Прошлый четверг выдался довольно занятным. Все началось с посещения конференции РКН " Защита персональных данных". Она получилась довольно приятной, собралось много интересных участников (представители РКН, Совета Федерации, ГУБЗИ ЦБ РФ, ключевых вендоров, интеграторов и учебных центров России). Однако, по сравнению с прошлым годом, полезной информации рассказали очень мало. Регуляторы старательно ее "зажимали", старались лишнего не сказать. И это при том, что было много тем к обсуждению: обезличивание ПДн (по мнению РКН, это хороший способ снижения нагрузки на операторов ПДн, но мы-то понимаем...), Приказ 21 и рекомендации ФСТЭК, оценка вреда для субъектов ПДн, типы актуальных угроз и отраслевые модели, использование СКЗИ и проект приказа ФСБ, трансграничная передача ПДн, повышение штрафов, "гаттаровский" пересмотр 152-ФЗ и параллельная его гармонизация с европейским законодательством.
Для себя самой полезной презентацией дня считаю доклад Сычева (ГУБЗИ ЦБ РФ) про регулирование ИБ в банковской отрасли: уже подготовили проекты обновления СТО БР ИББС и Модели угроз для банков (с учетом ПП1119 и Приказа ФСТЭК 21, обсуждают на 122 техническом комитете), для большинства ИС актуальны угрозы 3 типа (нет примеров инцидентов утечки ПДн за счет НДВ), ориентир на компенсирующие меры. Также упомянули 382-П и его перспективы (требования будут развиваться, но излишней нагрузки на банки попробуют избежать).
Я выступал в секции №2 "Перспективы развития законодательства в области ПДн", РКН попросил нас ( InfoWatch) рассказать про нашу аналитику по утечкам ПДн. Они, кстати, регулярно ей пользуются, по запросу мы предоставляем выписку из нашей базы данных инцидентов. Вот моя презентация:
Для себя самой полезной презентацией дня считаю доклад Сычева (ГУБЗИ ЦБ РФ) про регулирование ИБ в банковской отрасли: уже подготовили проекты обновления СТО БР ИББС и Модели угроз для банков (с учетом ПП1119 и Приказа ФСТЭК 21, обсуждают на 122 техническом комитете), для большинства ИС актуальны угрозы 3 типа (нет примеров инцидентов утечки ПДн за счет НДВ), ориентир на компенсирующие меры. Также упомянули 382-П и его перспективы (требования будут развиваться, но излишней нагрузки на банки попробуют избежать).
Я выступал в секции №2 "Перспективы развития законодательства в области ПДн", РКН попросил нас ( InfoWatch) рассказать про нашу аналитику по утечкам ПДн. Они, кстати, регулярно ей пользуются, по запросу мы предоставляем выписку из нашей базы данных инцидентов. Вот моя презентация:
пр аналитика по утечкам (Info watch) from Andrey Prozorov
(Кстати, много зарубежной аналитики по утечкам можно посмотреть тут.)
(Кстати, много зарубежной аналитики по утечкам можно посмотреть тут.)
В итоге конференция РКН получилась скорее не как диалог с регуляторами, а как хорошее дружеское общение с коллегами, которые пропускали секции и "тусовались" рядом с кофе и пирожками.
Ну, а уже ближе к вечеру мы c друзьями поехали на ZeroNights. Было крайне любопытно из тусовки безопасников "кому за 40" попасть на конференцию хакеров "кому до 30". Так как мы пришли уже поздно, то попали буквально на последние доклады. Я, например, с удовольствием послушал выступление про взлом ДБО. Конференции оказались не то, что не похожими, а диаметрально противоположными по многим критериям (тематика, общая атмосфера, организация, докладчики, целевая аудитория и пр). И это интересно...
На этом все, если хотите чуть больше мыслей с конференции, цитат спикеров и фотографий, то посмотрите у меня в твиттере, дублировать не хочу.
P.S. А вот еще про конференции по ИБ сентября-октября 2013