26.10.10

3-й съезд директоров ИБ - краткие впечатления от первого дня

Первый день 3-го съезда директоров ИБ завершился. Программа была насыщенная и интересная, а т.к. я еще был и модераторов всего дня (работка, я вам скажу, адская), то прослушал все презентации и доклады.

Не претендуя на всеобъемлющий пересказ всего того, что было хочу тезисно отразить наиболее понравившиеся мне моменты:
  1. Все берут направление на стандартизацию. Банк России, операторы связи, игроки фондового рынка (НАУФОР готовит свой стандарт по ПДн) и т.д. СоДИТ и вовсе решил поднять знамя стандартизации ИБ/ИТ и взялся за перевод 250 необходимых ИТ/ИБ-директору стандартов. Первым, в области ИБ, стал стандарт ISO 15408:2009 (часть 1-я). Это пресловутые "Общие критерии", но не действующая в России 2-я версия, а самая последняя, третья версия критериев оценки соответствия ИТ требованиям ИБ. В ближайшие дни электронная версия стандарта будет доступна либо на сайте СоДИТ, либо на сайте съезда (там же будут доступны в среду вечером и все презентации).
  2. Елена Константиновна Волчинская (ведущий советник аппарата комитета ГосДумы по безопасности) рассказала о ключевых изменениях в 4-х ФЗ - "О персданных", "Об ЭЦП", "О лицензировании отдельных видов деятельности" и "О госуслугах". Наиболее интересен был второй законопроект - ряд здравых идей и предложений был высказан. Как минимум, есть желание разделить единую лицензию на все 4 вида деятельности в области шифрования на 2 вида - разработку выделить отдельно.
  3. Андрей Владимирович Федосенко (ведущий советник аппарата комитета ГосДумы по конституционному законодательству и государственному строительству) рассказал о планах по изменению законодательства в области персданных. По сути он прошелся по законопроекту Резника и прокомментировал отдельные его положения с точки зрения отношения к ним Правительства и ряда других заинтересованных лиц. Если будет выполнено хотя бы половина из того, что было сказано, то жить станет легче. Что же каается второго чтения, то оно будет все-таки в этом году, а сам законопроект постараются принять также в этом году.
  4. Была интересная секция про взгляд с высоты птичьего полета, но ни о каком полете речи не было. Были интересные доклады Сергея Голяка (ММК) и Александра Кириллова (СеверьСталь) о реальном и практическом опыте обеспечения ИБ в холдинговых структурах. Коротко и по делу.
  5. Как всегда, выступление Льва Матвеева из SearchInform можно было охарактеризовать следующими тезисами - "Все козлы, а мы самые крутые", "Мы делаем то, что другие никогда не сделают, потому что у нас есть крутой патент", "Мы решим все ваши проблемы с безопасностью, поиском, репутацией, лояльностью, экономическими преступлениями и вообще все", "Время на внедрение нашего крутого продукта всего 8 часов" и "Заказчиков не назову, потому что это секретная информация, но мы все равно самые крутые". Такой безаппеляционный подход, разумеется, вызвал реакцию со стороны аудитории, которая попыталась поспорить с г-ном Матвеевым. Я пресек начинающуюся склоку ;-)
  6. В предпоследней интерактивной сессии была дискуссия на тему ПДн. Рассказ банков, химпромышленности и операторов связи был интересен, но наибольшее внимание было приковано к 2-м представителям 8-го Центра ФСБ, которые поделились своим взглядом на проблематику шифрования в контексте ПДн. Во-первых, сейчас готовится проект нового приказа ФСБ, который систематизирует все текущие наработки службы в области защиты ПДн. Во-вторых, будет уточнен перечень случаев, когда лицензия ФСБ не нужна. Например, на выполнение действий, указанных в эксплуатационной документации. Или на распространение СКЗИ клиентам для организации взаимодействия (например, ДБО у банков). В-третьих, рассматривается вопрос разрешения использования несертифицированных СКЗИ там, где нет и не будет в ближайшее время российских аналогов. В-четвертых, банки, подключившиеся к СТО, в 2011-м году проверять по линии ФСБ не будут. Такова договоренность ЦБ и ФСБ (представителей РКН и ФСТЭК на мероприятии не было).
  7. Последняя секция была посвящена работе западных компаний в России и как они решают вопрос выполнения корпоративных и локальных требований по ИБ. Надо заметить, что общего взгляда здесь не нашлось. Судя по ответам, каждая международная компания по разному смотрит на локальные требования ИБ. Кто-то на них откровенно забивает, т.к. выполнить "этот бред" невозможно. Кто-то пытается найти компромисс. Кто-то пытается выполнить в полном объеме. Но универсального рецепта так и не было найдено (хотя его, наверное, и нет).

Вот на этом официальная часть мероприятия закончилась и мы плавно переместились на теплоход, курсировавший по Москва-реке. Общение, но уже неформальное, продолжилось там ;-)

5 коммент.:

Alexey Volkov комментирует...

> Александр Кириллов (СеверьСталь)

Без мягкого знака ;)

BDV комментирует...

жалко что не был. из твоего поста понял что, в общем, два доклада по делу: ММК и СеверСталь :) Остальные философствовали.

Алексей Лукацкий комментирует...

Нет, не правильно. У Волчинской был хороший доклад. У Федосенко. Да много у кого. Просто не все делали доклады - было много выступлений на интерактивных сессиях (круглых столах).

Ольга комментирует...

Добрый день, Алексей! Вы обещали материалы с 3 съезда (в среду вечером) на одном из сайтов. К сожалению, я их там не нашла. Укажите ссылку, пожалуйста, поточнее. Спасибо.

Алексей Лукацкий комментирует...

ftp://82.142.163.2/221010/bez.rar