30.6.14

Как в культурной столице говорили про культуру ИБ

На прошлой неделе я (вместе с Рустемом Хайретдиновым) модерировал секцию по информационной безопасности на питерском форуме "ИТ-Диалог 2014", организованном Комитетом по информатизации и связи Санкт-Петербруга и журналом IT Manager (за что им огромное спасибо). Ну а поскольку мероприятие получилось очень интересным, то и рассказать про него надо отдельно.

И дело тут не столько в месте проведения и культурной программе. Они были на высоте. Не каждый день удается ночевать в президентском номере (весь комплекс готовился к встрече президентов G20), а ужинать в Константиновском дворце, находящиеся под охраной ФСО :-)


Интерес представляла именно деловая программа секции "Россия защищенная", на которой были представлены доклады и от регуляторов (ФСТЭК и Роскомнадзор), и от государственных органов, которые делились своими наболевшими вопросами и опытом их решения. Началась секция с выступления местного Роскомнадзора (Дмитрий Иванов). Хоть и без презентации, но живенько были описаны типовые ошибки, допускаемые государевыми операторами ПДн в СЗФО:

  • Неназначение лица, ответственного за обработку ПДн
  • Отсутствие внутреннего контроля за порядком обработки ПДн
  • Нет типовых форм согласия на обработку ПДн
  • Не утвержден список должностей, допущенных к обработке ПДн
  • Не утвержден порядка доступа в помещения, в которых ведется обработка ПДн
  • Не утверждена политика в отношении обработки ПДн
  • После последнего уведомления РКН внесены изменения в обработку ПДн, о которых не послано повторное уведомление.
При этом соотношение обращений граждан в отношении нарушения их прав субъектов ПДн не в пользу коммерческих компаний - против них было 917 обращений в 2013-2014-м году, а против госорганов всего 7. Соответственно нарушений у коммерсантов было за этот период найдено 200, а у госов - 14. Предписаний соответственно 32 и 3.

Вторым выступал представитель ФСТЭК (Михаил Щитников). Он очень неплохо описал 17-й приказ, используя также неплохую презентацию. Наиболее интересно, на мой взгляд, было послушать его в отношении ряда возникающих вопросов. Что такое ГИС? Является ли ИС бухгалтерии ГИС? Попадают ли бюджетные учреждения или ФГУПы под действие 17-го приказа и под контроль ФСТЭК? 



Очень интересным было выступление Сергея Кучина, министра ИТ и связи Нижегородской области. Сергей, непонаслышке сталкивающийся с требованиями различных регуляторов и пытающийся увязать из с необходимостью внедрения современных ИТ, поднимал непростые вопросы. Например, как импортозамещение влияет на обязательства России, вступившей в ВТО? Хочу отметить, что этот вопрос вообще никогда до Сергея не поднимал на моей памяти. А ведь он очень непрост. Ведь запрет закупки иностранных технологий противоречит требованиям ВТО. Другой вопрос был более традиционен, но не менее важен - квалификация специалистов по ИБ и их достаточно число. Зарплаты государственных служащих не могут конкурировать с коммерческими организациями и надо что-то делать. В качестве варианта Сергей предложил ввести специальный коэффициент для расчета зарплаты. Правда, сами госорганы на это идут с трудом и нужна внешняя рекомендация. Идеально, если бы ФСТЭК могла такую рекомендацию подготовить - она бы помогла многим государственным и муниципальным специалистам по ИБ.

Еще одним вариантом решения кадрового вопроса могли бы стать обучающие курсы. Причем как онлайн (и тут ФСТЭК могла бы стать инициатором подготовки таких курсов, которые могли бы давать базу для профильных и непрофильных специалистов), так и очные. Мне очень понравилась инициатива Правительства Хабаровского края, которое с помощью АИС провело глубокое обучение своих специалистов по широкому кругу вопросов, связанных с ИБ.


Еще один поднятый Сергеем Кучиным вопрос давно известен представителям госорганов, вынужденных применять для своей работы нестыкующиеся между собой СКЗИ разных производителей - для СМЭВ, для внутренного электронного документооборота, для иных задач. И хотя такие продукты как "Континент", Застава, VipNet, С-Терра реализуют один и тот же алгоритм шифрования, единого протокола, который бы позволил им взаимодействовать друг с другом, они не используют. А значит госорганам приходится ставить такие железки в ряд, тратя бюджетные средства на ненужные танцы с бубном, в попытке заставить работать отечественные СКЗИ вместе.


Также мне запомнились выступления Андрея Лихолетова (Санкт-Петербург) и Дмитрия Едомского (Коми), которые, не сговариваясь, подняли очень непростую тему культуры ИБ на государственных предприятиях. Оба представляли именно сторону заказчиков и поэтому их выступления были очень неожиданными. Никакой техники, никаких рассказов о законодательстве... Но может быть оно и закономерно. Все-таки Питер - это культурная столица и где, если не в ней говорить о культуре ИБ.

Задал тон Андрей Лихолетов, который начал с основ формирования культуры ИБ, рассказал о том, что препятствует повышению культуры ИБ и т.п. Особенно интересно, что сейчас Совет Безопасности рассматривает документ по этой же тематике - "Основы государственной политики в области формирования культуры информационной безопасности". Становится очевидно, что только техническими мерами (да еще и преимущественно иностранного происхождения) защищенности государственных ИС не достичь. А в условиях низкой зарплаты и высокой текучки кадров эта задача становится и вовсе неподъемной. Поэтому так важно работать с людьми, снижать вероятность реализации угроз через человеческий фактор, включать рядовых сотрудников в процесс обеспечения ИБ.



Тему продолжил Дмитрий Едомский, который рассказал о том, как в Республике Коми внедряются мероприятия по повышению культуры ИБ. При этом рассказ изобиловал интересными практическими примерами.


Решение возникающих проблем с низким уровнем культуры ИБ обеспечивается на разных уровнях и разными методами - организационными и техническими.


Помимо упомянутых выступлений были также доклады и экспертов - от Microsoft, Positive Technologies, Лаборатории Касперского и Digital Security. Выступал и я, как представитель генерального партнера форума. Рассказывал о том, как иностранные ИТ-компании могут повысить уровень доверия к своей продукции в России (на примере Cisco).



ЗЫ. Завершал сессию Рустем с презентацией о том, как объединить усилия отрасли и всех ее игроков. Ей я посвящу отдельную заметку.

8 коммент.:

Сергей комментирует...

Где можно ознакомиться с презентацией ФСТЭК про ГИС?

ZZubra комментирует...

Вот почему с таких мероприятий не ведут онлайн трансляцию выступлений? Или стенограммы не выкладываются? - 1000 в карму всех организаторов.

ИМХО опять предложены варианты насильственного внедрения культуры отдельно взятого узкого направления жизнедеятельности. Пока люди будут при пустой дороге и отсутствии в прямой видимости полицейского переходить ее на красный - они не начнут в одиночку выполнять предписания многостраничных политик. А те кто политики пишуть, глядя на объем нормотворчества и скорость внесения диаметрально противоположных изменений в нормативку - не начнут писать краткие, непротиворечивые и актуальные инструкции.

Так что хоть обпишись "Основами государственной политики в области формирования культуры информационной безопасности", "Этиками поведения государственного служащего N-го ведомства" и онлайн курсами "ни о чем" и "что за фигня - тут денег не хватает квартиры сиротам купить". Опять показуха и пустая трата госденег. Никакой системы, никаких реальных шагов донесения стратегий развития государства, области, района, до тех кто и есть эта культура... И оправдания "дело начинается с малого", "без такого мы не создадим культуру ИБ", "как хорошо что об этом говорят" - всего лишь оправдания, силу которых поняли очкивтиратели из госорганов и ею пользуются.
На примере ПДн, у государства есть одна главная обязанность в любом виде деятельности - защищать права безмолвных людей от посягательств исполнителей, коим нарушать права удобнее.

Алексей Лукацкий комментирует...

Ты не прав дважды :-)
1. Видео будет выложено.
2. Внедряют не насильственно :-)

Алексей Лукацкий комментирует...

Сергей: на сайте скоро выложат

ZZubra комментирует...

Да я бы рад ошибаться в каждой фразе. Но реальность она такая...

Unknown комментирует...

Алексей, а где должно быть выложено видео выступлений?
http://it-dialog.spb.ru/ тут?

Алексей Лукацкий комментирует...

По идее да. Но пока не было анонса - видимо обрабатывают

Unknown комментирует...

Написал им запрос, обещали выложить на следующей недели