24.2.14

Уральский форум. Часть 1. Новости ФСТЭК

В пятницу закончился 6-й Уральский форум "Информационная безопасность банков" - специализированное мероприятие, посвященное, как видно из названия, именно банковской тематике. Прошло оно замечательно - как с точки зрения контента, так и с точки зрения общения (многие ради него и ездят). А уж скрипящий и белоснежный снежок под ногами при минус 28 в последний вечер - это и вовсе сказка для москвичей, которые в этом году зимы нормальной и не видели. Рассказывать об организации мероприятия я не буду (АвангардПро - молодцы); как и об соотношении банков и спонсоров :-) Хотелось бы тезисно очертить основные запомнившиеся мне выступления. Преимущественно они принадлежали регуляторам (ФСТЭК, ФСБ, ЦБ, Минкомсвязь), но и банки не подвели - делились практикой, а она всегда интересна. Интеграторы и вендоры были в своем репертуаре и в их докладах было мало запоминающегося и стоящего упоминания. Итак начнем.


Многие коллеги, увидев в программе выступление ФСТЭК, подумали, что Лютиков Виталий Сергеевич будет пересказывать вкратце выступления с конференции ФСТЭК, прошедшие неделей ранее (часть 1, 2, 3 и 4). Но нет... Выступление Виталия Сергеевича было посвящено двум готовящимся ГОСТам - по защите виртуализации и облачных вычислений.


ГОСТы должны быть вполне адекватными и отражать широкий спектр различных вариантов реализации виртуализации и облачных вычислений. Часть этих требований (но в меньшем объеме) описана в 17-м и 21-м приказах, а также в методичке ФСТЭК по защите ГИС, которая была опубликована на сайте ФСТЭК в день начала форума (и информационное сообщение к ней). Как я уже писал принятие этих ГОСТов планируется в мае.


Рассказом об этих двух ГОСТах официальная часть выступления ФСТЭК была закончена, но и была и кулуарная :-) А в ее рамках было озвучено, что на позапрошлой неделе был утвержден приказ ФСТЭК об отмене пресловутого "приказа трех" по классификации ИСПДн. Иными словами, теперь ни о каких классах ИСПДН от 1-го до 4-го речи идти не может - только уровни защищенности по ПП-1119. Видимо скоро придется ждать изменения 706-го приказа РКН об утверждении рекомендаций по заполнению уведомления об обработке ПДн.

Но и на этом новости по линии ФСТЭК не заканчиваются. В докладе Георгия Грицая из Минкомсвязи прозвучало, что в готовящемся законопроекте по безопасности критической информационной инфраструктуры (в апреле планируется внесение его Правительством РФ в Госдуму) немного поменяли и определение КИИ. Теперь под него могут попасть и банковские информационные системы, банкоматные сети, сети платежных терминалов и т.п. И если раньше в список критически важных объектов, предположительно, входили только ЦБ и Сбербанк, то после принятия нового законопроекта этот список может пополниться системно значимыми кредитными организациями, а также и иными банками.


В законопроекте также уточнены критерии категорирования опасности объектов, на которые будут распространяться требования по защите. По имеющейся информации критерий экономической значимости в текущей редакции законопроекта оперирует таким значением, как 1 миллион рублей ущерба, что означает, что в список объектов, подпадающих под регулирование могут попасть не только системно значимые, но и другие банки.


И если ФСБ, как авторы законопроекта, выкинут такой фортель с критериями категорирования, то сразу встанет вопрос, а какие требования по защите будут предъявляться к банкам? И кто будет их вырабатывать? ФСТЭК или ФСБ? Текущий проект требований ФСТЭК по защите информации в АСУ ТП врядли может быть применен к банкам - все-таки у последних нет систем управления технологическими процессами. Остается только ждать апреля.

Вот такие новости по линии ФСТЭК... В следующей заметке рассмотрим, чем нас на Уральском форуме порадовал 8-й Центр ФСБ.

5 коммент.:

Unknown комментирует...

Леша, поправь плз. 1 млн это ожидаемый показатель критерия в подзаконном постановлении для объектов низкой степени опасности

Алексей Лукацкий комментирует...

ОК. Правда, даже такой лимит - это копейки для многих

Сергей Борисов комментирует...

Мнение про доклады вендоров и интеграторов - это может быть субъективное мнение представителя вендора, которому не выгодно называть других вендоров?

Просто будем рассуждать логически. Не одними регуляторами надо жить специалистам банков.Нужно ещё изучать новый технологии, новые решения.
Другой вопрос - как правильно и интересно представить на таком мероприятии новую технологию или решение? Сделал ли это кто то или опять не хватило чего то?

Алексей Лукацкий комментирует...

Почти никто из вендоров/интеграторов не учитывал специфику аудитории и отрасли. В том то и дело. Некоторые даже не удосужились обновить презентации. Microsoft вообще читал презентацию весны 2013-го года :-)

Unknown комментирует...

Был как то на презентации НР... Тупо нагнали народу и давай втюхивать дорогущую систему хранения данных(