23.11.2015

Впечатления от межбанковской конференции по ИБ в Казахстане

На днях я где-то прочитал, что сравнивать новую и предыдущую модели iPhone достаточно сложно - ну чуть быстрее, ну чуть красивее, ну чуть ярче... Но в целом все также хорошо. Поэтому я не буду рассказывать о том, как была организована межбанковская конференция по ИБ в Алматы, на которой я выступал в пятницу. Про мероприятия, которые организует местный Profit, я уже писал и добавить мне особо нечего. А вот про контент скажу. Тем более, что мероприятие было интересно сравнивать с нашим Уральским форумом, который, как и конференция в Алматы, организовывался национальным регулятором.


Я не буду подробно останавливаться на всех прозвучавших докладах, тезисно коснусь только запомнившихся мне выступлений и тем:

  • Нацбанк Казахстана к 2017-му году планирует пройти сертификацию на соответствие стандарту 27001. Правда, не было озвучено какой из процессов будет подан на сертификацию. Но все равно, амбициозный проект. Вслед за Нацбанком, могу предположить, потянутся и другие банки, для которых национальный регулятор станет примером и ориентиром.
  • Нацбанк, признавая устаревание действующих документов по ИБ, сейчас пересматривает всю свою нормативную базу в этой области.
  • Помимо обновления собственных документов, Нацбанк предпринимает ряд шагов по улучшению уровня защищенности казахстанских банков. Особенно интересно среди них выглядит переход на сервисную модель ИБ, учитывающую лучший мировой опыт и такие практики как ISO 9001, ISO 20000 (ITILv3), ISO 27001 и ISO 21500 (PMBOK). 
  • Помимо этого Нацбанк Казахстана подготовил ряд законопроектов, которые похожи на то, что в свое время затевал наш Банк России в связи с законом "О национальной платежной системе". В частности в законе о Нацбанке устанавливаются полномочия об установлении требований по ИБ для казахстанских банков. Банки обязаны обеспечивать бесперебойность осуществления своих операций (в законопроекте это называется беспрерывность). И банки будут обязаны направлять в Нацбанк информацию о мошеннических действиях в ДБО. 
  • Как и его российский "коллега", казахстанский Нацбанк планирует создать собственный центр реагирования на компьютерные инциденты (CERT), в который будет стекаться вся информация об инцидентах от банков и правоохранительных органов. В Казахстане уже действует свой CERT.KZ (некий аналог ФСБшного GOV-CERT.RU), о деятельности которого также рассказывалось на конференции. С ним должен интегрироваться и создаваемый Нацбанком центр реагирования.

  • В августе в СМИ прошла информация о том, что прокуратура Казахстана, переняв опыт южнокорейских коллег, сформирует собственное подразделение, занимающееся пентестами собственных систем. Больше информации об этой инициативе я нигде не нашел, а на форуме в Алматы неоднократно, в том числе и представителями Нацбанка, упоминался центр анализа и расследования кибер-атак (ЦАРКА), который занимается как раз "этичным хакингом", пентестами и тому подобными вещами, в том числе и в интересах государственных служб Казахстана.

Пожалуй и все. Про технологические доклады спонсоров говорить особо не буду - скоро презентации выложат на сайте и можно будет с ними познакомиться. Как и с презентациями по вопросам электронной подписи (их было несколько), от которых я далек и поэтому не смогу особо ничего прокомментировать или рассказать.