07.10.2008

InfoSecurity Moscow 2008: впечатления первого дня

Итак, закончился первый день InfoSecurity Russia 2008. Выкладываю свои презентации. Первая посвящена теме Security Governance. Не могу сказать, что она удалась. И зал был не тот (технический для такой темы явно не подходил), и аудитория еще не проснулась, да и я погорячился, когда эту тему выставил на InfoSecurity. Все-таки пока эту тему рано поднимать. Ее аудитория - это CIO Summit'ы в разных вариантах.

Security Governance
View SlideShare presentation or Upload your own.


Вторая тема была посвящена вопросам стандартизации. Или точнее ее несовершества в России. Я думал, что я пессимист, но оказалось, что есть и более пессимистичные люди ;-) В итоге сошлись на том, что в ближайшее время единства при разработке стандартов ИБ в России не будет. Это признал бизнес и даже регуляторы ;-( Ситуация будет только хуже, т.к. на рынок активно выходит Минкомсвязь, у которого свое видение развития стандартизации ИБ (то же новое Постановление по персданным). Достаточно интересным было выступление представители Ростехрегулирования, который поделился тем, что Воронежский институт ФСТЭК в этом году выпустил 13 стандартов по ИБ (адаптация ISO/IEC) - в следующем еще будет 9. Т.е. на месте ситуация не стоит, но и за бизнес никто ничего решать не будет. Спасение утопающих...



И третьей своей презентацией я завершал сессию по рискам. Изначально планировалось, что я начну сессию, но получилось так, что я завершал. В итоге получилось неплохо - после рассказа интеграторов о том, что анализ и управление рисками - это хорошо, я выступил с рассмотрением текущих методов измерения вероятности рисков и тяжести последствий от них.



Первый день на этом закончился...

13 коммент.:

Анонимный комментирует...

Алексей Викторович немогли бы Вы выложить презентацию "Принцип Парето в стандартизации ИБ" выложить в PowerPoint (а то 7 слайд непонятен).
Заранее благодарен

Евгений комментирует...

Алексей Викторович немогли бы Вы выложить презентацию "Принцип Парето в стандартизации ИБ" выложить в PowerPoint (а то 7 слайд непонятен).
Заранее благодарен

e1am0 комментирует...

Эх... Что ж ты так обломал последний круглый стол? )))
Я вот теперь думаю - идти туда ещё раз или всё напрасно?

Алексей Лукацкий комментирует...

Что значит "еще раз"?

Я не обломал - я рассказал, как есть ;-) А то все риски, да риски... А никто не удосуживается хотя бы на себе это все попробовать ;-)

Как с ПДн. Я жаль не был на секции по госрегулированию. А то бы спросил, кто из выступающих является сам зарегистрированным оператором персданных ;-)

Алексей Лукацкий комментирует...

евгений: я обновил презентацию

e1am0 комментирует...

с персданными всё в порядке, т.е. полный швах. там хватало отжигов. но было интересно пообщаться с тов.Мельниковым из россвязькомнадзора. Поболтали про 14 главу ТК и прочие запросы персданных извне. вообщем каша у меня в голове не рассосалась, но сохранилось стойкое ощущение что ну его нафиг этот гемор ))

Анонимный комментирует...

Идею с приведением "множества" стандартов к "общему" знаменателю мне кажется нужно рассматривать на другом уровне. Не на уровне государственного регулирования, а на уровне управления в конкретной организации. Идея понятна, выделить базовые требования, которые применимы ко всем,а затем применять уже расширенные. В эту схему, даже если договорятся регуляторы нашей Родины, пока не вписываются регуляторы международные, тот же PCI Consil. И проходить сертификацию придется и по требованиям российского стандарта и по требованиям PCI DSS, а кому то и SOX придется удовлетворять все равно.
Правильно написано, спасение утопающих дело рук, самих утопающих, пусть сам бизнес разрабатывает внутри себя свой стандарт, который удовлетворяет тем требованиям регуляторов, которые к нему предъявляются в силу специфики бизнеса. И ему пусть удовлетворяет. Хотя сертифицироваться все равно придется по нескольким.

Алексей Лукацкий комментирует...

Разбиение стандартов на модули должно проводиться регуляторами. В противном случае придется выполнять кучу несвязанных документов, а этого бы хотелось избежать

Алексей Лукацкий комментирует...

Что же касается западных требований, то PCI DSS скорее исключение. Но и тут регуляторы могли бы подменить стандарт своими требованиями или принять его как национальный стандарт для конкретной области - карточная система.

Nikita Rrrr комментирует...

Некоторые замечания по презентации по анализу рисков. К сожалению не смог присутствовать на круглом столе.
По АСУ ТП (для энергетики) - информация накапливается. Думаю в течение 2-х лет уже можно будет делать адекватные прогнозы и оценки ущерба.
+ Вообще, по-моему, не очень удачный пример - потому что производство как-раз посчитать не очень сложно - перерасход топлива, техногенная катастрофа, остановка производства - всё более или менее подвергается оценке.
OSSTMM RAV - всё же не анализ рисков, а специфические метрики используемые при обследовании систем.
ISO27005 вроде как прежде всего основан на BS7799:3, а не на 13335.
Слайд 17 - отличный :) На опыте убедились, что методику оценки надо согласовывать на всех уровнях причём чем вовлечённее все эти уровни - тем потом проще.

Алексей Лукацкий комментирует...

2 года - это мало для систем, жизненный цикл которых может измеряться 20-ю или даже 40-а годами.

Что же касается расчета по АСУ ТП, то если с потерями еще можно что-то делать, то с вероятностью тупик...

Анонимный комментирует...

Алексей Викторович, что вы думаете о теме диссертации: анализ рисков систем контроля и управления доступом в АСУ ТП на основе биометрических характеристик пользователя? стоит ли связываться или все действительно так плохо со статистикой?

Алексей Лукацкий комментирует...

По АСУ ТП статистики почти нет. Да и АСУ ТП с биометрической аутентификацией я что-то не припомню. Тема, на мой взгляд, бесперспективная на ближайшие несколько лет.