вторник, 17 апреля 2012 г.

По итогам форума директоров ИБ

Сегодня завершился второй, заключительный день Форума директоров ИБ. Несколько наиболее ярких моментов, которые я лично для себя выделил:

1) Представитель ФСБ рассказал, что проект нового Постановления Правительства под 152-ФЗ про уровни защищенности должен быть опубликован в ближайшее время. Если я правильно понял, то переход к уровню защищенности будет через какую-то комбинацию класса системы (по схеме классификации типовых систем) и модели нарушителя. 

Гадать о том, как нашим регуляторам удалось скрестить ужа с ежом, не стоит. Поживем и увидим. Интересно другое, все мы помним как с помощью модели угроз производилось снижение класса. Видимо в новой конструкции будет происходить аналогичный пассаж. Рисуя модель нарушителя операторы (своими силами или силами нанятых консультантов, которых попросят "нарисовать" нужный уровень) будут всеми правдами и неправдами стремиться занизить уровень защищенности. 

2) Мой вопрос относительно того кто будет определять корректность модели угроз точного ответа не последовало (да его и нет видимо).  Важный момент ! Пообщавшись с некоторыми коллегами, которые работают в организациях, получивших аккредитацию в качестве экспертов при Роскомнадзоре я с удивлением обнаружил в них немалую "жажду крови". Т.е. огромное желание жестко проверять операторов (в случае привлечения их на проверку) и определять им какая у навязывать им свое мнение относительно того, какая у них должна быть модель угроз и нарушителей.  Правомерность этих действий - на мой взгляд большой вопрос. 

3) Еще я отметил, что в риторике представителей ФСТЭК и ФСБ все чаще звучит то, что их назначили ответственными за контроль государственных информационных систем, а то, как будет организован контроль коммерческих организаций их не особо интересует. Это не их задача. 

4) И в заключение на основании доклада Алексея Волкова я отмечаю, что действительно все разговоры в кулуарах конференций не значат ничего и точку в большинстве вопросов может поставить только СУД.  Готовьте свои аргументы, коллеги !

Комментариев нет:

Отправить комментарий