствии реакции со стороны владельцев и хостинг-провайдеров: «Решат три эксперта, что это детская порнография и — хлоп! — Facebook закрыли«.

Далее последовало несколько докладов от заказчиков (СеверстальАШАНАбсолют БанкВТБ24) — интересных, но малоконкретных в силу ограничений на разглашение внутренней информации, и от интеграторов (NVision GroupИнфосистемы Джет) — тоже более теоретических, чем прикладных. Завершил предобеденную сессию коллега из Avanpost с классическим «рекламным» докладом, не сумевшим, надеюсь, испортить аппетита участникам. Ведь кормить в Холидей Инн Сущевский, как я помню по 2008 году (в этот раз уехал раньше), должны более, чем достойно.

Удачного всем участникам, докладчикам и организаторам завтрашнего второго дня! Надеюсь, коллеги поделятся впечатлениями от остальных выступлений.

, ,