16-го февраля, всего через 2 недели, начнется очередное знаковое событие в банковской ИБ - Уральский форум "Информационная безопасность банков". Я туда езжу уже много лет и это одно из четырех региональных событий общероссийского масштаба, которые мне нравится посещать (еще IT & Security Forum, "Код безопасности" и ИнфоБЕРЕГ, если последний вернется из Крыма в Сочи :-) Еду я и в этот раз; причем от текущего мероприятия у меня особые ожидания.
И дело тут не только в том, что в Магнитогорске в этом время нормальная зима. Скрипучий снег, морозец, солнце, свежий воздух... В Москвы мы этого всего лишены большую часть зимних месяцев и поэтому хоть ненадолго прильнуть к лону природы дорогого стоит.
И дело не в том, что в Магнитогорске удается встретиться и нормально пообщаться с друзьями и коллегами, которых в Москве, с нашим ритмом, трудно вытащить на встречу. А на Урале для этого все условия - деревянные бани с морозными купальнями на улице, соленые груздочки в сметане, пельмешки, травяной чай с медом и другие напитки, которые так хорошо идут под гитару или караоке в 3 часа ночи. Есть и иные, более рабочие мотивы.
В первую очередь, это мероприятие задает тон на ближайший год в части ИБ банковской сферы. Именно на нем озвучиваются различные инициативы, которые затем, в течение года претворяются в жизнь. В частности в этот раз я жду ответа на следующие вопросы:
ЗЫ. Мне тут дали понять, что мой репортаж в прямом эфире с конференции - не самая лучшая идея, которая приводит к потере на склоне или в баре части аудитории, следящей за происходящем в зале по моим твитам. Так что в этом году прямого репортажа может и не состояться :-(
И дело тут не только в том, что в Магнитогорске в этом время нормальная зима. Скрипучий снег, морозец, солнце, свежий воздух... В Москвы мы этого всего лишены большую часть зимних месяцев и поэтому хоть ненадолго прильнуть к лону природы дорогого стоит.
И дело не в том, что в Магнитогорске удается встретиться и нормально пообщаться с друзьями и коллегами, которых в Москве, с нашим ритмом, трудно вытащить на встречу. А на Урале для этого все условия - деревянные бани с морозными купальнями на улице, соленые груздочки в сметане, пельмешки, травяной чай с медом и другие напитки, которые так хорошо идут под гитару или караоке в 3 часа ночи. Есть и иные, более рабочие мотивы.
В первую очередь, это мероприятие задает тон на ближайший год в части ИБ банковской сферы. Именно на нем озвучиваются различные инициативы, которые затем, в течение года претворяются в жизнь. В частности в этот раз я жду ответа на следующие вопросы:
- Противостояние ГУБиЗИ и ДНПС. После того, как в ЦБ произошла очередная реорганизация и ДНПС покинули ключевые сотрудники, занимавшиеся ИБ, в ДНПС не осталось никого, кто обладал бы политическим влиянием продвигать какие-то изменения в области информационной безопасности Национальной платежной системы. И методологическая основа оттуда тоже исчезла. В итоге ДНПС сейчас собирает сейчас 202-ю и 203-ю формы отчетности, но никакой публичной аналитики по ним нет уже полтора года. Последний отчет об инцидентах былза первое полугодие 2013-го года. Возникает закономерный вопрос - зачем нужен ДНПС, если за ИБ в кредитных организациях он отвечает лишь формально? Не вернуть ли эту тему обратно в ГУБЗИ, в единые руки, которые писали и СТО БР ИББС и первую редакцию 382-П? Тогда развитие нормативной базы ЦБ в области ИБ станет более понятным и предсказуемым. Да и к мнению отрасли станут больше прислушиваться - в последних двух редакциях 382-П мнение экспертов, высказанных на разных рабочих группах почти не было услышано. Есть шанс, что в Магнитогорске может появиться ясность в этом вопросе.
- FinCERT. 30-го января "Ведомости" опубликовалистатью про FinCERT, которая сразу вызвала споры в узком кругу специалистов. Статья утверждала, что из ряда источников стало известно, что центр реагирования на инциденты безопасности в кредитных организациях будет создан не при ЦБ, как говорилось ранее, включая и прошлогодний Уральский форум, а при ООО НСПК (его представители, кстати, тоже будут на форуме в Магнитогорске); и заниматься, якобы, этот центр будет не всеми инцидентами в кредитных организациях, а только связанными с карточным мошенничеством в НСПК. Со стороны ряда экспертов, приближенных к ЦБ, был высказан тезис, что все не так, как написано в статье. На форуме обещали раскрыть все карты и рассказать, что все-таки будет делать FinCERT? Меня лично интересует два вопроса, с ним связанных. Первый - что станется с 203-й и 258-й формами отчетности? Куда они будут направляться после запуска FinCERT'а - по-прежнему в ДНПС (и там они пропадают, как в бездне) или в FinCERT? А второй вопрос связан со сферой деятельности FinCERT - ограничится ли он только аналитической и методологической составляющей (что врядли, учитывая, что очень активную роль в процессе создания играет Совет Безопасности и ФСБ) или будет заниматься расследованием инцидентов? Но тогда встает вопрос о внесении изменений в законодательстве об ОРД. На форуме должны дать ответ и на эти вопросы.
- ИБ в НСПК. С НСПК связана и другая тема. С 1-го апреля она должна быть запущена в промышленную эксплуатацию. НСПК, как платежная система, является частью НПС и обязана соблюдать ее правила. В том числе правила и по информационной безопасности, описанные в 382-П. Но там про безопасность карточек нет ни слова (кроме поправок в новую редакцию 382-П, вступающие силу с 16-го марта, о том, что надо переходить на чиповые карты). Как выполнять требования по ИБ применительно к картам, выданным НСПК? Тему "легализации" PCI DSS прикрыли; да и в текущей геополитической ситуации ее врядли кто поднимет на древко (тут самому бы на это древко не быть поднятым). Тоже тема с множеством вопросов, на которые хотелось бы получить ответы; особенно учитывая, присутствие на форуме всех ключевых игроков.
- ФЗ-242 и перевод денежных средств. Учитывая присутствие на форуме представителей РКН, я предвижу, что им может быть задан вопрос о том, как осуществлять денежные переводы из России (в которых фигурируют ПДн плательщика - гражданина РФ) в другие государства; особенно в рамках заработавшего с 1-го января ЕАЭС? Запрещает ФЗ-242 хранить ПДн российских плательщиков в АБС иностранных банков-получателей или нет? Кто-то говорит, что нет. Кто-то, что да. А хотелось бы иметь четкий ответ. Может быть такой запрос уже сделал ЦБ в сторону РКН?..
Я назвал четыре темы, которые вызывают мой искренний интерес, и которые должны быть освещены в рамках форума (может быть и непублично - не зря многие вопросы на форуме обсуждаются кулуарно). Но это не все, что представляетинтерес.
Лютиков Виталий Сергеевич будет говорить о подходах к безопасности ПО, что, учитывая подготовку нормативки по данной теме, говорит о том, что нас ждет скоро новая тема, курируемая ФСТЭК - SDLC и все с ней связанное. Судя по тому, что на конференцииФСТЭК "Актуальные вопросы защиты информации" этой теме должного внимания не уделено, то на Урале будет премьера. Будут выступления про проверки со стороны ЦБ и ИБ в некредитных организациях. МВД расскажет про противодействие мошенничеству, а 8-ка про использование отечественных HSM при создании НСПК. Кстати, со стороны органов власти будет очень представительная делегация - ЦБ (все ключевые департаменты), ФСБ, ФСТЭК, РКН, Совет Федерации, заместитель губернатора Челябинской области (Руслан Гаттаров).
Еще мне интересен формат, который был опробован в прошлом году - вечерние посиделки "на тему". В прошлом году очень удачно подискутировали "под пиво" про FinCERT. В этом году было решено поговорить на животрепещущую тему санкций. И дело тут не только в части поставок ИБ/ИТ-решений в банки, но и в части осуществления деятельности по переводу денежных средств. Например, "Золотая корона" не осуществляет с 20-го ноября платежей в Крым и Севастополь. Почему? Российская платежная система и не переводит в регион РФ... Странно. Тема для обсуждения.
Будет несколько круглых столов; интересных мне два. Один ведет Наташа Касперская - про авторитет ИБ в условиях кризиса. Второй - про ожидания банков от ИБ-вендоров и интеграторов. Думаю будет много неудобных вопросов про повышение цен на отечественные продукты, непрозрачность ценообразования, нежелание кредитования и т.п. Будут и специальные воркшопы от вендоров - полуторачасовые демонстрации продуктов и решений с вопросами и ответами (этого в прошлом году не было).
Впервые будет закрытая секция, на которую будут допущены только банки, которые смогут пообщаться с ЦБ, ФСБ и МВД. Что там будет - можно предположить, но доподлинно неизвестно. В контексте создания FinCERT секция будет более чем интересная.
А на закуску - день практической безопасности. Последний день форума. Будет 3 мастер-класса - от Касперского, Positive Technologies и CTI... 2 выступления от "банкиров" - Фарит Музипов поделится опытом прохождения различных международных ИБшных сертификаций, а Андрей Коротков расскажет о том, как он "переметнулся" из ИБ в ИТ и как у него поменялось мировозрение :-)
И, наконец, в этом году родилась идея попробовать провести киберучения по информационной безопасности. Это не будет аналогом CTF, направленного на технических специалистов. Хочется попробовать провернуть что-то для руководителей ИБ, которые в режиме мозгового штурма (пока детали раскрывать не буду) попробуют отражать атаки на несуществующий, но похожий на реальный банк, а жюри и аудитория в зале будет оценивать действия нападающей и защищающейся сторон.
Также из новинок хотел бы отметить:
Также из новинок хотел бы отметить:
- Бесплатное обучение по вопросам безопасности от ряда ведущих учебных центров России (очень удачно можно совместить командировку с обучением, что в условиях урезания бюджетов будет очень и очень актуально).
- Мобильное приложение "Уральский форум", которое содержит программу конференции с возможностью составить собственное расписание, список участников (теперь можно не тупить "а ты кто такой", а глянуть в приложение) и спикеров, партнеров и организаторов. Для тех кто любит ночами блудить между катком, караоке, банями, бильярдом и баром, в приложении будет карта места проведения конференции с указанием всех злачных мест :-) Ну и самое интересное - голосование. В прошлом году мы голосовали карточками (как судьи на футбольном поле) - в этот раз инновации достигли Урала и свою оценку можно будет поставить любому спикеру. При этом он вас не видит и вы можете разгуляться по полной :-)
- Книжная ярмарка с новинками ИБ-литературы. Кстати, на форуме будет представлена книжка Артема Сычева и Сергея Вихорева "Диалоги о безопасности информации". Кто хочет получить книгу с автографами авторов? :-)
Насыщенная программа, интересные темы... Присоединяйтесь :-)
ЗЫ. Мне тут дали понять, что мой репортаж в прямом эфире с конференции - не самая лучшая идея, которая приводит к потере на склоне или в баре части аудитории, следящей за происходящем в зале по моим твитам. Так что в этом году прямого репортажа может и не состояться :-(
