28.12.2012

Прогнозы на грядущий год Змеи

Пришла пора поговорить и о прогнозах на грядущий год змеи. Тема эта благодарно-неблагодарная. Почему неблагодарная? Потому что предсказывается не то, что реально может произойти, а то, с чем неплохо знаком предсказатель. Вот пример сравнения предсказаний 7 различных вендоров по ИБ на 2012-й и 2013-й года. Разброс очень сильный. Поэтому буду говорить о более-менее ясных мне вещах, т.е. о законодательстве. Разумеется, это будут не 100%-е прогнозы, но 80%-ую вероятность определенно могу гарантировать. Итак можно выделить несколько направлений регулирования, которые будут занимать умы и регуляторов и специалистов по ИБ:
  1. Персональные данные
    • Приказ РКН об утверждения списка стран с адекватной защитой прав субъектов ПДн. Предполагаемая дата принятия - 1-й квартал 2013 года.
    • Методические рекомендации по обезличиванию ПДн. Предполагаемая дата принятия - 1-й квартал 2013 года.
    • Приказ ФСТЭК по защите ПДн. Предполагаемая дата принятия (включая регистрацию в МинЮсте) - 1-2-й кварталы 2013 года. 
    • Приказ ФСБ по защите ПДн. Предполагаемая дата принятия (включая регистрацию в МинЮсте) - 1-2-й кварталы 2013 года.
    • Постановление Правительства о надзорных функциях РКН в части защиты прав субъектов ПДн. Предполагаемая дата принятия - 2-й квартал 2013 года. 
    • Закон о внесении изменений в КоАП (в части увеличения штрафов). Очень предполагаемая дата принятия - 2-й квартал 2013 года.
    • Закон о внесении изменений в различные законодательные акты в связи с принятием  Евроконвенции. Предполагаемая дата принятия - 2-й квартал 2013 года.
    • Методика моделирования угроз (она же будет применяться и для госорганов). Дата принятия пока не определена.
    • Детальное описание состава мер, определенных в приказе ФСТЭК по защите ПДн. Дата принятия пока не определена.
    • Обсуждение поправок ФЗ-152, связанных с переходом в 2014 на новую редакцию Евроконвенции
  2. Финансовая отрасль (по данному вопросу очень рекомендую посетить Магнитогорскую конференцию - там будут представлены все регуляторы на самом высоком уровне, включая руководителей ГУБЗИ и ДРР Банка России)
    • Новая версия СТО БР ИББС. Дата принятия пока не определена, но предполагаю, что это будет скорее второе полугодие.
    • Русский перевод PCI DSS. Дата принятия пока не определена, но предполагаю, что это будет первое полугодие.
    • Методика проведения проверок надзорным блоком ЦБ по 382-П. Дата принятия пока не определена, но предполагаю, что это будет скорее второе полугодие, а может и в первом успеют.
    • Внесение изменений в 382-П и 2831-У, а также разъяснения по их применению.
    • Новые требования по защите информации при переводе электронных денежных средств.
    • Новая форма отчетности (406) по инцидентам по платежным картам (невысокая вероятность, но слухи ходят).
  3. Госорганы
    • Приказ ФСТЭК по защите государственных информационных систем (новый СТР-К). Предполагаемая дата принятия (включая регистрацию в МинЮсте) - 1-2-й кварталы 2013 года.
    • Детальное описание состава мер, определенных в приказе ФСТЭК по защите госорганов. Дата принятия пока не определена.
Но это не все.Весной Правительство планирует внести в Госдуму поправки в перенесенный закон об электронной подписи (это, пожалуй, пока все планы на 2013-й год со стороны Правительства по нашей теме). Депутаты не оставляют желания зарегулировать Интернет и запретить использование анонимайзеров - об этом будут как минимум говорить, но может и до законопроекта дело дойдет. Готовится нормативная база и под облака, но тут что-то рано еще говорить - таких подступов было уже немало. Судьба инициативы Совета Федерации по разработке Стратегии кибербезопасности России и инициативы СовБеза по концепции развития культуры ИБ в России пока мне не ясны.

И еще немного о нормотворческой деятельности ФСТЭК. Она вновь возвращается к своей методологической роли и планирует выпустить в грядущем году новые требования к новым средствам защиты (DLP и средства доверенной загрузки); обновится РД и по межсетевым экранам (к концу года). В рамках ТК362 ФСТЭК планирует разработать несколько интересных ГОСТов, среди них стандарты по ИБ виртуализации и облачных вычислений.

Кстати, сейчас намечается интересная тенденция. Отрасль сыта по горло темой "как обнаружить" или "как отразить" те или иные угрозы. Она безусловно важна, но что-то новое в ней найти и предложить сложно.  Поэтому акцент сейчас смещается в другие направления:
  • Что делать, чтобы угрозы вообще не реализовывались, т.е. тема SDLC, которая в 2013-м году может выйти из загона и начать набирать своих сторонников. Тем более, что и некоторая нормативка под это дело готовится со стороны разных регуляторов.
  • Что делать, если инцидент уже произошел, т.е. как раз тема киберпреступности, которая активно проявилась именно в 2012-м году и в следующем году будет только наращивать свою популярность.
  • Как правильно управлять ИБ на предприятии? Именно операционное и стратегическое управление, а не "тупое" использование классных ИБ-продуктов. Сейчас этому вопросу уделяют не так много внимания, т.к. темы "неденежные" для многих игроков рынка. Продуктов там почти нет, консалтинг непрост (тут опыт нужен), специалистов, готовых делиться опытом тоже маловато. Но думаю, что эту тему начнут двигать.
Тема "как отразить" тоже будет продолжаться, но в относительно новых областях, которые в 2012-м году только начинали развиваться в России - безопасность мобильных технологий, индустриальных систем, виртуализации, облаков.

Примерно так получается. Разумеется, я рассказал не обо всем, что будет в 2013-м году в России, но ключевые вопросы осветил. Год уходящий был интересным; год грядущий будет не менее интересным. Нам всем будет чем заняться, а может и чем гордиться (каждому свое).

UPDATE: Планы ГУБЗИ на 2013 год в интервью Сычева А.М.

UPDATE 2: Путин порекомендовал ФСБ быть в киберпространстве поактивнее; особенно в части КВО, киберпеступлений и контрразведки.

Пока же хочу пожелать всем читателям в Новом году всех свойств Змеи, о которых говорят в различных мифологических традициях:
  • быть мудрыми и уметь отделять зерна от плевел, хорошие поступки от плохих
  • быть гибкими и уметь находить компромиссы в непростых ситуациях
  • быть сильными и не прогибаться под изменчивый мир
  • быть умными и как можно больше получать знаний в своей области
  • быть здоровыми и помогать исцеляться тем, кто нуждается в помощи.

7 коммент.:

Евгений Родыгин комментирует...

Хороший прогноз. Я мы на треть уменьшил интенсивность по нормативке и усилил бы по предстоящему холивару на тему актуальности угроз...

Алексей Лукацкий комментирует...

Так ты в своем блоге свои акценты расставь ;-)

Д.Никитин комментирует...

Алексей, как профессионалу и автору блога Вам большое спасибо! С наступающими Вас праздниками, здоровья, движения, созидания!

Иванов Иван комментирует...

Алексей и все активисты данного блога, а также его читатели, всех с наступающим Новым Годом! Пожелаю почаще и подольше быть со своими близкими (на работе - Сокол, дома - Голубь), не терять творческую искру в своей деятельности (для ее поддержания желаю хорошего вакуума трудовой атмосферы), ну и оптимизма больше в словах и действиях(ведь мысль материальна).

Иванов Иван комментирует...

Алексей и все активисты данного блога, а также его читатели, всех с наступающим Новым Годом! Пожелаю почаще и подольше быть со своими близкими (на работе - Сокол, дома - Голубь), не терять творческую искру в своей деятельности (для ее поддержания желаю хорошего вакуума трудовой атмосферы), ну и оптимизма больше в словах и действиях(ведь мысль материальна).

Алексей Лукацкий комментирует...

Спасибо

ZZubra комментирует...

С Новым годом!!! Всем здоровья, счастья и долголетия!