Цитаты с Форума АЗИ

Цитаты с Форума АЗИ

С заметным таким опозданием, но всё же кратко поделюсь впечатлением от участия в качестве посетителя в работе  IV ФорумаPАЗИ  Актуальные вопросы информационной безопасности России, прошедшего 14 апреля 2015 года.

Точнее, впечатлениями от посещения первой его части. Впрочем, материалы (презентации) доступны на сайте Форума . Посмотрите на досуге — там есть и про импортозамещение, и про мобильные технологии, и про кадровое обеспечение, и про нормативно-правовую базу. Как говорится, «полный фарш».

В первой же части выступали преимущественно представители регуляторов, традиционно — без слайдов . К слову, их доклады помимо части, явно подготовленной заранее, содержали и комментарии к только что прозвучавшим тезисам и вопросам из зала. Случайно так вышло или всё было спланировано — не так уж и важно, но получилось достаточно живо и действительно походило на дискуссионный форум.

Самые интересные для себя цитаты размещал в твиттере  с тегом #ФорумАЗИ , ниже приведу краткую сводку основных цитат.

Грибков Дмитрий Геннадьевич (референт аппарата Совета Безопасности Российской Федерации) приглашал желающих принять участие в работе над Доктриной информационной безопасности РФ. Традиционно откликнулся Алексей Лукацкий , услышал ли сей призыв кто-либо ещё — мне неизвестно. Вообще, критика того, что мало кто откликается на призывы регуляторов работать над документами, но многие пользуются возможностью активно критиковать итоговые варианты, звучала также от ФСТЭК и ФСБ.

Отвечая на вопрос из зала от Рустема Хайретдинова  про строгость определения терминов, Дмитрий Геннадьевич дал такую формулу: «Кибербезопасность = защита информации = безопасность информации — это чисто технологическая составляющая, а Информационная безопасность — контентная». Потом к этой теме возвращались и другие докладчики, но, на мой взгляд, только всё окончательно запутали =)

Очень интересный доклад сделал Олег Чутов — со статистическим анализом сферы ИБ в России. По мнению Олега, ИБ — это далеко не сектор экономики, а вот именно что только сфера деятельности . Некоторые слайды из презентации привёл ниже, полностью она доступна здесь:  Скачать

Размеры сферы ИБ

Размеры сферы ИБ

Закупки по 44-ФЗ и 223-ФЗ. Итоги 2014 года.

Закупки по 44-ФЗ и 223-ФЗ. Итоги 2014 года.

Рынок аппаратных и программных средств ИБ в России

Рынок аппаратных и программных средств ИБ в России

Сертифицированные ФСБ и ФСТЭК средства по странам происхождения

Сертифицированные ФСБ и ФСТЭК средства по странам происхождения

Сертифицированные ФСТЭК средства ИБ - Импорт vs Россия в разрезе их типов

Сертифицированные ФСТЭК средства ИБ — Импорт vs Россия в разрезе их типов

Кузьмин Алексей Сергеевич (Первый заместитель начальника Центра ФСБ России) начал с того, что не любит скучные доклады по бумажке и… нет, не начал скучно бубнить =) Совсем наоборот, достаточно живо представил свою точку зрения по некоторым вопросам. Правда, меня не покидало ощущение, что Алексей Сергеевич каждый раз апеллирует к кому то конкретному, с кем у него не так давно состоялся разговор или чью статью он прочитал. Мне запомнились два тезиса:

  • ФСБ не готово выпускать как регулятор общие требования к новому классу продуктов, если таких на рынке нет хотя бы 3-5 штук. Как быть при этом разработчикам чего-то инновационного, правда, не совсем ясно.
  • Алексей Сергеевич предложил создать Единый Каталог всех продуктов, находящихся в разработке, чтобы госзаказчики при объявлении тендеров на разработки могли лучше ориентироваться, что уже планируется к выпуску.

Лютиков Виталий Сергеевич (начальник управления ФСТЭК России), наверное, самый цитируемый в твиттере и блогах представитель регуляторов, и в этот раз говорил о наболевших острых проблемах. Например, о том, что под маркой «Импортозамещение» появилось много псевдороссийских разработчиков, предлагающих  зарубежные средства защиты информации якобы отечественного производства. Склоне согласиться со словами Виталия Сергеевича — «переклеивать шильдики» сейчас действительно становится модно.

Рассказывал он также про Базу уязвимостей . В частности о том, что она должна больше ориентироваться на отечественные продукты , информация по которым в зарубежных базах крайне скудна. Сейчас в Базе уязвимостей от ФСТЭК присутствуют продукты российскихPразработчиков 1С, Лаборатория Касперского, Доктор Веб и Альт Линукс. Будем ожидать других.

Говоря про уязвимости, Виталий Сергеевич заявил, что из десятка отечественных сертифицированных разработок на базе ОС Linux уязвимость Shellshock устранили только четверо , да и то не сразу. Если вспомнить анализ СЗИ, содержащихся в реестре ФСТЭК, который я делал  (ссылка на Slideshare  и файл в формате XLSX ), то можно предположить, что речь, видимо, идёт об отечественных операционных системах и межсетевых экранах/криптошлюзах. Возможно, что и в других классах решений используется Linux с этой уязвимостью.

Кто те четверо разработчиков, внёсших исправления, Лютиков не сообщил. Мне пока на глаза попалась только информация об устранении уязвимости в opensll в дистрибутивах Альт Линукс СПТ . Уязвимость bash они тоже, кстати, поправили. Интересно, кто остальные три? И, что ещё интереснее, остальные 6?

В заключение кратко о самом Форуме. Место удачное, помещение достаточно просторное, стендов (читай — спонсоров) в избытке, доклады (те, которые я успел услышать) понравились, посетителей — много .

Организаторам спасибо за приглашение, докладчикам — за интересные выступления!

информационная безопасность shellshock АЗИ Альт Линукс аналитика впечатление доктрина ИМЗщ импортозамещение кибербезопасность мероприятие сертификация Совет Безопасности термин требования уязвимость ФСБ фстэк
Alt text

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.