Вчера выступал на конференции, посвященной проблематике технической защиты ИСПДн. Презентацию вы, дорогие читатели, уже видели, потому не буду долго распинаться - расскажу о своих впечатлениях. Во-первых, сам по себе приезд представителей ФСТЭК в нашу область - событие знаковое, а уж тем более - выступление на конференции с докладом. Поэтому все их ждали, и ФСТЭК ожидания публики не обманула. Была продемонстрирована неплохая, но достаточно стандартная презентация, ничего нового я для себя не увидел, и уж тем более - ничего сверхсекретного, однако представитель ФСТЭК попросил не размещать материалы в открытом доступе. В отношении "тотального лицензирования" по ТЗКИ представитель ФСТЭК сказал, что его позиция (особо подчеркнул, что она совпадает с позицией центрального аппарата) такова, что лицензия нужна тем, кто оказывает УСЛУГИ, а не всем поголовно. Однако мало кто на это обратил внимание (видимо, получать ее никто и не собирался). А вот дальше - интересные моменты. Мелькнувшая во вступительном слове мысль, что "сертификация" в качестве "оценки соответствия" для негосударственных структур - дело, по сути, добровольное (!), в итоге была сведена к необходимости обязательной сертификации. Здесь же прозвучала другая интересная мысль: если жесткий диск с ПДн после работы убирается в сейф, то никаких технических мер, кроме охраны того самого сейфа, не требуется. Но и она как-то была упущена слушателями. Далее следовало выступление Роскомнадзора, в котором идея съемных НЖМД как "отличного заменителя" КСЗИ была поддержана, а также прозвучала фраза, смысл которой сводился к необходимости построения одинаковой системы защиты для информации любых уровней конфиденциальности. Выступление вашего покорного слуги следовало сразу за регуляторами, и оно, честно сказать, как процесс мне не понравилось. Всему виной особенности размещения: трибуна, за которой пришлось стоять (а я очень не люблю трибуны) и место, где проецировались слайды, находились в разных концах, и разделены были т.н. "столом президиума". Поэтому и мне, и президиуму для того, чтобы отслеживать происходящее на экране, приходилось поворачиваться боком (а иногда и больше :) к слушателям. Но последние были довольны, смеялись и аплодировали, чего нельзя было сказать о регуляторах... Особенно велико было их удивление тому, что стоимость владения лицензией на ТЗКИ составляет 3 миллиона: "откуда такие суммы, это же документ, и при выдаче лицензии проверяются документы, это 2 тысячи рублей..." К счастью, в зале находились представители двух из 3-х лицензиатов Вологодской области, и они смогли грамотно и доходчиво объяснить, что и как считалось. После моего выступления представитель ФСТЭК очень красиво разрядил обстановку, сказав мудрую мысль о том, что действительно проблем много, действительно однозначных ответов на вопросы очень часто не отыскать, и все это происходит потому, что никто и никогда не делал экспертизу существующей нормативно-правовой базы в области защиты информации. А представитель Роскомнадзора добавил, что "всем нужно отрабатывать свою зарплату", после чего все, довольные и счастливые, ушли на перерыв. После был круглый стол, на котором почему-то было очень мало вопросов. Роскомнадзор спрашивали про согласия на обработку и кадровые проблемы, ФСТЭК говорил про новый СТР-К и некоторые другие документы, которые разрабатывает Воронежский институт, но когда они увидят свет - неизвестно. В общем, как-то вяло - народ, видимо, подустал. Да и что спрашивать - сказали же, однозначного ответа не существует. Ну а потом все разошлись. Занавес. С огромным сожалением вынужден констатировать тот факт, что доклада ФСБ по криптографии на конференции так и не прозвучало. То ли у представителя не нашлось времени, то ли не нашлось представителя - сие нам не ведомо. Но очень обидно, досадно... Ну да ладно.
От себя хочу сказать спасибо Алексею Лукацкомуи Ригелюза материалы (некоторые мысли и слайды позаимствованы, копирайты соблюдены). Особое спасибо toparenkoза рецензию :) Для того, чтобы скачать презентацию, необходимо открыть ее по ссылкеи нажать на кнопочку Download, кто не хочет регистрироваться - пожалуйста, выложил на iFolder. ЗЫ. Если будет видео - размещу отдельным постом :)
Убирайте жесткие диски в сейфы
Убирайте жесткие диски в сейфы
Вчера выступал на конференции, посвященной проблематике технической защиты ИСПДн. Презентацию вы, дорогие читатели, уже видели, потому не буду долго распинаться - расскажу о своих впечатлениях. Во-первых, сам по себе приезд представителей ФСТЭК в нашу область - событие знаковое, а уж тем более - выступление на конференции с докладом. Поэтому все их ждали, и ФСТЭК ожидания публики не обманула. Была продемонстрирована неплохая, но достаточно стандартная презентация, ничего нового я для себя не увидел, и уж тем более - ничего сверхсекретного, однако представитель ФСТЭК попросил не размещать материалы в открытом доступе. В отношении "тотального лицензирования" по ТЗКИ представитель ФСТЭК сказал, что его позиция (особо подчеркнул, что она совпадает с позицией центрального аппарата) такова, что лицензия нужна тем, кто оказывает УСЛУГИ, а не всем поголовно. Однако мало кто на это обратил внимание (видимо, получать ее никто и не собирался). А вот дальше - интересные моменты. Мелькнувшая во вступительном слове мысль, что "сертификация" в качестве "оценки соответствия" для негосударственных структур - дело, по сути, добровольное (!), в итоге была сведена к необходимости обязательной сертификации. Здесь же прозвучала другая интересная мысль: если жесткий диск с ПДн после работы убирается в сейф, то никаких технических мер, кроме охраны того самого сейфа, не требуется. Но и она как-то была упущена слушателями. Далее следовало выступление Роскомнадзора, в котором идея съемных НЖМД как "отличного заменителя" КСЗИ была поддержана, а также прозвучала фраза, смысл которой сводился к необходимости построения одинаковой системы защиты для информации любых уровней конфиденциальности. Выступление вашего покорного слуги следовало сразу за регуляторами, и оно, честно сказать, как процесс мне не понравилось. Всему виной особенности размещения: трибуна, за которой пришлось стоять (а я очень не люблю трибуны) и место, где проецировались слайды, находились в разных концах, и разделены были т.н. "столом президиума". Поэтому и мне, и президиуму для того, чтобы отслеживать происходящее на экране, приходилось поворачиваться боком (а иногда и больше :) к слушателям. Но последние были довольны, смеялись и аплодировали, чего нельзя было сказать о регуляторах... Особенно велико было их удивление тому, что стоимость владения лицензией на ТЗКИ составляет 3 миллиона: "откуда такие суммы, это же документ, и при выдаче лицензии проверяются документы, это 2 тысячи рублей..." К счастью, в зале находились представители двух из 3-х лицензиатов Вологодской области, и они смогли грамотно и доходчиво объяснить, что и как считалось. После моего выступления представитель ФСТЭК очень красиво разрядил обстановку, сказав мудрую мысль о том, что действительно проблем много, действительно однозначных ответов на вопросы очень часто не отыскать, и все это происходит потому, что никто и никогда не делал экспертизу существующей нормативно-правовой базы в области защиты информации. А представитель Роскомнадзора добавил, что "всем нужно отрабатывать свою зарплату", после чего все, довольные и счастливые, ушли на перерыв. После был круглый стол, на котором почему-то было очень мало вопросов. Роскомнадзор спрашивали про согласия на обработку и кадровые проблемы, ФСТЭК говорил про новый СТР-К и некоторые другие документы, которые разрабатывает Воронежский институт, но когда они увидят свет - неизвестно. В общем, как-то вяло - народ, видимо, подустал. Да и что спрашивать - сказали же, однозначного ответа не существует. Ну а потом все разошлись. Занавес. С огромным сожалением вынужден констатировать тот факт, что доклада ФСБ по криптографии на конференции так и не прозвучало. То ли у представителя не нашлось времени, то ли не нашлось представителя - сие нам не ведомо. Но очень обидно, досадно... Ну да ладно.
От себя хочу сказать спасибо Алексею Лукацкомуи Ригелюза материалы (некоторые мысли и слайды позаимствованы, копирайты соблюдены). Особое спасибо toparenkoза рецензию :) Для того, чтобы скачать презентацию, необходимо открыть ее по ссылкеи нажать на кнопочку Download, кто не хочет регистрироваться - пожалуйста, выложил на iFolder. ЗЫ. Если будет видео - размещу отдельным постом :)
