ТБ-ФОРУМ 2020. Итоги.

ТБ-ФОРУМ 2020. Итоги.





    12 февраля 2020 прошла традиционная секция ФСТЭК "Актуальные вопросы защиты информации" на ТБ-форуме 2020. Уникальная возможность живого общения с руководителями регулятора разного ранга. Чем же она запомнилась?
name='more'>
     1. Два доклада другого ФОИВ. В топовое время. Минпромторг удостоен великой части. И он не подкачал. Кратко: за все отечественное, против всего иностранного. В принудительном порядке.
     2. Малое количество собственных докладов ФСТЭК. Общий доклад Лютикова +два доклада (сертификация+проект методики по моделированию угроз), не было докладов от воронежского института ФСТЭК.
     3. Полное отсутствие тематики КИИ. С одной стороны, я поддерживаю такой подход. А с другой стороны, активность прокуратуры по выполнению 187-ФЗ вызвала новый всплеск интереса организаций к особенностям выполнения ПП127 и 236 приказа.
      ФСТЭК проигнорировала эту возможность повлиять на умы субъектов КИИ.
     4. Очередная и явная демонстрация внимания публики исключительно к докладам регулятора. Очень наглядно, когда по завершению доклада ФСТЭК, встает и выходит ползала.
     5. Видимо опыт предварительного сбора вопросов по тематики конференции признан неудачным. Оставили ли только опцию "вопросы из зала", причем с плохой организацией процесса (один микрофон на весь зал, который просто не успевают передавать спрашивающему). Если негатив вызван привлечением блогеров, то  РКН собирает вопросы на почту перед своими публичными семинарами.
     6. Сложилось мнение, что деятельность ФСТЭК по регулированию области защиты конфиденциальной информации и безопасности КИИ носит формат "чайка-менеджмент"
   Начинают менять правила в одной области (сертификации, аттестации и т.д.), до конца не доводят и начинают другую. На конференции постоянно звучало от Лютикова В.С., что ФСТЭК признает остроту проблем субъектов/лицензиатов, но приоритеты расставлены по другому - сначала поручения Президента и Правительства. Так что, "проблемы индейцев шерифа не волнуют".
    7. Нам обещано очередное изменение порядка сертификации (для использования в ГИС класса К2 и выше будут предъявляться отдельные требования к аппаратной части)





 и аттестации (порядки аттестации будут различны для разных объектов информатизации (распределенных систем, АРМ, ЦОД, ЛВС), изменят структуру БДУ. Через месяц обещают опубликовать для общественного обсуждения проект методики определения угроз. Интересно, что ничего не озвучено про предстоящие изменения в 17 приказ, хотя они есть в утвержденном плане на 2020 год.










    8. Производители сертифицированных СЗИ не прислушались к рекомендациям ФСТЭК. Так, в информационном сообщении от 29 марта 2019 г. N 240/24/1525 на сайте ФСТЭК было указано "Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено.". На начало года только 11% процентов производителей отреагировало. К 1 июня 2020 года ожидается выполнение требований ФСТЭК 80%. Вообще к производителям сертифицированных СЗИ звучало много нареканий от ФСТЭК. (из 148 СЗИ  переоформлено только 16)
   9. Обещают проведение централизованного обучения специалистов по использованию новой методики моделирования угроз, но формат и учебная база еще не определена.
   10. Шевцов Д.Н. в своем докладе сделал акцент на необходимости корректного и культурного отражения  в блогах критики деятельности ФСТЭК, в том числе и в графической форме (карикатуры).

    Собственно доклады:
Вступительное слово


   
Доклад Минпромторга

Вопросы к Минпромторгу


Комментарий Лютикова к докладу Минпромторга


Доклад Лютикова В.С.


Ответы Лютикова В.С. на вопросы из зала


Доклад Шевцова Д.Н. по сертификации


Доклад Гефнер И.С. по проекту методики определения угроз

Ответы Гефнер И.С. на вопросы из зала




* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
******Группа вконтакте  https://vk.com/klub187fz


Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности