Впечатления от межбанковской конференции по ИБ в Казахстане

Законодательство
На днях я где-то прочитал, что сравнивать новую и предыдущую модели iPhone достаточно сложно — ну чуть быстрее, ну чуть красивее, ну чуть ярче… Но в целом все также хорошо. Поэтому я не буду рассказывать о том, как была организована межбанковская конференция по ИБ в Алматы, на которой я выступал в пятницу. Про мероприятия, которые организует местный Profit, я уже писал и добавить мне особо нечего. А вот про контент скажу. Тем более, что мероприятие было интересно сравнивать с нашим Уральским форумом, который, как и конференция в Алматы, организовывался национальным регулятором.

Я не буду подробно останавливаться на всех прозвучавших докладах, тезисно коснусь только запомнившихся мне выступлений и тем:

  • Нацбанк Казахстана к 2017-му году планирует пройти сертификацию на соответствие стандарту 27001. Правда, не было озвучено какой из процессов будет подан на сертификацию. Но все равно, амбициозный проект. Вслед за Нацбанком, могу предположить, потянутся и другие банки, для которых национальный регулятор станет примером и ориентиром.
  • Нацбанк, признавая устаревание действующих документов по ИБ, сейчас пересматривает всю свою нормативную базу в этой области.
  • Помимо обновления собственных документов, Нацбанк предпринимает ряд шагов по улучшению уровня защищенности казахстанских банков. Особенно интересно среди них выглядит переход на сервисную модель ИБ, учитывающую лучший мировой опыт и такие практики как ISO 9001, ISO 20000 (ITILv3), ISO 27001 и ISO 21500 (PMBOK). 
  • Помимо этого Нацбанк Казахстана подготовил ряд законопроектов, которые похожи на то, что в свое время затевал наш Банк России в связи с законом «О национальной платежной системе». В частности в законе о Нацбанке устанавливаются полномочия об установлении требований по ИБ для казахстанских банков. Банки обязаны обеспечивать бесперебойность осуществления своих операций (в законопроекте это называется беспрерывность). И банки будут обязаны направлять в Нацбанк информацию о мошеннических действиях в ДБО. 
  • Как и его российский «коллега», казахстанский Нацбанк планирует создать собственный центр реагирования на компьютерные инциденты (CERT), в который будет стекаться вся информация об инцидентах от банков и правоохранительных органов. В Казахстане уже действует свой CERT.KZ (некий аналог ФСБшного GOV-CERT.RU), о деятельности которого также рассказывалось на конференции. С ним должен интегрироваться и создаваемый Нацбанком центр реагирования.
  • В августе в СМИ прошла информация о том, что прокуратура Казахстана, переняв опыт южнокорейских коллег, сформирует собственное подразделение, занимающееся пентестами собственных систем. Больше информации об этой инициативе я нигде не нашел, а на форуме в Алматы неоднократно, в том числе и представителями Нацбанка, упоминался центр анализа и расследования кибер-атак (ЦАРКА), который занимается как раз «этичным хакингом», пентестами и тому подобными вещами, в том числе и в интересах государственных служб Казахстана.
Пожалуй и все. Про технологические доклады спонсоров говорить особо не буду — скоро презентации выложат на сайте и можно будет с ними познакомиться. Как и с презентациями по вопросам электронной подписи (их было несколько), от которых я далек и поэтому не смогу особо ничего прокомментировать или рассказать.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.