Прошлый четверг выдался довольно занятным. Все началось с посещения конференции РКН " Защита персональных данных ". Она получилась довольно приятной, собралось много интересных участников (представители РКН, Совета Федерации, ГУБЗИ ЦБ РФ, ключевых вендоров, интеграторов и учебных центров России). Однако, по сравнению с прошлым годом , полезной информации рассказали очень мало. Регуляторы старательно ее "зажимали", старались лишнего не сказать. И это при том, что было много тем к обсуждению: обезличивание ПДн (по мнению РКН, это хороший способ снижения нагрузки на операторов ПДн, но мы-то понимаем ...), Приказ 21 и рекомендации ФСТЭК, оценка вреда для субъектов ПДн, типы актуальных угроз и отраслевые модели, использование СКЗИ и проект приказа ФСБ, трансграничная передача ПДн, повышение штрафов, "гаттаровский" пересмотр 152-ФЗ и параллельная его гармонизация с европейским законодательством.
Для себя самой полезной презентацией дня считаю доклад Сычева (ГУБЗИ ЦБ РФ) про регулирование ИБ в банковской отрасли: уже подготовили проекты обновления СТО БР ИББС и Модели угроз для банков (с учетом ПП1119 и Приказа ФСТЭК 21, обсуждают на 122 техническом комитете), для большинства ИС актуальны угрозы 3 типа (нет примеров инцидентов утечки ПДн за счет НДВ), ориентир на компенсирующие меры. Также упомянули 382-П и его перспективы (требования будут развиваться, но излишней нагрузки на банки попробуют избежать).
Я выступал в секции №2 "Перспективы развития законодательства в области ПДн", РКН попросил нас ( InfoWatch ) рассказать про нашу аналитику по утечкам ПДн. Они, кстати, регулярно ей пользуются, по запросу мы предоставляем выписку из нашей базы данных инцидентов. Вот моя презентация:
Для себя самой полезной презентацией дня считаю доклад Сычева (ГУБЗИ ЦБ РФ) про регулирование ИБ в банковской отрасли: уже подготовили проекты обновления СТО БР ИББС и Модели угроз для банков (с учетом ПП1119 и Приказа ФСТЭК 21, обсуждают на 122 техническом комитете), для большинства ИС актуальны угрозы 3 типа (нет примеров инцидентов утечки ПДн за счет НДВ), ориентир на компенсирующие меры. Также упомянули 382-П и его перспективы (требования будут развиваться, но излишней нагрузки на банки попробуют избежать).
Я выступал в секции №2 "Перспективы развития законодательства в области ПДн", РКН попросил нас ( InfoWatch ) рассказать про нашу аналитику по утечкам ПДн. Они, кстати, регулярно ей пользуются, по запросу мы предоставляем выписку из нашей базы данных инцидентов. Вот моя презентация:
пр аналитика по утечкам (Info watch) from Andrey Prozorov
(Кстати, много зарубежной аналитики по утечкам можно посмотреть тут .)
(Кстати, много зарубежной аналитики по утечкам можно посмотреть тут .)
В итоге конференция РКН получилась скорее не как диалог с регуляторами, а как хорошее дружеское общение с коллегами, которые пропускали секции и "тусовались" рядом с кофе и пирожками.
Ну, а уже ближе к вечеру мы c друзьями поехали на ZeroNights . Было крайне любопытно из тусовки безопасников "кому за 40" попасть на конференцию хакеров "кому до 30". Так как мы пришли уже поздно, то попали буквально на последние доклады. Я, например, с удовольствием послушал выступление про взлом ДБО. Конференции оказались не то, что не похожими, а диаметрально противоположными по многим критериям (тематика, общая атмосфера, организация, докладчики, целевая аудитория и пр). И это интересно...
На этом все, если хотите чуть больше мыслей с конференции, цитат спикеров и фотографий, то посмотрите у меня в твиттере , дублировать не хочу.
P.S. А вот еще про конференции по ИБ сентября-октября 2013