На прошлой неделе я (вместе с Рустемом Хайретдиновым) модерировал секцию по информационной безопасности на питерском форуме " ИТ-Диалог 2014 ", организованном Комитетом по информатизации и связи Санкт-Петербруга и журналом IT Manager (за что им огромное спасибо). Ну а поскольку мероприятие получилось очень интересным, то и рассказать про него надо отдельно.
И дело тут не столько в месте проведения и культурной программе. Они были на высоте. Не каждый день удается ночевать в президентском номере (весь комплекс готовился к встрече президентов G20), а ужинать в Константиновском дворце, находящиеся под охраной ФСО :-)
Интерес представляла именно деловая программа секции "Россия защищенная", на которой были представлены доклады и от регуляторов (ФСТЭК и Роскомнадзор), и от государственных органов, которые делились своими наболевшими вопросами и опытом их решения. Началась секция с выступления местного Роскомнадзора (Дмитрий Иванов). Хоть и без презентации, но живенько были описаны типовые ошибки, допускаемые государевыми операторами ПДн в СЗФО:
Очень интересным было выступление Сергея Кучина, министра ИТ и связи Нижегородской области. Сергей, непонаслышке сталкивающийся с требованиями различных регуляторов и пытающийся увязать из с необходимостью внедрения современных ИТ, поднимал непростые вопросы. Например, как импортозамещение влияет на обязательства России, вступившей в ВТО? Хочу отметить, что этот вопрос вообще никогда до Сергея не поднимал на моей памяти. А ведь он очень непрост. Ведь запрет закупки иностранных технологий противоречит требованиям ВТО. Другой вопрос был более традиционен, но не менее важен - квалификация специалистов по ИБ и их достаточно число. Зарплаты государственных служащих не могут конкурировать с коммерческими организациями и надо что-то делать. В качестве варианта Сергей предложил ввести специальный коэффициент для расчета зарплаты. Правда, сами госорганы на это идут с трудом и нужна внешняя рекомендация. Идеально, если бы ФСТЭК могла такую рекомендацию подготовить - она бы помогла многим государственным и муниципальным специалистам по ИБ.
Еще одним вариантом решения кадрового вопроса могли бы стать обучающие курсы . Причем как онлайн (и тут ФСТЭК могла бы стать инициатором подготовки таких курсов, которые могли бы давать базу для профильных и непрофильных специалистов), так и очные. Мне очень понравилась инициатива Правительства Хабаровского края, которое с помощью АИС провело глубокое обучение своих специалистов по широкому кругу вопросов, связанных с ИБ.
Еще один поднятый Сергеем Кучиным вопрос давно известен представителям госорганов, вынужденных применять для своей работы нестыкующиеся между собой СКЗИ разных производителей - для СМЭВ, для внутренного электронного документооборота, для иных задач. И хотя такие продукты как "Континент", Застава, VipNet, С-Терра реализуют один и тот же алгоритм шифрования, единого протокола, который бы позволил им взаимодействовать друг с другом, они не используют. А значит госорганам приходится ставить такие железки в ряд, тратя бюджетные средства на ненужные танцы с бубном, в попытке заставить работать отечественные СКЗИ вместе.
Также мне запомнились выступления Андрея Лихолетова (Санкт-Петербург) и Дмитрия Едомского (Коми), которые, не сговариваясь, подняли очень непростую тему культуры ИБ на государственных предприятиях. Оба представляли именно сторону заказчиков и поэтому их выступления были очень неожиданными. Никакой техники, никаких рассказов о законодательстве... Но может быть оно и закономерно. Все-таки Питер - это культурная столица и где, если не в ней говорить о культуре ИБ.
Задал тон Андрей Лихолетов, который начал с основ формирования культуры ИБ, рассказал о том, что препятствует повышению культуры ИБ и т.п. Особенно интересно, что сейчас Совет Безопасности рассматривает документ по этой же тематике - "Основы государственной политики в области формирования культуры информационной безопасности". Становится очевидно, что только техническими мерами (да еще и преимущественно иностранного происхождения) защищенности государственных ИС не достичь. А в условиях низкой зарплаты и высокой текучки кадров эта задача становится и вовсе неподъемной. Поэтому так важно работать с людьми, снижать вероятность реализации угроз через человеческий фактор, включать рядовых сотрудников в процесс обеспечения ИБ.
Тему продолжил Дмитрий Едомский, который рассказал о том, как в Республике Коми внедряются мероприятия по повышению культуры ИБ. При этом рассказ изобиловал интересными практическими примерами.
Помимо упомянутых выступлений были также доклады и экспертов - от Microsoft, Positive Technologies, Лаборатории Касперского и Digital Security. Выступал и я, как представитель генерального партнера форума. Рассказывал о том, как иностранные ИТ-компании могут повысить уровень доверия к своей продукции в России (на примере Cisco).
ЗЫ. Завершал сессию Рустем с презентацией о том, как объединить усилия отрасли и всех ее игроков. Ей я посвящу отдельную заметку.
И дело тут не столько в месте проведения и культурной программе. Они были на высоте. Не каждый день удается ночевать в президентском номере (весь комплекс готовился к встрече президентов G20), а ужинать в Константиновском дворце, находящиеся под охраной ФСО :-)
Интерес представляла именно деловая программа секции "Россия защищенная", на которой были представлены доклады и от регуляторов (ФСТЭК и Роскомнадзор), и от государственных органов, которые делились своими наболевшими вопросами и опытом их решения. Началась секция с выступления местного Роскомнадзора (Дмитрий Иванов). Хоть и без презентации, но живенько были описаны типовые ошибки, допускаемые государевыми операторами ПДн в СЗФО:
- Неназначение лица, ответственного за обработку ПДн
- Отсутствие внутреннего контроля за порядком обработки ПДн
- Нет типовых форм согласия на обработку ПДн
- Не утвержден список должностей, допущенных к обработке ПДн
- Не утвержден порядка доступа в помещения, в которых ведется обработка ПДн
- Не утверждена политика в отношении обработки ПДн
- После последнего уведомления РКН внесены изменения в обработку ПДн, о которых не послано повторное уведомление.
При этом соотношение обращений граждан в отношении нарушения их прав субъектов ПДн не в пользу коммерческих компаний - против них было 917 обращений в 2013-2014-м году, а против госорганов всего 7. Соответственно нарушений у коммерсантов было за этот период найдено 200, а у госов - 14. Предписаний соответственно 32 и 3.
Вторым выступал представитель ФСТЭК (Михаил Щитников). Он очень неплохо описал 17-й приказ, используя также неплохую презентацию. Наиболее интересно, на мой взгляд, было послушать его в отношении ряда возникающих вопросов. Что такое ГИС? Является ли ИС бухгалтерии ГИС? Попадают ли бюджетные учреждения или ФГУПы под действие 17-го приказа и под контроль ФСТЭК?
Очень интересным было выступление Сергея Кучина, министра ИТ и связи Нижегородской области. Сергей, непонаслышке сталкивающийся с требованиями различных регуляторов и пытающийся увязать из с необходимостью внедрения современных ИТ, поднимал непростые вопросы. Например, как импортозамещение влияет на обязательства России, вступившей в ВТО? Хочу отметить, что этот вопрос вообще никогда до Сергея не поднимал на моей памяти. А ведь он очень непрост. Ведь запрет закупки иностранных технологий противоречит требованиям ВТО. Другой вопрос был более традиционен, но не менее важен - квалификация специалистов по ИБ и их достаточно число. Зарплаты государственных служащих не могут конкурировать с коммерческими организациями и надо что-то делать. В качестве варианта Сергей предложил ввести специальный коэффициент для расчета зарплаты. Правда, сами госорганы на это идут с трудом и нужна внешняя рекомендация. Идеально, если бы ФСТЭК могла такую рекомендацию подготовить - она бы помогла многим государственным и муниципальным специалистам по ИБ.
Еще одним вариантом решения кадрового вопроса могли бы стать обучающие курсы . Причем как онлайн (и тут ФСТЭК могла бы стать инициатором подготовки таких курсов, которые могли бы давать базу для профильных и непрофильных специалистов), так и очные. Мне очень понравилась инициатива Правительства Хабаровского края, которое с помощью АИС провело глубокое обучение своих специалистов по широкому кругу вопросов, связанных с ИБ.
Еще один поднятый Сергеем Кучиным вопрос давно известен представителям госорганов, вынужденных применять для своей работы нестыкующиеся между собой СКЗИ разных производителей - для СМЭВ, для внутренного электронного документооборота, для иных задач. И хотя такие продукты как "Континент", Застава, VipNet, С-Терра реализуют один и тот же алгоритм шифрования, единого протокола, который бы позволил им взаимодействовать друг с другом, они не используют. А значит госорганам приходится ставить такие железки в ряд, тратя бюджетные средства на ненужные танцы с бубном, в попытке заставить работать отечественные СКЗИ вместе.
Также мне запомнились выступления Андрея Лихолетова (Санкт-Петербург) и Дмитрия Едомского (Коми), которые, не сговариваясь, подняли очень непростую тему культуры ИБ на государственных предприятиях. Оба представляли именно сторону заказчиков и поэтому их выступления были очень неожиданными. Никакой техники, никаких рассказов о законодательстве... Но может быть оно и закономерно. Все-таки Питер - это культурная столица и где, если не в ней говорить о культуре ИБ.
Задал тон Андрей Лихолетов, который начал с основ формирования культуры ИБ, рассказал о том, что препятствует повышению культуры ИБ и т.п. Особенно интересно, что сейчас Совет Безопасности рассматривает документ по этой же тематике - "Основы государственной политики в области формирования культуры информационной безопасности". Становится очевидно, что только техническими мерами (да еще и преимущественно иностранного происхождения) защищенности государственных ИС не достичь. А в условиях низкой зарплаты и высокой текучки кадров эта задача становится и вовсе неподъемной. Поэтому так важно работать с людьми, снижать вероятность реализации угроз через человеческий фактор, включать рядовых сотрудников в процесс обеспечения ИБ.
Тему продолжил Дмитрий Едомский, который рассказал о том, как в Республике Коми внедряются мероприятия по повышению культуры ИБ. При этом рассказ изобиловал интересными практическими примерами.
Решение возникающих проблем с низким уровнем культуры ИБ обеспечивается на разных уровнях и разными методами - организационными и техническими.
Помимо упомянутых выступлений были также доклады и экспертов - от Microsoft, Positive Technologies, Лаборатории Касперского и Digital Security. Выступал и я, как представитель генерального партнера форума. Рассказывал о том, как иностранные ИТ-компании могут повысить уровень доверия к своей продукции в России (на примере Cisco).
ЗЫ. Завершал сессию Рустем с презентацией о том, как объединить усилия отрасли и всех ее игроков. Ей я посвящу отдельную заметку.
