Что я жду от конференции ФСТЭК и от РусКрипто?

Уже по традиции февраль стал месяцем, в котором проходит два мероприятия главных регуляторов по ИБ — ФСТЭК России и Банка России. Первый проводит свою юбилейную, уже десятую конференцию «Актуальные вопросы защиты информации». Думаю, что юбилей вряд ли будет как-то с помпой отмечаться, но контент, который должен будет представить регулятор, представляет, как и обычно, интерес. Учитывая, что на вчерашнем Инфофоруме уже было выступление Лютикова В.С., который высказался по 3-м ключевым направлениям — КИИ, сертификация и проблема кадров. Именно последняя тема, озвученная (на 45:40 мин) заместителем директора ФСТЭК, на последнем SOC Forum, вызвала бурную дискуссию в соцсетях. В программе конференции 12-го февраля этой темы нет, но зато чуть ли не половина докладов будет посвящена вопросам сертификации средств защиты информации по введенным недавно требованиям (тут и 55-й приказ, и требования по доверию, и планы по развитию БДУ).

Возможно будут озвучены в очередной раз планы по выпуску и разработке новых РД к средствам защиты, тем более, что те же требования к СУБД, упомянутые несколько лет назад, так и не появились, а с тех пор разрабатывались также требования, как минимум, к средствам отражения DDoS-атак. Я «пробежался» по прежним выступлениям регулятора и посмотрел на его обещания/планы в части выпуска новых требований к средствам защиты. Видно, что от года к году аппетит регулятора снижался и если в 2016-м году и ранее ФСТЭК хотела охватить своими требованиями все средства защиты, которые могут реализовывать меры из 17/21/31-го приказов, то в 2017-м году в планы попали только три документа, а в прошлом году новых документов вообще не обещали — только обновление. Правда, даже этого, не говоря уже о новых документах, отрасль не дождалась.

Как не дождались и обещанной методички по защитным мерам для АСУ ТП (а теперь и для объектов КИИ). В начале февраля в Фейсбуке прозвучала критики регулятора, которому советовали посмотреть в сторону NIST или CIS, которые активно привлекают сообщество к разработке документов, что приводит не только к росту качества, но и к скорости выхода документов. Но ФСТЭК в последнее время от псевдо-краудсорсинга вообще отходит и делает все своими силами, навешивая на документы пометку «для служебного пользования» (видимо, чтобы враги не узнали о том, как надо защищаться).

Посетителям рекомендую прийти на нее существенно заранее, так как мест, как обычно (это прогноз), не хватит. Также рекомендую решить заранее вопрос с питанием — перерывов на обед обычно в программе не предусматривается. Поэтому либо не есть до вечера, либо взять с собой, либо отлучиться на обед и потерять место. Выбор за вами 🙂 В любом случае конференция ФСТЭК должна принести тоже немало интересного.

ФСБ в феврале нас не радует. Ее месяц — ноябрь, когда представители НКЦКИ рассказывают про тематику ГосСОПКИ на московском SOC Forum. Другие мероприятия они не жалуют, исключая, пожалуй, РусКрипто (и СТСrypt). Раньше, покойный Кузьмин А.С. выступал на РусКрипто и делал программный доклад о перспективах регулирования криптографии в России, а затем его тему подхватывали другие сотрудники ФСБ. Последние годы я не помню схожих докладов от руководства 8ки (а сейчас оно еще и поменялось снова). Но в любом случае, судя по программе РусКрипто, которая пройдет в марте, там можно будет узнать позицию регулятора и по теме, связанной с новым законом об электронной подписи, и про квантовую (и, возможно, постквантовую) криптографию, и про криптографию в IoT и транспорте, и про криптографию в энергетике и финансовой отрасли, и т.п. Я планирую выступать на РусКрипто с докладом «Эволюция систем управления идентификационной информацией» (про MFA, биометрию, мультиоблачную стратегию, идентификацию устройств и т.п.).