В пятницу закончился 6-й Уральский форум "Информационная безопасность банков" - специализированное мероприятие, посвященное, как видно из названия, именно банковской тематике. Прошло оно замечательно - как с точки зрения контента, так и с точки зрения общения (многие ради него и ездят). А уж скрипящий и белоснежный снежок под ногами при минус 28 в последний вечер - это и вовсе сказка для москвичей, которые в этом году зимы нормальной и не видели. Рассказывать об организации мероприятия я не буду (АвангардПро - молодцы); как и об соотношении банков и спонсоров :-) Хотелось бы тезисно очертить основные запомнившиеся мне выступления. Преимущественно они принадлежали регуляторам (ФСТЭК, ФСБ, ЦБ, Минкомсвязь), но и банки не подвели - делились практикой, а она всегда интересна. Интеграторы и вендоры были в своем репертуаре и в их докладах было мало запоминающегося и стоящего упоминания. Итак начнем.
Многие коллеги, увидев в программе выступление ФСТЭК, подумали, что Лютиков Виталий Сергеевич будет пересказывать вкратце выступления с конференции ФСТЭК, прошедшие неделей ранее (часть 1 , 2 , 3 и 4 ). Но нет... Выступление Виталия Сергеевича было посвящено двум готовящимся ГОСТам - по защите виртуализации и облачных вычислений.
ГОСТы должны быть вполне адекватными и отражать широкий спектр различных вариантов реализации виртуализации и облачных вычислений. Часть этих требований (но в меньшем объеме) описана в 17-м и 21-м приказах, а также в методичке ФСТЭК по защите ГИС, которая была опубликована на сайте ФСТЭК в день начала форума (и информационное сообщение к ней). Как я уже писал принятие этих ГОСТов планируется в мае.
Рассказом об этих двух ГОСТах официальная часть выступления ФСТЭК была закончена, но и была и кулуарная :-) А в ее рамках было озвучено, что на позапрошлой неделе был утвержден приказ ФСТЭК об отмене пресловутого "приказа трех" по классификации ИСПДн. Иными словами, теперь ни о каких классах ИСПДН от 1-го до 4-го речи идти не может - только уровни защищенности по ПП-1119. Видимо скоро придется ждать изменения 706-го приказа РКН об утверждении рекомендаций по заполнению уведомления об обработке ПДн.
Но и на этом новости по линии ФСТЭК не заканчиваются. В докладе Георгия Грицая из Минкомсвязи прозвучало, что в готовящемся законопроекте по безопасности критической информационной инфраструктуры (в апреле планируется внесение его Правительством РФ в Госдуму) немного поменяли и определение КИИ. Теперь под него могут попасть и банковские информационные системы, банкоматные сети, сети платежных терминалов и т.п. И если раньше в список критически важных объектов, предположительно, входили только ЦБ и Сбербанк, то после принятия нового законопроекта этот список может пополниться системно значимыми кредитными организациями, а также и иными банками.
В законопроекте также уточнены критерии категорирования опасности объектов, на которые будут распространяться требования по защите. По имеющейся информации критерий экономической значимости в текущей редакции законопроекта оперирует таким значением, как 1 миллион рублей ущерба, что означает, что в список объектов, подпадающих под регулирование могут попасть не только системно значимые, но и другие банки.
И если ФСБ, как авторы законопроекта, выкинут такой фортель с критериями категорирования, то сразу встанет вопрос, а какие требования по защите будут предъявляться к банкам? И кто будет их вырабатывать? ФСТЭК или ФСБ? Текущий проект требований ФСТЭК по защите информации в АСУ ТП врядли может быть применен к банкам - все-таки у последних нет систем управления технологическими процессами. Остается только ждать апреля.
Вот такие новости по линии ФСТЭК... В следующей заметке рассмотрим, чем нас на Уральском форуме порадовал 8-й Центр ФСБ.
Многие коллеги, увидев в программе выступление ФСТЭК, подумали, что Лютиков Виталий Сергеевич будет пересказывать вкратце выступления с конференции ФСТЭК, прошедшие неделей ранее (часть 1 , 2 , 3 и 4 ). Но нет... Выступление Виталия Сергеевича было посвящено двум готовящимся ГОСТам - по защите виртуализации и облачных вычислений.
ГОСТы должны быть вполне адекватными и отражать широкий спектр различных вариантов реализации виртуализации и облачных вычислений. Часть этих требований (но в меньшем объеме) описана в 17-м и 21-м приказах, а также в методичке ФСТЭК по защите ГИС, которая была опубликована на сайте ФСТЭК в день начала форума (и информационное сообщение к ней). Как я уже писал принятие этих ГОСТов планируется в мае.
Рассказом об этих двух ГОСТах официальная часть выступления ФСТЭК была закончена, но и была и кулуарная :-) А в ее рамках было озвучено, что на позапрошлой неделе был утвержден приказ ФСТЭК об отмене пресловутого "приказа трех" по классификации ИСПДн. Иными словами, теперь ни о каких классах ИСПДН от 1-го до 4-го речи идти не может - только уровни защищенности по ПП-1119. Видимо скоро придется ждать изменения 706-го приказа РКН об утверждении рекомендаций по заполнению уведомления об обработке ПДн.
Но и на этом новости по линии ФСТЭК не заканчиваются. В докладе Георгия Грицая из Минкомсвязи прозвучало, что в готовящемся законопроекте по безопасности критической информационной инфраструктуры (в апреле планируется внесение его Правительством РФ в Госдуму) немного поменяли и определение КИИ. Теперь под него могут попасть и банковские информационные системы, банкоматные сети, сети платежных терминалов и т.п. И если раньше в список критически важных объектов, предположительно, входили только ЦБ и Сбербанк, то после принятия нового законопроекта этот список может пополниться системно значимыми кредитными организациями, а также и иными банками.
В законопроекте также уточнены критерии категорирования опасности объектов, на которые будут распространяться требования по защите. По имеющейся информации критерий экономической значимости в текущей редакции законопроекта оперирует таким значением, как 1 миллион рублей ущерба, что означает, что в список объектов, подпадающих под регулирование могут попасть не только системно значимые, но и другие банки.
И если ФСБ, как авторы законопроекта, выкинут такой фортель с критериями категорирования, то сразу встанет вопрос, а какие требования по защите будут предъявляться к банкам? И кто будет их вырабатывать? ФСТЭК или ФСБ? Текущий проект требований ФСТЭК по защите информации в АСУ ТП врядли может быть применен к банкам - все-таки у последних нет систем управления технологическими процессами. Остается только ждать апреля.
Вот такие новости по линии ФСТЭК... В следующей заметке рассмотрим, чем нас на Уральском форуме порадовал 8-й Центр ФСБ.
