Форум директоров по информационной безопасности 2012

Форум директоров по информационной безопасности 2012

Вот и прошел очередной форум директоров по информационной безопасности, настало время подготовить короткий отчет. Для начала пройдемся по некоторым докладам, а потом подведем итог по мероприятию в целом. Сразу добавлю, что далеко не все доклады мне удалось послушать, поэтому упоминания также будут выборочными.

Итак,

Первый день

Пленарка запомнилась выступлениями регуляторов ФСТЭК и ФСБ (Роскомнадзор отсутствовал).

ФСБ (Олег Залунин):

  • Постановления Правительства в части ПДн уже подготовлены и согласованы с ФСБ (в общем-то, они их и разрабатывали). Эти документы мы скоро увидим. По словам представителя ФСБ в документах появился новый параметр, который вместе с уровнем защищенности влияет на требования по защите это [категория нарушителяk
  • По существующему плану сразу после опубликования Постановлений Правительства должны выйти новые ведомственные документы ФСБ по ПДн (примерно середина лета)

ФСТЭК (Виталий Лютиков):

  • Подход, который был использован при подготовке документов по IPS, будет применяться и в дальнейшем, в частности при разработке документов по АВЗ, DLP и т.д.
  • На вопрос, является ли сертификация СЗИ обязательной, был дан ответ: “Да, из-за 330 Постановления Правительства”. По словам докладчика, эту строчку в постановление вписали в Минобороны. Напомню, 330 постановление не опубликовано (имеет гриф ДСП) и не зарегистрировано в Минюсте, и согласно действующему законодательству считается не вступившим в законную силу
  • На вопрос, нужна ли лицензия ФСТЭК на ТЗКИ для собственных нужд, был дан уклончивый ответ, что это решает руководитель организации

Далее Алексей Лукацкий рассказал про тенденции развития ИБ в России и мире. Свои презентации он уже выложил .

После кофе-брейка был доклад Александра Кириллова из Северстали о взаимодействии ИБ и бизнеса. Не всем оказался по душе подход к ИБ лишь как к инструменту борьбы с издержками, но лично я склонен согласиться с докладчиком. Примерно год назад я описывал похожий подход в заметке [Руководитель службы ИБ как бизнес-менеджерk.

Запомнился доклад Дениса Персанова из АШАНа, особенно понравился его ответ на чей-то длинный и запутанный вопрос, суть которого сводилась к тому, есть ли в АШАНе проблемы с безопасностью. Ответ был четким и уверенным, что проблем нет ;-) .

После обеда, с очередным успешный кейсом о поимке киберпреступников выступил Илья Сачков, и, как всегда, это превратилось в занятное шоу ;-) . Если серьезно, то кейс действительно интересный новостное видео есть тут:

Понравился круглый стол про безопасность ЦОДов. Традиционно в таких секциях обсуждается не только безопасность [облаковk и виртуализации, но и долго выясняется что это вообще такое ;-) . Любопытный доклад был у Дмитрия Огородникова из Инлайна про консалтинговую часть проекта по защите виртуализированного ЦОДа. Особенно понравилась предложенная очень простая и реально применимая классификация активов. Как сказал сам Дмитрий: [ничего особенного, просто кропотливая работаk.

Хорошая техническая презентация была у Максима Федотенко из [ЛУКОЙЛ-ИНФОРМk про практику защиты виртуализации. К слову в ЛУКОЙЛ-ИНФОРМе был один из немногих больших и успешных проектов по защите виртуализации. Будет интересно еще раз посмотреть презентацию, после того как ее выложат на сайте форума.

Ну, а дальше были бразильские танцы с перьями ;-)

Второй день

Во второй день я выбрал банковскую секцию. Может быть, потому что банковская безопасность мне ближе, большинство докладов показались слишком простыми, однако комментарии Светланы Беляловой были очень достойные. Главное, что в секции мы все сошлись во мнении, что безопасность ДБО крайне актуальный вопрос для банков. Это вопрос отдельного большого поста, который в ближайшее время планирую выложить.

Ну а после обеда, [зажигалk ;-) Алексей Волков про свой успешный опыт судебного разбирательства с Роскомнадзором. Про серию его заметок я уже говорил. Тонкостей в этом вопросе много, но основной [эксклюзивk заключается в том, что данное дело создало прецедент. Суд подтвердил [главенство 18-й статьи над 19-йk в законе о персональных данных , другими словами оператор сам определяет состав и перечень мер по защите, а 19-я статья лишь рекомендуемый перечень. К слову, наши технические регуляторы с этим мнением не согласны и содержание их докладов от мероприятия к мероприятию это косвенно подтверждает.

ИТОГО

Примерно так я увидел форум директоров по ИБ в этот раз. В целом, мероприятие, в сравнении с прошлым годом, прибавило. Прогресс есть и это хорошо, хотя все предыдущие [болезниk видимо перешли в разряд [хроническихk. Интересно, что в этот раз меня больше интересовал вопрос, а зачем читались некоторые коммерческие доклады? Выступление на форуме стОит для спонсоров немалые деньги, поэтому странно наблюдать, как некоторые докладчики [за свои же деньги мямлят…k. Мало того, что не продали, так еще и мнение о себе испортили…

Но все-таки не доклады главное. Главное это возможность встретиться со многими коллегами и обсудить все накопившиеся вопросы в ОДНОМ месте и всего за 2 ДНЯ.

Инновации Информационная безопасность Персональные данные Проверки регуляторов DLP IPS антифрод Банки Виртуализация ДБО ДСП закон о персональных данных Законодательство Интеграторы киберпреступность Коллеги Консультация Минобороны Минюст мошенничество
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации