16-17 апреля в «Метрополе» пройдет VIII межотраслевой Форум директоров по информационной безопасности . Наше агентство традиционно принимает в нем участие, а среди самых интересных мероприятий, в которых приходилось на форуме участвовать – модерирование панельной дискуссии с криптографами с участием хорошо знакомых специалистам россиян В. Смирнова (СигналКом) и С. Рябко (Эс-Терра), а также создателя легендарной программы шифрования PGPамериканца Ф. Циммермана.
В этом году мероприятие тоже обещает быть интересным. Основной упор сделан на выступления специалистов «с той стороны» - практиков, работающих у заказчиков. Русал, Северсталь, Иркут, SPSR express, Эльдорадо – далеко не полный перечень предприятий, чьи руководители подразделений информационной безопасности разного уровня поделятся своим взглядом на ситуацию с обеспечением безопасности в наше непростое время. Много будет о защищенности банковских систем и тоже устами банковских специалистов, а не вендоров и интеграторов.
Большая часть программы отведена на вопросы аутсорсинга обработки данных и защиты информации, использования облачных сервисов, в которые обязательно вклиниваются проблемы размещения технических средств обработки. И дело не только в персональных данных. С 1 июля 2015 года технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями должны размещаться на территории Российской Федерации. К тому же все государственные и информационные системы должны быть аттестованы по требованиям безопасности. Так что проблем действительно много.
Именно этим вопросам будет посвящен и мой мастер-класс с длинным названием «Нормативное регулирование переноса обработки информации ограниченного доступа и персональных данных в облачную инфраструктуру и коммерческие дата-центры, в том числе находящиеся за рубежом». Он пройдет в первый день форума, 16 апреля, с 16:30 до 17:00. На эту тему я уже не раз писал, в том числе и в блоге, например, про « буферные зоны » обработки персональных данных, современный бизнес и привлечение для его ведения контрагентов, которые становятся обработчиками персональных данных , требования к территориальному размещению систем обработки данных и в других постах. Но вопросов меньше не становится, и проектов по реализации требований тоже.
Поэтому для 16 апреля выбран именно формат мастер-класса с ответами на вопросы: можно или нет, если да, то как и почему. Для начала попытаемся выяснить, кто вообще не может пользоваться зарубежным хостингом и сервисами иностранных провайдеров. Для остальных проанализируем, как надо распределить обязанности оператора персональных данных и оператора информационной системы, провайдера вычислительных и облачных услуг, хостера программного обеспечения, используемого по модели SaaS.
Это представляется крайне важным, поскольку закон и принятые в его исполнение акты возлагает именно на оператора персональных данных обязанность определения актуальных угроз, выбора средств защиты, получения согласия субъектов, а при аутсорсинге реализация этих требований «в лоб» представляется весьма проблематичной. Поэтому мы ищем пути выполнения требований закона, не ломающие бизнес. В последнее время я вынужден часто повторять, что компания, отказывающаяся от современных технологий из-за непроработанности нормативного регулирования их использования, окажется на обочине конкурентной борьбы. Значит, надо не отказываться от передового, а искать способы выполнения требований регуляторов. Вопросы сложные, поэтому я готов и к спорам, и к обоснованию своей точки зрения.
Для заинтересовавшихся - видео выступления на похожую тему на CyberSecurityForumв конце февраля, снятое J’SonTV. Для затравки, потому что у меня было всего 10 минут, а теперь – в три раза больше J.
