25.01.2013

Почему банкирам стоит ехать в Магнитогорск?

С 11-го по 16-е февраля в Магнитогорске традиционно проходит Уральский форум по банковской безопасности. И каждый раз перед его началом идут споры - надо ехать или не надо; будет там скучно или все-таки смысл есть? Могу поделиться своим мнением о том, стоит или нет.

Во-первых, это первое крупное мероприятие после того, как в прошлом году с 1-го июля заработала 27-я статья ФЗ-161 и выпущенные под нее документы Банка России - 382-П и 2831-У. Да, была осенная конференция по НПС, но... преимущество нынешнего мероприятия в том, что уже наработана полугодовая практика применения документов ЦБ, получена статистика по инцидентам. Все это должно быть озвучено в Магнитогорске (я надеюсь), а также планы по развитию законодательства по защите информации в НПС. Со стороны ЦБ будут участвовать директор департамента регулирования расчетов Прохоров Р.А. и его заместитель Курило А.П.

Но помимо НПС никуда не делась тема СТО БР ИББС. И после периода затишься и неопределенности появляется ясность по тому, как будет развиваться СТО в ближайшем будущем. Какие новые документы появятся в 2013-м году? Надо ли будет проходить самооценку и отправлять ее в ГУБЗИ? Когда появится новая версия СТО? Будет ли в ней учтена тема ПДн? На эти вопросы должны быть даны ответы тоже высоким представительством со стороны ГУБЗИ. Едут начальник ГУБЗИ Крылов О.В. и его заместитель Сычев А.М.

Помимо выступлений о банковском регулировании ИБ со стороны ЦБ должны быть интересные доклады со стороны ФСТЭК и РКН (за ФСБ не уверен). У ФСТЭК к этому моменту должен появиться финальный вариант проекта приказа по ПДн (а может и утвердят уже), а РКН сможет поделиться статусом по принятия законопроекта об увеличении штрафов, а также рассказать о своем новом документе по обезличиванию. Может быть и ФСБ что-то скажет по своему проекту приказа по ПДн (там тоже уже финишная прямая). Ну и наконец, будет выступление от АБИСС и я думаю ее представитель расскажет и о работах по переводу PCI DSS на русский язык, что тоже немаловажно и вызывает немало вопросов. Кстати, в программе заявлен доклад ЦБ "О подходе к стандартизации вопросов ИБ в виртуальных средах". Значит ли это, что ЦБ готовит стандарт по безопасности виртуализации? Об этом тоже, надеюсь, узнаем в Магнитогорске.

С точки зрения формата мероприятия в этом году также произошли некоторые изменения. Во-первых, в первый день будет организован круглый стол "Диалог с регулятором", на котором все регуляторы (ДРР, ГУБЗИ, ФСТЭК, ФСБ, РКН) будут поставлены перед рядом непростых вопросов из зала. Во-вторых, в последний день меня попросили вести практический день, в рамках которого будут представлены несколько мастер-классов по животрепещущим вопросам ИБ. Если все получится так, как задумано, то мы попробуем уйти от обычных презентаций с говорящей головой, а устроим движуху с демонстрациями и практикой. Правда, времени выделяется на каждый мастер-класс не так много, но первый опыт все-таки...

Лаборатория Касперского будет показывать работу одного из нашумевших банковских троянцев и методы его анализа. Известные конкуренты - Digital Security и Positive Technologies, которые не так давно схлестнулись в LinlkedIn, сойдутся и в Магнитогорске и будут демонстрировать как атаки на ДБО, так и уязвимости в них. Должно быть также интересно. Диалог-Наука традиционно будет показывать, как использовать Интернет для конкурентной разведки. Сколько раз уже видел выступления Масаловича, но каждый раз интересно.

Также была идея провести несколько мастер-классов на темы, напрямую несвязанных с ИБ, но связанных с деятельностью безопасника. Как готовить презентации для руководства? Как повысить узнаваемость своего личного бренда? Как все успевать в наше сумасшедшее время? И т.п. Но не получилось - слишком много желающих выступить с основным контентом. Поэтому пока в программу включен только один доклад - "10 простых правил хорошей физической формы современного безопасника" ;-) Посмотрим, что получится и вызовет ли интерес данный формат. Если да, то может быть попробуем его развить на других мероприятиях по ИБ (наметки есть, где это все замутить).

Что касается остальных докладов, то их тоже будет немало - от вендоров, интеграторов, банкиров. Тут ничего заранее предсказать нельзя. И рекламный доклад  вендора может быть интересен и независимый доклад банкира может быть совсем скучным. Раз на раз не приходится. Если провести анализ заявленных тем (правда, сейчас в программе есть далеко не все из них), то картина получается следующая:



Кстати, насчет спорта. Рядом горнолыжная трасса ;-) Но это не значит, что тем, кто не катается делать там нечего. Там есть неплохая трасса для тюбинга (ватрушек). В прошлом году там тоже зажигали ;-)


Ну и другие развлечения там тоже присутствуют - баня, коньки, беговые лыжи, бассейн рядом построен... Грустно и скучно точно не будет ;-) Вечерами песни под гитару или групповое караоке ;-) Бильярд тоже есть. Компания всегда собирается отличная. Так что присоединяйтесь!

ЗЫ. Централизованный перелет будет не на ТУ204 от Red Wings - так что опасаться не стоит ;-)

4 коммент.:

Alexey Goldbergs комментирует...

Да уж, мастер-класс по публичным выступлениям тоже бы не помешал. А то зачитывание докладов по бумажке вгоняет в тоску.

Алексей Т. комментирует...

tags Реклама? А после последней фразы захотелось навсегда развидеть этот блог. :-(

Алексей Лукацкий комментирует...

Ну тогда рекламой может считаться любой мой хвалебный пост про IT & Security Forum, ИнфоБЕРЕГ, PHD, а также сообщения о методике по инцидентам от Group-IB и т.п.

Я заинтересован в двух вещах. Чтобы на дне, который я модерирую было много слушателей. И чтобы участники задавали вопросы регуляторам. Чем больше участников, тем больше вопросов. Значит возрастают шансы на то, что регулятор ответит на них или задумается. В этом и заключается идея любого такого мероприятия (для меня) помимо чисто личного общения с коллегами.

В отрасли не хватает диалога потребителя и регулятора. Такие конференции этому способствуют. Уральский форум - один из немногих, где собирается ТАКОЕ количество регуляторов, с которыми можно общаться. Организаторы и тут их пытаются оградить от неудобных вопросов, но в замкнутом пространстве сделать это непросто.

Поэтому и призываю посетить это мероприятие.

Алексей Лукацкий комментирует...

Добавлю: к данному посту это не относится, но в монетизации блога не вижу ничего зазорного. Если она не мешает читателям и не превышает некоторого порогового значения. А дальше уже каждый делает свой выбор - читать или не читать.