500 стандартов ИБ, которые потрясли мир ~ Бизнес без опасности

12.3.09

500 стандартов ИБ, которые потрясли мир

12.3.09 законодательство, обучение, стандарты, ФСТЭК 10 comments

Когда-то я готовился проводить выездное обучение "500 стандартов по ИБ, которые необходимо соблюдать в России". Но по разным причинам выезд не получился, но интерес к теме остался, да и курс был уже почти доработан. И вот произошла реинкарнация курса... но уже в Москве. НТЦ пригласил меня провести этот курс в июне этого года. Повторю, что писал раньше про этот курс.

Программа:

Законодательство РФ в области информационной безопасности. История становления и развития.
Основы права или как обеспечить ИБ, не ущемляя прав граждан и юридических лиц? Пример: легитимность просмотра электронной почты сотрудников. Точка зрения сотрудника, безопасника и юриста.
Регуляторы российского рынка ИБ – ФСТЭК, ФСБ, ФСО, СВР, МинОбороны, Минсвязи и т.д. Кто и за что отвечает?
Виды тайн и защищаемой информации. Персональные данные, коммерческая тайна, государственная тайна, служебная тайна, банковская тайна, тайна связи и т.п.
Классика отечественного законодательства в области ИБ. Трехглавый закон. Руководящие документы ФСТЭК и ФСБ. Техническое регулирование. Лицензирование, сертификация и аттестация. ГОСТы по ИБ.
Отечественное законодательство в области защиты коммерческой тайны. Федеральный закон. Рекомендации ФСТЭК.
Отечественное законодательство в области защиты персональных данных. Федеральный закон. Постановление Правительства. Нормативные документы ФСТЭК.
Отечественное законодательство в области защиты конфиденциальной информации. Рекомендации/требования ФСТЭК (СТР-К).
Отечественное законодательство в области защиты ключевых систем информационной инфраструктуры. Рекомендации/требования ФСТЭК.
Отечественное законодательство в области защиты банковской тайны и автоматизированных банковских систем. Стандарт Банка России по ИБ и другие нормативные акты ЦБ.
Законодательство в области защиты операторов связи.
Международное законодательство в области ИБ, обязательное или рекомендуемое к применению в России (PCI DSS, ISO 2700x, Базель II, SOX, ISM3, Кодексы корпоративного поведения, COSO ERM, ITIL, COBIT, ISO 20000 и т.п.)
Наказание за несоблюдение законодательства в области информационной безопасности. Кодекс об административных правонарушениях, Уголовный Кодекс, Трудовой Кодекс и т.п.
Легитимность многих правовых актов в области ИБ. Надо ли вообще их соблюдать с точки зрения закона?
Парафраз о правоприменительной практике или права ли пословица "Закон, что дышло…"?

Ключевое отличие от всех аналогичных курсов в 4-х моментах:

Я рассматриваю законодательство не только с точки зрения деятельности службы ИБ, но и с точки зрения регулятора, работодателя и работника. Т.е. учитываю интересы всех сторон, которые участвуют в законодательной деятельности.
Я исхожу из того, что основополагающим нормативным актом в области ИБ является вовсе не трехглавый закон и что это законодательство по данному направлению "не висит" в воздухе, а тесно увязано с множеством других документов - Конституцией, Кодексами, Постановлениями Правительства и Указами Президента, и даже... с Всеобщей Декларацией о правах человека, Окинавской Хартией глобального информационного общества и т.п.
Я не тупо следую рекомендации соблюдать все, что выпушено нашими регуляторами, а рассматриваю законы с критической точки зрения. Какие ошибки и ляпы в них допущены, какие противоречия есть, какие нестыковки с другими законами?.. Какие из требований являются обязательными, а какие носят характер рекомендаций, необязательных к исполнению? Какие документы можно не выполнять, несмотря на их «обязательность»?
Ну и систематизация получилась неплохая ;-)

Надеюсь, что курс получится действительно интересным и познавательным.

10 коммент.:

Анонимный комментирует...: По моим самым скромным оценкам (на основании чтения аналогичных курсов) приведённая программа - на 40..50 учебных часов.; 12 марта 2009 г. в 17:16
Анонимный комментирует...: Лучше бы выпустить книжку ...; 12 марта 2009 г. в 17:33
Алексей Лукацкий комментирует...: infowatch'у: Все зависит от глубины погружения в тот или иной нормативный акт и стандарт. Программа же гибкая. Одним нужен акцент только на российских НПА, другим еще и западные best practices рассмотреть. Соответственно для одного заказчика этот курс читался 2 дня, для другого будет 3, а можно и на 5 замахнуться.

swan'у: Это в планах. Как добью курс до ума, так и в виде книжки можно будет оформить.; 12 марта 2009 г. в 18:39
Anton Chuvakin комментирует...: Что вы там курите, сэр? :-) Во всей ИБ не насчитать 500 стандартов...; 12 марта 2009 г. в 19:41
Ригель комментирует...: 500 стандартов по ИБ, а счастья все нет.; 12 марта 2009 г. в 20:14
Анонимный комментирует...: Даешь новый поисковик !!!
www.google_serch_in_all_security_standart.org; 12 марта 2009 г. в 21:30
Алексей Лукацкий комментирует...: Антон, ты ошибаешься ;-) Если хочешь я тебе пришлю списочек ;-) Только ISOшных стандартов по ИБ за 70. ITUшных еще столько же. ANSIшных, NISTовских, ГОСТовских, австралийских, BSIных (которые английские и которые немецкие)...; 13 марта 2009 г. в 10:56
Anton Chuvakin комментирует...: Афигеть... а я как-то забыл что кроме Америки что-то еще есть :-) Ну да, наверно по всему миру можно наскрести, особенно если и технические и процессуальные считать.

В любом случае, шли лист.; 13 марта 2009 г. в 21:12
Александр Дорофеев комментирует...: В отношении SOX нужно переформулировать... Например, так "Требования SOX в отношении ИБ глазами Большой четверки". Ведь в 404-й секции акта Сарбейнса-Оксли про ИБ нет ни слова,
а все требования фактически оказались в столь любимом аудиторами документе ISACA
"IT Control Objectives for Sarbanes-Oxley 2nd Edition",
разработанном представителями Прайса, Янга и т.д. :); 14 марта 2009 г. в 18:14
Алексей Лукацкий комментирует...: Ну в Базель II тоже про ИБ ни слова ;-) Но отношение к ИБ они имеют. Про это я и говорю.; 15 марта 2009 г. в 14:33