Пришла пора поговорить и о прогнозах на грядущий год змеи. Тема эта благодарно-неблагодарная. Почему неблагодарная? Потому что предсказывается не то, что реально может произойти, а то, с чем неплохо знаком предсказатель. Вот пример сравнения предсказаний 7 различных вендоров по ИБ на 2012-й и 2013-й года. Разброс очень сильный. Поэтому буду говорить о более-менее ясных мне вещах, т.е. о законодательстве. Разумеется, это будут не 100%-е прогнозы, но 80%-ую вероятность определенно могу гарантировать. Итак можно выделить несколько направлений регулирования, которые будут занимать умы и регуляторов и специалистов по ИБ:
И еще немного о нормотворческой деятельности ФСТЭК. Она вновь возвращается к своей методологической роли и планирует выпустить в грядущем году новые требования к новым средствам защиты (DLP и средства доверенной загрузки); обновится РД и по межсетевым экранам (к концу года). В рамках ТК362 ФСТЭК планирует разработать несколько интересных ГОСТов, среди них стандарты по ИБ виртуализации и облачных вычислений.
Кстати, сейчас намечается интересная тенденция. Отрасль сыта по горло темой "как обнаружить" или "как отразить" те или иные угрозы. Она безусловно важна, но что-то новое в ней найти и предложить сложно. Поэтому акцент сейчас смещается в другие направления:
Примерно так получается. Разумеется, я рассказал не обо всем, что будет в 2013-м году в России, но ключевые вопросы осветил. Год уходящий был интересным; год грядущий будет не менее интересным. Нам всем будет чем заняться, а может и чем гордиться (каждому свое).
Пока же хочу пожелать всем читателям в Новом году всех свойств Змеи, о которых говорят в различных мифологических традициях:
- Персональные данные
- Приказ РКН об утверждения списка стран с адекватной защитой прав субъектов ПДн. Предполагаемая дата принятия - 1-й квартал 2013 года.
- Методические рекомендации по обезличиванию ПДн. Предполагаемая дата принятия - 1-й квартал 2013 года.
- Приказ ФСТЭК по защите ПДн. Предполагаемая дата принятия (включая регистрацию в МинЮсте) - 1-2-й кварталы 2013 года.
- Приказ ФСБ по защите ПДн. Предполагаемая дата принятия (включая регистрацию в МинЮсте) - 1-2-й кварталы 2013 года.
- Постановление Правительства о надзорных функциях РКН в части защиты прав субъектов ПДн. Предполагаемая дата принятия - 2-й квартал 2013 года.
- Закон о внесении изменений в КоАП (в части увеличения штрафов). Очень предполагаемая дата принятия - 2-й квартал 2013 года.
- Закон о внесении изменений в различные законодательные акты в связи с принятием Евроконвенции. Предполагаемая дата принятия - 2-й квартал 2013 года.
- Методика моделирования угроз (она же будет применяться и для госорганов). Дата принятия пока не определена.
- Детальное описание состава мер, определенных в приказе ФСТЭК по защите ПДн. Дата принятия пока не определена.
- Обсуждение поправок ФЗ-152, связанных с переходом в 2014 на новую редакцию Евроконвенции
- Финансовая отрасль (по данному вопросу очень рекомендую посетить Магнитогорскую конференцию - там будут представлены все регуляторы на самом высоком уровне, включая руководителей ГУБЗИ и ДРР Банка России)
- Новая версия СТО БР ИББС. Дата принятия пока не определена, но предполагаю, что это будет скорее второе полугодие.
- Русский перевод PCI DSS. Дата принятия пока не определена, но предполагаю, что это будет первое полугодие.
- Методика проведения проверок надзорным блоком ЦБ по 382-П. Дата принятия пока не определена, но предполагаю, что это будет скорее второе полугодие, а может и в первом успеют.
- Внесение изменений в 382-П и 2831-У, а также разъяснения по их применению.
- Новые требования по защите информации при переводе электронных денежных средств.
- Новая форма отчетности (406) по инцидентам по платежным картам (невысокая вероятность, но слухи ходят).
- Госорганы
- Приказ ФСТЭК по защите государственных информационных систем (новый СТР-К). Предполагаемая дата принятия (включая регистрацию в МинЮсте) - 1-2-й кварталы 2013 года.
- Детальное описание состава мер, определенных в приказе ФСТЭК по защите госорганов. Дата принятия пока не определена.
И еще немного о нормотворческой деятельности ФСТЭК. Она вновь возвращается к своей методологической роли и планирует выпустить в грядущем году новые требования к новым средствам защиты (DLP и средства доверенной загрузки); обновится РД и по межсетевым экранам (к концу года). В рамках ТК362 ФСТЭК планирует разработать несколько интересных ГОСТов, среди них стандарты по ИБ виртуализации и облачных вычислений.
Кстати, сейчас намечается интересная тенденция. Отрасль сыта по горло темой "как обнаружить" или "как отразить" те или иные угрозы. Она безусловно важна, но что-то новое в ней найти и предложить сложно. Поэтому акцент сейчас смещается в другие направления:
- Что делать, чтобы угрозы вообще не реализовывались, т.е. тема SDLC, которая в 2013-м году может выйти из загона и начать набирать своих сторонников. Тем более, что и некоторая нормативка под это дело готовится со стороны разных регуляторов.
- Что делать, если инцидент уже произошел, т.е. как раз тема киберпреступности, которая активно проявилась именно в 2012-м году и в следующем году будет только наращивать свою популярность.
- Как правильно управлять ИБ на предприятии? Именно операционное и стратегическое управление, а не "тупое" использование классных ИБ-продуктов. Сейчас этому вопросу уделяют не так много внимания, т.к. темы "неденежные" для многих игроков рынка. Продуктов там почти нет, консалтинг непрост (тут опыт нужен), специалистов, готовых делиться опытом тоже маловато. Но думаю, что эту тему начнут двигать.
Примерно так получается. Разумеется, я рассказал не обо всем, что будет в 2013-м году в России, но ключевые вопросы осветил. Год уходящий был интересным; год грядущий будет не менее интересным. Нам всем будет чем заняться, а может и чем гордиться (каждому свое).
Пока же хочу пожелать всем читателям в Новом году всех свойств Змеи, о которых говорят в различных мифологических традициях:
- быть мудрыми и уметь отделять зерна от плевел, хорошие поступки от плохих
- быть гибкими и уметь находить компромиссы в непростых ситуациях
- быть сильными и не прогибаться под изменчивый мир
- быть умными и как можно больше получать знаний в своей области
- быть здоровыми и помогать исцеляться тем, кто нуждается в помощи.