Первый день 3-го съезда директоров ИБ завершился. Программа была насыщенная и интересная, а т.к. я еще был и модераторов всего дня (работка, я вам скажу, адская), то прослушал все презентации и доклады.
Не претендуя на всеобъемлющий пересказ всего того, что было хочу тезисно отразить наиболее понравившиеся мне моменты:
- Все берут направление на стандартизацию. Банк России, операторы связи, игроки фондового рынка (НАУФОР готовит свой стандарт по ПДн) и т.д. СоДИТ и вовсе решил поднять знамя стандартизации ИБ/ИТ и взялся за перевод 250 необходимых ИТ/ИБ-директору стандартов. Первым, в области ИБ, стал стандарт ISO 15408:2009 (часть 1-я). Это пресловутые «Общие критерии», но не действующая в России 2-я версия, а самая последняя, третья версия критериев оценки соответствия ИТ требованиям ИБ. В ближайшие дни электронная версия стандарта будет доступна либо на сайте СоДИТ, либо на сайте съезда (там же будут доступны в среду вечером и все презентации).
- Елена Константиновна Волчинская (ведущий советник аппарата комитета ГосДумы по безопасности) рассказала о ключевых изменениях в 4-х ФЗ — «О персданных», «Об ЭЦП», «О лицензировании отдельных видов деятельности» и «О госуслугах». Наиболее интересен был второй законопроект — ряд здравых идей и предложений был высказан. Как минимум, есть желание разделить единую лицензию на все 4 вида деятельности в области шифрования на 2 вида — разработку выделить отдельно.
- Андрей Владимирович Федосенко (ведущий советник аппарата комитета ГосДумы по конституционному законодательству и государственному строительству) рассказал о планах по изменению законодательства в области персданных. По сути он прошелся по законопроекту Резника и прокомментировал отдельные его положения с точки зрения отношения к ним Правительства и ряда других заинтересованных лиц. Если будет выполнено хотя бы половина из того, что было сказано, то жить станет легче. Что же каается второго чтения, то оно будет все-таки в этом году, а сам законопроект постараются принять также в этом году.
- Была интересная секция про взгляд с высоты птичьего полета, но ни о каком полете речи не было. Были интересные доклады Сергея Голяка (ММК) и Александра Кириллова (СеверьСталь) о реальном и практическом опыте обеспечения ИБ в холдинговых структурах. Коротко и по делу.
- Как всегда, выступление Льва Матвеева из SearchInform можно было охарактеризовать следующими тезисами — «Все козлы, а мы самые крутые», «Мы делаем то, что другие никогда не сделают, потому что у нас есть крутой патент», «Мы решим все ваши проблемы с безопасностью, поиском, репутацией, лояльностью, экономическими преступлениями и вообще все», «Время на внедрение нашего крутого продукта всего 8 часов» и «Заказчиков не назову, потому что это секретная информация, но мы все равно самые крутые». Такой безаппеляционный подход, разумеется, вызвал реакцию со стороны аудитории, которая попыталась поспорить с г-ном Матвеевым. Я пресек начинающуюся склоку 😉
- В предпоследней интерактивной сессии была дискуссия на тему ПДн. Рассказ банков, химпромышленности и операторов связи был интересен, но наибольшее внимание было приковано к 2-м представителям 8-го Центра ФСБ, которые поделились своим взглядом на проблематику шифрования в контексте ПДн. Во-первых, сейчас готовится проект нового приказа ФСБ, который систематизирует все текущие наработки службы в области защиты ПДн. Во-вторых, будет уточнен перечень случаев, когда лицензия ФСБ не нужна. Например, на выполнение действий, указанных в эксплуатационной документации. Или на распространение СКЗИ клиентам для организации взаимодействия (например, ДБО у банков). В-третьих, рассматривается вопрос разрешения использования несертифицированных СКЗИ там, где нет и не будет в ближайшее время российских аналогов. В-четвертых, банки, подключившиеся к СТО, в 2011-м году проверять по линии ФСБ не будут. Такова договоренность ЦБ и ФСБ (представителей РКН и ФСТЭК на мероприятии не было).
- Последняя секция была посвящена работе западных компаний в России и как они решают вопрос выполнения корпоративных и локальных требований по ИБ. Надо заметить, что общего взгляда здесь не нашлось. Судя по ответам, каждая международная компания по разному смотрит на локальные требования ИБ. Кто-то на них откровенно забивает, т.к. выполнить «этот бред» невозможно. Кто-то пытается найти компромисс. Кто-то пытается выполнить в полном объеме. Но универсального рецепта так и не было найдено (хотя его, наверное, и нет).
Вот на этом официальная часть мероприятия закончилась и мы плавно переместились на теплоход, курсировавший по Москва-реке. Общение, но уже неформальное, продолжилось там 😉
> Александр Кириллов (СеверьСталь)
Без мягкого знака 😉
жалко что не был. из твоего поста понял что, в общем, два доклада по делу: ММК и СеверСталь 🙂 Остальные философствовали.
Нет, не правильно. У Волчинской был хороший доклад. У Федосенко. Да много у кого. Просто не все делали доклады — было много выступлений на интерактивных сессиях (круглых столах).
Добрый день, Алексей! Вы обещали материалы с 3 съезда (в среду вечером) на одном из сайтов. К сожалению, я их там не нашла. Укажите ссылку, пожалуйста, поточнее. Спасибо.
ftp://82.142.163.2/221010/bez.rar