3-й съезд директоров ИБ - краткие впечатления от первого дня

3-й съезд директоров ИБ - краткие впечатления от первого дня
Первый день 3-го съезда директоров ИБ завершился. Программа была насыщенная и интересная, а т.к. я еще был и модераторов всего дня (работка, я вам скажу, адская), то прослушал все презентации и доклады. Не претендуя на всеобъемлющий пересказ всего того, что было хочу тезисно отразить наиболее понравившиеся мне моменты: Все берут направление на стандартизацию. Банк России, операторы связи, игроки фондового рынка (НАУФОР готовит свой стандарт по ПДн) и т.д. СоДИТ и вовсе решил поднять знамя стандартизации ИБ/ИТ и взялся за перевод 250 необходимых ИТ/ИБ-директору стандартов. Первым, в области ИБ, стал стандарт ISO 15408:2009 (часть 1-я). Это пресловутые "Общие критерии", но не действующая в России 2-я версия, а самая последняя, третья версия критериев оценки соответствия ИТ требованиям ИБ. В ближайшие дни электронная версия стандарта будет доступна либо на сайте СоДИТ , либо на сайте съезда (там же будут доступны в среду вечером и все презентации).Елена Константиновна Волчинская (ведущий советник аппарата комитета ГосДумы по безопасности) рассказала о ключевых изменениях в 4-х ФЗ - "О персданных", "Об ЭЦП", "О лицензировании отдельных видов деятельности" и "О госуслугах". Наиболее интересен был второй законопроект - ряд здравых идей и предложений был высказан. Как минимум, есть желание разделить единую лицензию на все 4 вида деятельности в области шифрования на 2 вида - разработку выделить отдельно.Андрей Владимирович Федосенко (ведущий советник аппарата комитета ГосДумы по конституционному законодательству и государственному строительству) рассказал о планах по изменению законодательства в области персданных. По сути он прошелся по законопроекту Резника и прокомментировал отдельные его положения с точки зрения отношения к ним Правительства и ряда других заинтересованных лиц. Если будет выполнено хотя бы половина из того, что было сказано, то жить станет легче. Что же каается второго чтения, то оно будет все-таки в этом году, а сам законопроект постараются принять также в этом году.Была интересная секция про взгляд с высоты птичьего полета, но ни о каком полете речи не было. Были интересные доклады Сергея Голяка (ММК) и Александра Кириллова (СеверьСталь) о реальном и практическом опыте обеспечения ИБ в холдинговых структурах. Коротко и по делу.Как всегда, выступление Льва Матвеева из SearchInform можно было охарактеризовать следующими тезисами - "Все козлы, а мы самые крутые", "Мы делаем то, что другие никогда не сделают, потому что у нас есть крутой патент", "Мы решим все ваши проблемы с безопасностью, поиском, репутацией, лояльностью, экономическими преступлениями и вообще все", "Время на внедрение нашего крутого продукта всего 8 часов" и "Заказчиков не назову, потому что это секретная информация, но мы все равно самые крутые". Такой безаппеляционный подход, разумеется, вызвал реакцию со стороны аудитории, которая попыталась поспорить с г-ном Матвеевым. Я пресек начинающуюся склоку ;-)В предпоследней интерактивной сессии была дискуссия на тему ПДн. Рассказ банков, химпромышленности и операторов связи был интересен, но наибольшее внимание было приковано к 2-м представителям 8-го Центра ФСБ, которые поделились своим взглядом на проблематику шифрования в контексте ПДн. Во-первых, сейчас готовится проект нового приказа ФСБ, который систематизирует все текущие наработки службы в области защиты ПДн. Во-вторых, будет уточнен перечень случаев, когда лицензия ФСБ не нужна. Например, на выполнение действий, указанных в эксплуатационной документации. Или на распространение СКЗИ клиентам для организации взаимодействия (например, ДБО у банков). В-третьих, рассматривается вопрос разрешения использования несертифицированных СКЗИ там, где нет и не будет в ближайшее время российских аналогов. В-четвертых, банки, подключившиеся к СТО, в 2011-м году проверять по линии ФСБ не будут. Такова договоренность ЦБ и ФСБ (представителей РКН и ФСТЭК на мероприятии не было).Последняя секция была посвящена работе западных компаний в России и как они решают вопрос выполнения корпоративных и локальных требований по ИБ. Надо заметить, что общего взгляда здесь не нашлось. Судя по ответам, каждая международная компания по разному смотрит на локальные требования ИБ. Кто-то на них откровенно забивает, т.к. выполнить "этот бред" невозможно. Кто-то пытается найти компромисс. Кто-то пытается выполнить в полном объеме. Но универсального рецепта так и не было найдено (хотя его, наверное, и нет). Вот на этом официальная часть мероприятия закончилась и мы плавно переместились на теплоход, курсировавший по Москва-реке. Общение, но уже неформальное, продолжилось там ;-)
законодательство тенденции выставки персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь