Pages - Menu

Страницы

31.1.20

Что я жду от конференции ФСТЭК и от РусКрипто?

Уже по традиции февраль стал месяцем, в котором проходит два мероприятия главных регуляторов по ИБ - ФСТЭК России и Банка России. Первый проводит свою юбилейную, уже десятую конференцию "Актуальные вопросы защиты информации". Думаю, что юбилей вряд ли будет как-то с помпой отмечаться, но контент, который должен будет представить регулятор, представляет, как и обычно, интерес. Учитывая, что на вчерашнем Инфофоруме уже было выступление Лютикова В.С., который высказался по 3-м ключевым направлениям - КИИ, сертификация и проблема кадров. Именно последняя тема, озвученная (на 45:40 мин) заместителем директора ФСТЭК, на последнем SOC Forum, вызвала бурную дискуссию в соцсетях. В программе конференции 12-го февраля этой темы нет, но зато чуть ли не половина докладов будет посвящена вопросам сертификации средств защиты информации по введенным недавно требованиям (тут и 55-й приказ, и требования по доверию, и планы по развитию БДУ).

Возможно будут озвучены в очередной раз планы по выпуску и разработке новых РД к средствам защиты, тем более, что те же требования к СУБД, упомянутые несколько лет назад, так и не появились, а с тех пор разрабатывались также требования, как минимум, к средствам отражения DDoS-атак. Я "пробежался" по прежним выступлениям регулятора и посмотрел на его обещания/планы в части выпуска новых требований к средствам защиты. Видно, что от года к году аппетит регулятора снижался и если в 2016-м году и ранее ФСТЭК хотела охватить своими требованиями все средства защиты, которые могут реализовывать меры из 17/21/31-го приказов, то в 2017-м году в планы попали только три документа, а в прошлом году новых документов вообще не обещали - только обновление. Правда, даже этого, не говоря уже о новых документах, отрасль не дождалась.


Как не дождались и обещанной методички по защитным мерам для АСУ ТП (а теперь и для объектов КИИ). В начале февраля в Фейсбуке прозвучала критики регулятора, которому советовали посмотреть в сторону NIST или CIS, которые активно привлекают сообщество к разработке документов, что приводит не только к росту качества, но и к скорости выхода документов. Но ФСТЭК в последнее время от псевдо-краудсорсинга вообще отходит и делает все своими силами, навешивая на документы пометку "для служебного пользования" (видимо, чтобы враги не узнали о том, как надо защищаться).


Посетителям рекомендую прийти на нее существенно заранее, так как мест, как обычно (это прогноз), не хватит. Также рекомендую решить заранее вопрос с питанием - перерывов на обед обычно в программе не предусматривается. Поэтому либо не есть до вечера, либо взять с собой, либо отлучиться на обед и потерять место. Выбор за вами :-) В любом случае конференция ФСТЭК должна принести тоже немало интересного.

ФСБ в феврале нас не радует. Ее месяц - ноябрь, когда представители НКЦКИ рассказывают про тематику ГосСОПКИ на московском SOC Forum. Другие мероприятия они не жалуют, исключая, пожалуй, РусКрипто (и СТСrypt). Раньше, покойный Кузьмин А.С. выступал на РусКрипто и делал программный доклад о перспективах регулирования криптографии в России, а затем его тему подхватывали другие сотрудники ФСБ. Последние годы я не помню схожих докладов от руководства 8ки (а сейчас оно еще и поменялось снова). Но в любом случае, судя по программе РусКрипто, которая пройдет в марте, там можно будет узнать позицию регулятора и по теме, связанной с новым законом об электронной подписи, и про квантовую (и, возможно, постквантовую) криптографию, и про криптографию в IoT и транспорте, и про криптографию в энергетике и финансовой отрасли, и т.п. Я планирую выступать на РусКрипто с докладом "Эволюция систем управления идентификационной информацией" (про MFA, биометрию, мультиоблачную стратегию, идентификацию устройств и т.п.).

4 комментария:

  1. Этот комментарий был удален администратором блога.

    ОтветитьУдалить
  2. Этот комментарий был удален администратором блога.

    ОтветитьУдалить
  3. Этот комментарий был удален администратором блога.

    ОтветитьУдалить
  4. Этот комментарий был удален администратором блога.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.