InfoSecurity Moscow 2008: впечатления первого дня

Итак, закончился первый день InfoSecurity Russia 2008. Выкладываю свои презентации. Первая посвящена теме Security Governance. Не могу сказать, что она удалась. И зал был не тот (технический для такой темы явно не подходил), и аудитория еще не проснулась, да и я погорячился, когда эту тему выставил на InfoSecurity. Все-таки пока эту тему рано поднимать. Ее аудитория — это CIO Summit’ы в разных вариантах.

Security Governance

View SlideShare presentation or Upload your own.

Вторая тема была посвящена вопросам стандартизации. Или точнее ее несовершества в России. Я думал, что я пессимист, но оказалось, что есть и более пессимистичные люди 😉 В итоге сошлись на том, что в ближайшее время единства при разработке стандартов ИБ в России не будет. Это признал бизнес и даже регуляторы ;-( Ситуация будет только хуже, т.к. на рынок активно выходит Минкомсвязь, у которого свое видение развития стандартизации ИБ (то же новое Постановление по персданным). Достаточно интересным было выступление представители Ростехрегулирования, который поделился тем, что Воронежский институт ФСТЭК в этом году выпустил 13 стандартов по ИБ (адаптация ISO/IEC) — в следующем еще будет 9. Т.е. на месте ситуация не стоит, но и за бизнес никто ничего решать не будет. Спасение утопающих…

И третьей своей презентацией я завершал сессию по рискам. Изначально планировалось, что я начну сессию, но получилось так, что я завершал. В итоге получилось неплохо — после рассказа интеграторов о том, что анализ и управление рисками — это хорошо, я выступил с рассмотрением текущих методов измерения вероятности рисков и тяжести последствий от них.

Первый день на этом закончился…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Анонимный

    Алексей Викторович немогли бы Вы выложить презентацию «Принцип Парето в стандартизации ИБ» выложить в PowerPoint (а то 7 слайд непонятен).
    Заранее благодарен

    Ответить
  2. Анонимный

    Алексей Викторович немогли бы Вы выложить презентацию «Принцип Парето в стандартизации ИБ» выложить в PowerPoint (а то 7 слайд непонятен).
    Заранее благодарен

    Ответить
  3. Анонимный

    Эх… Что ж ты так обломал последний круглый стол? )))
    Я вот теперь думаю — идти туда ещё раз или всё напрасно?

    Ответить
  4. Алексей Лукацкий

    Что значит «еще раз»?

    Я не обломал — я рассказал, как есть 😉 А то все риски, да риски… А никто не удосуживается хотя бы на себе это все попробовать 😉

    Как с ПДн. Я жаль не был на секции по госрегулированию. А то бы спросил, кто из выступающих является сам зарегистрированным оператором персданных 😉

    Ответить
  5. Алексей Лукацкий

    евгений: я обновил презентацию

    Ответить
  6. Анонимный

    с персданными всё в порядке, т.е. полный швах. там хватало отжигов. но было интересно пообщаться с тов.Мельниковым из россвязькомнадзора. Поболтали про 14 главу ТК и прочие запросы персданных извне. вообщем каша у меня в голове не рассосалась, но сохранилось стойкое ощущение что ну его нафиг этот гемор ))

    Ответить
  7. Анонимный

    Идею с приведением «множества» стандартов к «общему» знаменателю мне кажется нужно рассматривать на другом уровне. Не на уровне государственного регулирования, а на уровне управления в конкретной организации. Идея понятна, выделить базовые требования, которые применимы ко всем,а затем применять уже расширенные. В эту схему, даже если договорятся регуляторы нашей Родины, пока не вписываются регуляторы международные, тот же PCI Consil. И проходить сертификацию придется и по требованиям российского стандарта и по требованиям PCI DSS, а кому то и SOX придется удовлетворять все равно.
    Правильно написано, спасение утопающих дело рук, самих утопающих, пусть сам бизнес разрабатывает внутри себя свой стандарт, который удовлетворяет тем требованиям регуляторов, которые к нему предъявляются в силу специфики бизнеса. И ему пусть удовлетворяет. Хотя сертифицироваться все равно придется по нескольким.

    Ответить
  8. Алексей Лукацкий

    Разбиение стандартов на модули должно проводиться регуляторами. В противном случае придется выполнять кучу несвязанных документов, а этого бы хотелось избежать

    Ответить
  9. Алексей Лукацкий

    Что же касается западных требований, то PCI DSS скорее исключение. Но и тут регуляторы могли бы подменить стандарт своими требованиями или принять его как национальный стандарт для конкретной области — карточная система.

    Ответить
  10. Unknown

    Некоторые замечания по презентации по анализу рисков. К сожалению не смог присутствовать на круглом столе.
    По АСУ ТП (для энергетики) — информация накапливается. Думаю в течение 2-х лет уже можно будет делать адекватные прогнозы и оценки ущерба.
    + Вообще, по-моему, не очень удачный пример — потому что производство как-раз посчитать не очень сложно — перерасход топлива, техногенная катастрофа, остановка производства — всё более или менее подвергается оценке.
    OSSTMM RAV — всё же не анализ рисков, а специфические метрики используемые при обследовании систем.
    ISO27005 вроде как прежде всего основан на BS7799:3, а не на 13335.
    Слайд 17 — отличный 🙂 На опыте убедились, что методику оценки надо согласовывать на всех уровнях причём чем вовлечённее все эти уровни — тем потом проще.

    Ответить
  11. Алексей Лукацкий

    2 года — это мало для систем, жизненный цикл которых может измеряться 20-ю или даже 40-а годами.

    Что же касается расчета по АСУ ТП, то если с потерями еще можно что-то делать, то с вероятностью тупик…

    Ответить
  12. Анонимный

    Алексей Викторович, что вы думаете о теме диссертации: анализ рисков систем контроля и управления доступом в АСУ ТП на основе биометрических характеристик пользователя? стоит ли связываться или все действительно так плохо со статистикой?

    Ответить
  13. Алексей Лукацкий

    По АСУ ТП статистики почти нет. Да и АСУ ТП с биометрической аутентификацией я что-то не припомню. Тема, на мой взгляд, бесперспективная на ближайшие несколько лет.

    Ответить