PHDays 2012 ...послевкусие

Скажу сразу, это было круто ! В этом году я впервые оказался на PHDays и пробыл оба дня как на одном дыхании. Команда Positive Technologies сделала отличную работу и провела мероприятие на высоком уровне. Мне к сожалению пока не довелось побывать на зарубежных мероприятиях подобного уровня, но если ориентироваться на то, что пишут о них в Интернете, то PHDays ничем им не уступает (ну разве что определенной молодостью, т.к. это все же всего лишь вторая конференция). 

Теперь по конкретике. Почти все доклады на которых я побывал были очень интересными и, что самое главное, разноплановыми. Т.е. не было упора только в сторону низкоуровневого программирования или хакинга (как может показаться из названия). Каждый мог найти себе что-то по душе.   Помимо этого в течение этих двух дней проходила масса конкурсов, одним из которых, например, был поиск спрятанных точек WiFi-доступа.  Из-за этого среди массы участников периодически протискивались ребята с антеннами разной формы, те самые охотники на "лис". Меня даже один раз приняли за носителя "лисы" :)

Что мне довелось послушать:

1) Доклад по парольным менеджерам от Дмитрия Склярова и Андрея Беленко. Очень дельный доклад, ребята разобрали "по косточкам" с десяток парольных менеджеров для iOS и рассказали что в них не так.  Больше всего меня в таких обзорах конечно же радует описание программ, которые разработчиками подаются как средства надежной защиты паролей, а на деле их даже не шифруют.

2) Доклад Брюса Шнайера безусловно вызвал огромный интерес, хотя доклад был из серии нетехнической безопасности.  Брюс рассуждал на тему доверия как основы безопасности человеческого сообщества. Таких людей всегда интересно послушать, потому что их доклады заставляют в голове крутиться какие-то другие шестеренки и немного по-другому смотреть на свою работу.  Брюс конечно же немного попиарил свою последнюю книгу, которая как раз посвящена всему тому, о чем он рассказывал на докладе, но кто ж ему запретит. :). Речь, кстати, вот об этой книге если что.

3) Александр Гостев рассказывал про Flame, хотя в программе было обозначено, что разговор пойдет о Duqu, однако доклад от этого не стал менее интересным. Александр рассказал об их опыте в обнаружении и исследовании вирусов Stuxnet, Duqu и Flame, которые по его мнению являются примерами эволюции профессионального кибер-оружия.

4) Алексей Лукацкий в первый день рассказывал про непростые навороты нашего законодательства. Очень сгустил краски на мой взгляд, но народу в зале видимо было все равно, я даже не уверен, что половина из них вообще знает что такое ФСТЭК :).   Реально, там было колоссальное количество молодежи, людей, которые как я вскользь услышал, называют таких как я "пиджаками" :). Вот та молодая шпана, что сотрет нас с лица земли, как пел БГ.

Во второй день PHDays помимо прочего я посетил доклад Алексея Андреева, который рассказывал про кибер-панк, футурологию и в каком направлении это все развивается. Опять же доклад, который не имеет практически ничего общего с информационной безопасностью, но рассуждения на такие темы позволяют как-то расширить сознание что-ли (так, все кто сейчас подумал о Пелевине, грибах и прочем, расслабьтесь, на PHDays грибов не давали, хотя вот кормили вполне себе вкусно)

Еще один интересный доклад, который я посетил во второй день, был доклад Джерри Гэмблина про Lulzsec. Джерри рассказал об участниках группировок Lulzsec и Anonymous, об их операциях и методах, которыми они пользовались. Кстати, во время доклада 5 человек из сидевших в зале одели маски Anonymous и вышли :)  такой вот флешмоб получился.   Еще порадовал вопрос одного из журналистов, заданный Джерри, "простите, а вы не Anonymous ?".

Да, параллельно со всем этим действом проходили хакерские соревнования CTF. Я не остался на награждение в конце второго дня, но как я понял, в итоге победила команда Leetmore. Молодцы ребята ! 

Подводя итог могу сказать, что я очень рад, что у нас в России появилось такое мероприятие. И я желаю всем организаторам долгих лет жизни :) т.к. сделать такое - это очень непростая и я уверен довольно затратная по деньгам задача. Надеюсь, ребята, что вы не сбавите оборотов.

Зовите меня на PHDays 2013, я обязательно приду !   И под конец немного фоток:

 

По итогам форума директоров ИБ

Сегодня завершился второй, заключительный день Форума директоров ИБ. Несколько наиболее ярких моментов, которые я лично для себя выделил:

1) Представитель ФСБ рассказал, что проект нового Постановления Правительства под 152-ФЗ про уровни защищенности должен быть опубликован в ближайшее время. Если я правильно понял, то переход к уровню защищенности будет через какую-то комбинацию класса системы (по схеме классификации типовых систем) и модели нарушителя. 

Гадать о том, как нашим регуляторам удалось скрестить ужа с ежом, не стоит. Поживем и увидим. Интересно другое, все мы помним как с помощью модели угроз производилось снижение класса. Видимо в новой конструкции будет происходить аналогичный пассаж. Рисуя модель нарушителя операторы (своими силами или силами нанятых консультантов, которых попросят "нарисовать" нужный уровень) будут всеми правдами и неправдами стремиться занизить уровень защищенности. 

2) Мой вопрос относительно того кто будет определять корректность модели угроз точного ответа не последовало (да его и нет видимо).  Важный момент ! Пообщавшись с некоторыми коллегами, которые работают в организациях, получивших аккредитацию в качестве экспертов при Роскомнадзоре я с удивлением обнаружил в них немалую "жажду крови". Т.е. огромное желание жестко проверять операторов (в случае привлечения их на проверку) и определять им какая у навязывать им свое мнение относительно того, какая у них должна быть модель угроз и нарушителей.  Правомерность этих действий - на мой взгляд большой вопрос. 

3) Еще я отметил, что в риторике представителей ФСТЭК и ФСБ все чаще звучит то, что их назначили ответственными за контроль государственных информационных систем, а то, как будет организован контроль коммерческих организаций их не особо интересует. Это не их задача. 

4) И в заключение на основании доклада Алексея Волкова я отмечаю, что действительно все разговоры в кулуарах конференций не значат ничего и точку в большинстве вопросов может поставить только СУД.  Готовьте свои аргументы, коллеги !

Краткие итоги IV Межбанковской конференции по информационной безопасности

Сегодня последний день IV межбанковской конференции «Уральский форум: Информационная безопасность банков». Для тех, кто здесь не присутствовал Алексей Лукацкий вел довольно подробную трансляцию в твиттер.  Лично я для себя по итогам этого мероприятия вынес 2 ключевых момента, которые надо будет иметь ввиду всем, кто имеет отношение к обеспечению информационной безопасности в кредитных организациях:

1) "Узаконивание" обязательности внедрения СТО БР ИББС продолжится, но теперь от писем регуляторов с непонятным правовым статусом все переместится в плоскость нормативных документов, выпускаемых ЦБ. Необходимость (и право) выпуска таких актов на ЦБ накладывает ФЗ "О национальной платежной системе". Так вот в эти акты либо будут скопированы требования из стандарта СТО БР, либо будет дана ссылка на стандарт.  Так что, скоро у всех скептиков не останется поводов сомневаться в необходимости соответствия стандарту.

2) ЦБ планирует обязать банки официально отчитываться о состоянии информационной безопасности. Для этих целей в настоящий момент разрабатывается соответствующий регламент и форма отчетности. По предварительным данным соответствующие нормативные акты (обязывающие банки регулярно подавать отчетность в виде результатов  самооценки/аудита) появятся в середине года. Делается это также в контексте ФЗ "О национальной платежной системе". 

Вот такие вот интересные новости, коллеги. Посмотрим как будут развиваться события. 

Инфобез 2011 - первые впечатления

Побывал сегодня "набегом" на открывшейся выставке-конференции "Инфобез". Честно говоря особой разницы между этой конференцией и Infosecurity я не почувствовал. Народу было не много (хотя возможно это связано с тем, что я пришел уже под конец рабочего дня), количество стендов даже чуть меньше чем на Infosec'е.

В конце дня был так называемый "Октоберфест", тот самый, которым человек-бутерброд заманивал всех на входе в парк Сокольники на прошлой неделе. Заключался он в том, что организаторы разливали бесплатное пиво, раздавая под закуску крендельки. Вообще идея мне эта понравилась, правда мне кажется, что надо было это делать не в конце, а как минимум в середине дня :) Так и посетители расслабятся и дискуссии будут интереснее.

Чем меня в этом году больше привлекает Инфобез, так это своей конференционной программой. Заявлено довольно много интересных докладов. Завтра (05.10.2011) будет Банковский день с массой презентаций по самым разным тематикам (ДБО, фрод, СТО БР и проч.). Думаю именно завтрашний день - это тот день, когда стоит посетить Инфобез.

Infosecurity Russia 2011

Сегодня начинает работу конференция Infosecurity Russia 2011. Я планирую принять участие в круглом столе на тему "Управление информационной безопасностью и управление затратами на информационную безопасность" (ссылка). Презентацию выложу в этом посте сегодня вечером. До встречи на конференции !

Обновление:

Моя презентация с круглого стола:

Директор по информационной безопасности 2.0

View more presentations from abondarenko

После первого дня впечатления от конференции неоднозначные. Все уменьшилось: стенды многих компаний стали значительно меньше в размерах да и количество участников, как мне показалось, сократилось. Как-то после этого не очень верится в прогнозы о годовом росте рынка ИБ в 30-40%.

Конференция ZeroNights в Санкт-Петербурге

Похоже, что количество конференций с хакерским уклоном в России начинает увеличиваться. В этом году уже прошло мероприятие Positive Hack Days, и вот теперь еще одна конференция Zero Nights, организатором которой является сообщество DEFCON Russia.

В программе пока всего два выступления, так что видимо мероприятие еще нельзя назвать полностью сформировавшимся, но посмотрим что же будет в итоге.

Конференция кстати платная и стоимость указана не такая уж и маленькая, с учетом того что, как я сказал, пока не понятна полностью программа конференции, это выглядит несколько странно.

P.S. О других конференциях по информационной безопасности, которые будут проходить этой осенью, я уже писал тут.

Предстоящие конференции

Итак, неделя подошла к концу и я публикую результаты опроса (всего в опросе приняло 40 человек):

Самое интересное, что большинство не планирует вообще никуда идти. Среди тех, кто все же пойдет, более популярной является конференция Infosecurity 2011.

А вот ради чего посещают эти мероприятия:

Что касается того, достаточно ли проводится в России конференций по информационной безопасности, то тут мнения разделились:

Но практически все единодушно отметили, что качественные мероприятия в России все же проводятся, но только они единичны:

Как я и говорил, я планирую посетить и Infosecurity и Infobez.

Если говорить про Infosecurity Russia 2011, то там меня привлекают следующие секции, которые будут проходить 29.09.2011:

• Облачная безопасность. Тенденции, технологии и решения" (Cloud Solutions - Revolution in Web Security)
• Управление непрерывностью бизнеса . Секция 1 "Облака и непрерывность бизнеса"
• Безопасность бизнес-приложений

На Инфобезе меня заинтересовали круглые столы по теме банковской безопасности, которые пройдут 05.10.2011.

Осенние конференции по информационной безопасности

Как известно общественная жизнь в отрасли информационной безопасности активно возобновляется именно с приходом осени.

Итак, что же нас ожидает:

Сентябрь

6 - 10 сентября. Всероссийская конференция "Обеспечение информационной безопасности. Региональные аспекты" (Сочи). Подробности.

15 сентября. ИТ и ИБ в финансовом секторе: практический подход. Подробности.

28 - 30 сентября. Infosecurity Russia 2011. Подробности.

Октябрь

4 - 6 октября. Инфобезопасность 2011. Подробности.

26 октября. Форум "ИБ в финансовом секторе и телекоме". Подробности.

26 - 28 октября. VII Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России» (Санкт-Петербург). Подробности.

28 октября. DLP-Russia 2011. Подробности.

Ноябрь

15-18 ноября. 2-я Международная специализированная выставка «ИНФОРМАЦИЯ: ТЕХНИКА И ТЕХНОЛОГИИ ЗАЩИТЫ» (Санкт-Петербург). Подробности.

30 ноября. Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие. Подробности.

Коллеги, если у кого-то есть еще какие-то мероприятия на примете, пишите в комментах.

IV Межотраслевой форум директоров ИБ - мои 5 копеек :)

Так как о прошедшем на этой неделе форуме уже высказались в своих блогах мои коллеги (Алексей Волков, Алексей Лукацкий, Евгений Царев), то я не буду особо много говорить.

Я солидарен с мнением, что действительно можно смело сократить количество докладчиков в пользу более содержательных выступлений действительно стоящих людей. В качестве иллюстрации к моему комментарию цитата, которую произнес один из докладчиков, начиная свое выступление: «Коллеги, я позволю себе отнять 20 минут вашей жизни для того, чтобы рассказать примерно то, что вы и без меня уже знаете». Занавес !

Действительно общение в кулуарах порой было интереснее некоторых выступлений, но это тоже неплохо, такое общение должно быть и может быть для него тоже нужно создавать условия (больше времени, больше пространства).

Все конечно же говорят про выступление Е.К. Волчинской. Поэтому, коллеги, чтобы не травить вас размышлениями о том, насколько это было интересно и информативно, выкладываю запись ее выступления тут. Оцените сами.

Мой совместный доклад с С.А. Касиной был посвящен работе по созданию отраслевых стандартов для пенсионных фондов. Запись лежит здесь.

View more presentations from abondarenko

Еще одним положительным моментом было то, что в рамках форума мне, наконец, довелось лично познакомиться с Алексеем Волковым, очень позитивным человеком и интересным собеседником!

Конференции по ИБ в Москве в мае-июне 2011

Честно сказать мало у нас достойных мероприятий по информационной безопасности, тому есть масса причин и размышления на эту тему достойны, наверное, отдельного поста, но сейчас не об этом. Не смотря на то, что обычно "богатыми" на конференции оказываются начало весны и середина осени в этом году май и июнь будут довольно насыщенными. Более того, ожидаемые в это время мероприятия могут стать действительно интересными. Итак, что нас ждет:

17-20 мая 2011 - Международный салон Комплексная безопасность 2011. Мероприятие посвящено в целом безопасности и ИБ уделяется лrишь небольшая часть, но зато на это мероприятие (в отличе от остальных) можно попасть абсолютно бесплатно. Хотя все же, положа руку на сердце, ИБшнику там делать нечего :)

19 мая 2011 - Positive Hack Days. Не знаю стремились к этому организаторы или нет, но у меня это мероприятие ассоциируется с BlackHat. Программа на сайте вывешена крайне интересная, конференция будет проходить впервые. Посмотрим как это будет, осталось не так много времени. Один ньюанс - мероприятие закрытое и для того, чтобы на него попасть нужен "инвайт". Была информация, что кто-то (из особо предприимчивых) пытался даже продавать липовые инвайты на это мероприятие.... Я надеюсь, что мне удастся туда попасть и я смогу рассказать о том, как это было.

24 мая 2011 - Конференция "Информационная безопасность бизнеса и госструктур". Организует CNews, к обсуждению предлагается довольно широкий круг вопросов и среди заявленных докладчиков представители ЦБ, ФСТЭК, ФСБ, коммерческих организаций. Направленность мероприятия мне до конца не ясна и я не уверен, что смогу пойти.

8-9 июня 2011 - IV межотраслевой ФОРУМ ДИРЕКТОРОВ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Это мероприятие традиционно проходило в октябре-нобяре, но теперь решено перенести его на лето. Насколько мне известно был изменен несколько формат участия и в этом году ожидается не менее 200 участников - директоров служб ИБ (!). На сайте уже висит программа мероприятия и в ней я отметил несколько довольно интересных (судя по названиям по крайней мере) докладов.

16 июня 2011 - Межбанковская конференция Вопросы применения и соответствия стандартам PCI DSS/PA DSS. Это какое-то новое мероприятие. Ранее межбанковская конференция проходила только в Магнитогорске и была посвящена широкому кругу вопросов ИБ в банках, а вот тут узко-профильное мероприятие, но "бренд" тот же.

Конференция PCI DSS Russia 2011

Сегодня выступал на конференции PCI DSS Russia с докладом о том какие тонкости присутствуют при реализации требований стандарта PCI DSS. Мероприятие собрало немалое количество участников, думаю что не меньше сотни (официально зарегистрировалось более 200). На конференции также присутствовали представители VISA и MasterCard, но их доклады были довольно общими, были обозначены основные намерения платежных систем по повышению общего уровня безопасности, но какие будут санкции в отношении тех, кто не выполняет требования PCI DSS в России так и остается непонятным. Как и остается неясным то, каким образом VISA и MasterCard планируют воздействовать на российские торгово-сервисные предприятия, которые в настоящий момент вообще "забили" на стандарт.

Я не удержался и задал вопрос про Chronopay и недавний инцидент. Ответ меня удивил: VISA не проводила никаких мероприятий по расследованию этого инцидента, потому что (! внимание) ни один банк-член VISA не обратился к ним с претензией в отношении Chronopay.

Также из зала задавался вопрос о том, будет ли официальный перевод стандарта PCI DSS, но по словам Ильи Медведовского (Digital Security), которому удалось по этому вопросу пообщаться с представителями PCI Council, в ближайший год такого перевода можно точно не ждать (учите коллеги инглиш и читайте в подлиннике :) ).

На вторую половину конференции я остаться не смог, судя по программе там планировались интересные доклады на тему безопасности ДБО.

В целом мероприятие получилось интересным, но все же не хватало реальных "историй успеха" в плане внедрения требований стандарта. Думаю многим было бы интересно послушать доклады не только от консультантов (да да... несмотря на то, что я сам работаю в консалтинге...), но и непосредственно клиентов (опыт клиентов всегда более востребован у аудитории). Думаю организаторам стоит это учесть на будущее.

P.S. Моя презентация ниже:

View more presentations from abondarenko.

Защита персональных данных на финансовом и пенсионных рынках, отраслевые стандарты и новый приказ ФСБ

В минувшую пятницу мне довелось поучаствовать в конференции "Защита персональных данных на финансовом и пенсионных рынках 2.0", организованной ассоциацией НАПФ. Получилось довольно интересно и познавательно. Что порадовало, так это то, что из зала задавались конкретные вопросы, было понятно,что публика пришла знающая и уже попробовавшая реализовать требования закона (год назад на подобных мероприятиях из зала шли вопросы, которые скорее говорили о незнании нормативной базы). Но обо всем по порядку.

Одним из первых выступлений был доклад представителя РКН - Кантемирова Юрия Евгеньевича. Чего-то принципиально нового я для себя не услышал, доклад был посвящен опыту проверок за прошедший год. Были обозначены основные ошибки операторов, к которым отнесены:

• отсутствие уведомления в РКН или его некорректное заполнение
• отсутствие согласия на обработку ПДн
• отсутствие утвержденного списка лиц, имеющих доступ к персональным данным в организации.

По опыту отработки претензий со стороны субъектов одной из наиболее частых причин таких претензий была обозначена "несанкционированная реклама", т.е. когда оператор добыв где-то контакты физических лиц начинал им рассылать письма или смс-ки с предложением своих услуг, что далеко не всегда вызывало их восторг.

Далее последовал доклад представителя 8-го Центра ФСБ - Тачкова Юрия Владимировича. К сожалению по тех. причинам мне не удалось сделать нормальную запись выступления, поэтому напишу, что услышал. Доклад был главным образом касался нового приказа ФСБ, посвященного описанию порядка применения средств криптографической защиты для обеспечения безопасности персональных данных (тому, который должен прийти на смену 2м методическим документам, имеющимся сейчас). Доклад был интересным и вот почему: Юрий Владимирович начал выступление с того, что обозначил, что существующие документы ФСБ по персональным данным были разработаны как компиляция из других документов ФСБ (читай на скорую руку, методом копи-пейст (комментарий автора)) и поэтому к разработке этого приказа и вводимого им положения подошли со всей серьезностью. Документ получается аж на 60 страниц (!) и в него планируется включить методику составления модели нарушителя и класса криптосредств (соответственно), порядок применения СКЗИ (необходимые орг. мероприятия), а также разъяснения о том, в каких случаях необходимо получение лицензий ФСБ. Вот тут самое интересное. Лицензия ФСБ на техническое обслуживание СКЗИ не нужна (!), если СКЗИ используется в соответствии с эксплуатационной документацией (читай если просто используете для своих нужд, то лицензия не нужна). Лицензия ФСБ на распространение средств СКЗИ не нужна, если один оператор передает СКЗИ другому оператору для осуществления защищенного обмена информацией (почему же тогда банки заставляют получать лицензию на распространение криптографии среди своих клиентов?). Также Юрий Владимирович коротко коснулся вопросов проведения проверок ФСБ по линии использования СКЗИ. Из основных замечаний были обозначены:

• использование СКЗИ не отвечающих эталонным образцам (не совпадают контрольные суммы)
• несоблюдение порядка использования (нет необходимой документации, не проводятся необходимые мероприятия)
• использование несертифицированных СКЗИ

Последний пункт меня конечно же заинтересовал больше всего, на мой прямой вопрос о том, являются ли средства VPN, используемые практически во всех организациях, незаконными, Юрий Владимирович ответил, что согласно постановлению правительства - да. (кстати уже второй раз слышу со стороны регуляторов камень в огород правительства, дескать это не мы такие драконовские меры вводим, это все в постановлениях прописано, и доля правды в их словах есть). Позже на кофе-брейке Юрий Владимирович сказал, что он сам не против либерализации (читай использования западной криптографии), но является ли его мнение отражением мнения ФСБ по этому вопросу я не знаю.

Далее было выступление Федосенко Андрея Владимировича, ведущего советника Комитета Госдумы РФ по конституционному законодательству и государственному строительству (записи также нет). Он еще раз обозначил проблемы применения 152-ФЗ, которые коротко можно описать словами "закон написали не так, а поняли еще хуже". В законе планируется править определение ПДн (сделать его более широким как в евроконвенции), формы и условия получения согласия на обработку ПДн (конклюгентные действия ?), возможные основания для обработки ПДн. С точки зрения обеспечения безопасности планируется дать "большую свободу оператору", но за эту свободу придется расплатиться большей ответственностью. Законодатели не хотят вводить норму по которой (как в Америке) оператор обязан будет уведомить субъектов, чьи данные были скомпрометированы, планируется ввести норму по которой оператор обязан будет уведомить регулятора (РКН), а тот уже далее будет либо публиковать эту информацию (доска позора ?), либо подавать в суд...

Про РКН тоже возник вопрос, эта служба не является "независимой" как того требует евроконвенция. Что это означает я не понял, но возможно РКН будет реформироваться снова в некий иной орган, отвечающий за вопросы соблюдения прав субъектов ПДн.

Далее был обед, после которого прошли выступления представителей ассоциаций НАПФ и НАУФОР и спонсоров конференции.

В рамках доклада НАПФ было совместное выступление вашего покорного слуги и Касиной Светланы Алексеевны, исполнительного директора "Национального НПФ" - члена совета НП "НАПФ". Светлана Алексеевна очень интересно поделилась практикой исполнения закона в пенсионном фонде, я же подробнее представил стандарты НАПФ, в разработке которых принимал непосредственное участие. Запись нашего выступления здесь (рекомендую послушать представителям пенсионных фондов). А вот и сама презентация:

Защита персональных данных на финансовом и пенсионном рынках 2.0

Последний доклад, который я послушал, касался отраслевых стандартов, разработанных ассоциацией НАУФОР. Честно говоря про стандарты я ничего не услышал, Пома Сергей Иванович, заместитель председателя Правления НАУФОР просто поделился своими рекомендациями по выполнению закона и защите информации. Из основных тезисов - большинство утечек закрывается организационными мерами, и примерно половина из них связана с неумышленными действиями (Как специалист по информационной безопасности я не согласен с этими заявлениями полностью....) Запись выступления можно скачать здесь.

Стандарты НАУФОР доступны на их сайте, но скачать их могут только (!) участники НАУФОР. Не понимаю я такой скрытности..... НАПФ свои стандарты выложил в публичный доступ. Если среди моих читателей есть те, кто работает в организациях, входящих в НАУФОР, скиньте стандарты.... интересно почитать.

После наших выступлений была короткая секция вопросов и ответов. Далее в программе планировалось выступление представителя ассоциации НЛУ о разработанных ими стандартах, но выступления не было и на сайте НЛУ я не смог найти никакого упоминания о таких стандартах.

В завершение хочу отметить профессиональный уровень ведения мероприятия со стороны модератора - Короткова Андрея Викентьевича, д.э.н, заведующего кафедрой МГИМО (У), заведующего кафедрой РАНХ при Президенте РФ.

III Межбанковская конференция «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВ»

Как известно с сегодняшнего дня в Магнитогорске проходит конференция "Информационная безопасность банков". Мероприятие безусловно знаковое (для банков пожалуй вообще ключевое). В этом году по стечению обстоятельств я не смог поехать в Магнитогорск, поэтому как и все буду следить за тем, что там происходит со стороны.

Сейчас единственным (мне известным) источником информации о конференции являются твиттер-сообщения Алексея Лукацкого. Позволю себе дать несколько комментариев по той информации, которую запостил Алексей.

@alukatskyAlexey Lukatsky

Гришанков: все благие поправки в законопроект о лицензировании в Правительстве завернули без веских оснований

Неприятная новость, т.к. если в законе о лицензировании ничего не поменяется, то получается, что придется всем либо получать лицензию на ТЗКИ, либо отдавать безопасность на аутсорс, однако в условиях неразвитости этого рынка это будет больше похоже на формальную плату за то, чтобы не было претензий от регуляторов

.

@alukatskyAlexey Lukatsky

Курило: средний срок приведения в соответствие с СТО - 3 года

С оценкой согласен, но что понимается под соответствием ? 4-5 уровень ? Тогда что должны согласно письму шести подтвердить банки до 1 июля 2011 г. (у них осталось менее 5 месяцев) ? В общем слово "соответствие" в терминологии СТО БР имеет какое-то специфичное и неконкретное значение.

@alukatskyAlexey Lukatsky

Курило: средняя цена затрат на приведение в соответствие с СТО - 5 млн. рублей

На мой взгляд это минимальная оценка, если мы говорим об уровне не ниже 3-го. Это означает, что если кто-то из консультантов обещает вам "сделать СТО" за 100 рублей (условно), то это будут просто выброшенные деньги. Тут думаю стоит прислушаться к поговорке "Мы не такие богатые, чтобы покупать дешевые вещи".

@alukatskyAlexey Lukatsky

Курило: лицензия ФСБ банкам нужна

Нужна и точка. Несмотря на то, что закон о лицензировании не относится к деятельности кредитных организаций, но тут видимо исторические договоренности....

п.1 Вождь всегда прав, п.2 если вождь не прав смотри п.1

@alukatskyAlexey Lukatsky

Курило: ЦБ должен стать регулятором ИБ для банков, чтобы директивно спускать требования, а не рекомендации. В ГД такое предложение ушло

Интересно о каких директивных требованиях идет речь, ранее ЦБ говорил про свои документы (СТО БР) как про рекомендательные (хорошая практика), теперь видимо ветер изменился.... у кого-то еще остались сомнения, что СТО БР не придется выполнять ?

@alukatskyAlexey Lukatsky

Гениевский: ABISS хочет стать организацией, работающей не только с ЦБ, но и с РКН, ФСБ и ФСТЭК, те. посредником между банками и регуляторами

Слово "посредник" в России имеет очень конкретный "оттенок"

@alukatskyAlexey Lukatsky

Гениевский: ABISS станет аналогом PCI DSS Council в России - будет аккредитовать аудиторов, обучать специалистов, оценивать результаты...

А вот это уже другое.. Цель хорошая, но о ней говорят уже больше года, а воз и ныне там. Курсы и сертификация аудиторов так и не появились. Кроме того аналогия не получается прямой. PCI Council разрабатывает и утверждает стандарты PCI, а вот ABISS в отношении СТО БР этого делать не может, ведь для этого надо забрать эти функции у ТК362.... только думаю я, что не отдадут...

@alukatskyAlexey Lukatsky

Борисова: РКН не согласен с редакцией законопроекта Резника ко второму чтению. От меня - еще бы; РКН вообще выпал из законопроекта ;-)

Да уж..... перспективы законопроекта какие-то туманные. На Инфофоруме недавно также было отмечено, что ждать новую редакцию надо не раньше мая, т.к. до сих пор нет между составителями консенсуса.

@alukatskyAlexey Lukatsky

Акимов: 400 проверок по линии ПДн со стороны 8-го центра в 2010-м году

Цифра поражает. Откуда столько ? И вообще интересно что и на каком основании проверял ФСБ если учесть, что требования по приведению ИСПДн в соответствие так и не вступили в силу.

@alukatskyAlexey Lukatsky

Лютиков: около 40% банков находятся на 4-5 уровнях соответствия СТО

Здесь как у Станиславского - "Не верю!", 4-5 уровень это очень круто, при той математике подсчета, которая заложена в документах ЦБ, для такого уровня нужно реально много сделать. Не знаю откуда такие цифры у представителя ФСТЭК, но по моему мнению банки, которые по честному (без натяжки) соответствуют 4-5 уровню, можно пересчитать по пальцам.

@alukatskyAlexey Lukatsky

Лютиков: после принятия поправок к законопроекту Резника ФСТЭК будет контролировать только госы и муниципалов

Вот отличная новость (ну хотя бы для коммерческих организаций), если ФСТЭК будет заниматься только госами и муниципалами, то тогда логично предположить, что их требования и методические документы будут применяться только обозначенными организациями, а для всех остальных будут отраслевые стандарты, лучшие практики, мировой опыт и ..... счастье :) Поживем-увидим.

Ну и продолжаем следить за тем, что происходит в Магнитогорске....