Статьи

Магнитогорские записки. Часть 1.

27.02.2014

/


Уральский форум «Информационная безопасность банков» - это событие незаурядное. Почти неделю на башкирском курорте Банное регуляторы, банки, вендоры и интеграторы обсуждают итоги и тенденции развития информационной безопасности в стране. Вокруг березовый лес, занесенная снегом ледяная гладь озера Банное и небольшой, но очень уютный горнолыжный комплекс с австрийским доппельмайером. Перелет из Москвы и обратно осуществляется чартером, который встречают в аэропорту трио баянистов.

Участники форума располагаются в небольших коттеджных домиках среди березового леса. Никаких километровых очередей в туалет или схваток за обед, как это бывает принято у нас на более хардкорных мероприятиях.


Программа


Не смотря на целый букет соблазнов, деловая программа форума насыщенна докладами, мастер-классами и «пресс-коктейлями». Однако аудитория (по крайней мере в этом году) собралась весьма странная: 30-40 банков на 100-150 компаний-интеграторов и около 100 представителей ЦБ, ФСБ, ФСТЭК, РКН, Минсвязи и других государственных структур. Явный дисбаланс в сторону вендоров вылился в потерянный день из-за рекламных докладов спонсоров конференции и большую стопку макулатуры, которая обязательно вручалась всем участникам. Началось мероприятие с вручения наград. Кому и за что вручались награды было не совсем понятно и совсем не видно из-за фотографов.

Но так как 2 награды были вручены членам президиума – их можно было потом рассмотреть поближе.

Одной из отличительных особенностей Уральского форума является возможность пообщаться с регуляторами (особенно с представителями ФСБ) и позадавать им вопросы. Поэтому каждый участник форума при регистрации заполнял анкету, в которой для вопросов регуляторам отводился отдельный пункт.

Нужно сказать, что модератор эту возможность успешно пропустил. «Круглый стол» лично мне напоминал больше школьный урок: монолог модератора изредка разбавлялся вызванными к микрофону учениками («А ты что скажешь, Леша?» «А давайте спросим Андрюшу!» и т.д.). Острого обсуждения не получилось, а представители ФСБ практически молчали. Задать вопрос из зала можно было лишь одним способом – перекричав модератора с микрофоном, что и сделал в итоге Алексей Лукацкий своим отличным вопросом про биткоин, но было уже поздно.


О докладах и докладчиках.


ФСБ по-прежнему требует сертифицированную криптографию в каждом детском саду или больнице. Вопрос с платежками остается по-прежнему открытым. С одной стороны, это персональные данные и их нужно шифровать, с другой стороны шифровать каждую платежку нет никакой возможности.

Начальник управления по защите прав субъектов персональных данных Роскомнадзора Контемиров Юрий Евгеньевич подтвердил позицию РЖД в отношении обработки персональных данных в сети Интернет: требуйте с пользователя галочки «согласен на общедоступность ПДн, логина, пароля и всего-всего» и не заморачивайтесь с защитой. Объем персональных данных родственников сотрудника, обрабатываемых без их согласия, теперь так же устанавливается приказами по организации, так как обязательную форму карточки Т-2 отменили и организация имеет право ввести собственную форму с необходимыми полями. Здесь, конечно, лучше запросить письменные разъяснения.

Настоящим открытием конференции для меня стал доклад начальника управления ФСТЭК России Виталия Сергеевича Лютикова.

ФСТЭК вообще в последнее время радует нас своими документами и возможностью поучаствовать в их разработке. Позже мне удалось поговорить с Виталием Сергеевичем наедине, и меня удивило, насколько он умеет внимательно слушать собеседника, прямо и понятно отвечать на любые вопросы и не стесняется признавать имеющиеся в отрасли проблемы. Мы поговорили о плюсах и минусах количественной оценки ИБ (к примеру, как в СТО БР ИББС 1.2). Виталий Сергеевич считает, что фраза «уровень ИБ 70%» абсолютно ничего не говорит о реальной ситуации, а я считаю, что методика оценки уровня ИБ могла бы забрать оценку защищенности от лицензиатов и вернуть её в организацию, как и должно быть. Обсудили так же безопасность АСУ ТП на объектах ТЭК, где ФСТЭК придётся ещё очень много поработать, прежде чем работники служб безопасности начнут хотя бы читать документы ФСТЭК. Поговорили так же об аттестации объектов ОИ, в частности об отсутствии шаблонов аттестационных документов, что приводит к тому, что разные лицензиаты подразумевают под аттестацией разные вещи. Кто-то делает полноценную оценку и выдает полный комплект документов, а кто-то обходится одним заключением на пару страниц. ФСТЭК стоит жёсче контролировать лицензиатов, а то законы рыночной конкуренции сделают из аттестации «бумажную» услугу.

Я так же попросил ФСТЭК предпринять усилия по легализации bugbounty программ в госучреждениях, раз уж ФСТЭК активно занимается сегодня проблемами уязвимостей и обновления ПО, на что Виталий Сергеевич ответил, что у ФСТЭК есть планы по созданию центра компетенции в отношении уязвимостей (CVE), и что если кто-то из госов или вендоров не хочет закрывать дырки – ФСТЭК их промотивирует!

На последний мой вопрос про закрытые ГОСТы Виталий Сергеевич ответил, что практика «маскирования» от сообщества ГОСТов по ИБ будет прекращаться.

Еще у Виталия Сергеевича есть твиттер! Аккаунт у него я не узнавал, но может быть кто-то в комментариях подскажет. Я бы обязательно подписался.

Главным выводом первого дня конференции для меня стало то, что 2 кресла на сцене были заняты совершенно не тем ведомством, которое действительно этого заслуживает. Шифрование и техническая защита информации – два органа единого организма, и засовывать их в разные тела значит создавать Франкенштейна, что мы собственно сегодня и наблюдаем.

Продолжение следует!

Артем Агеев


Обзор презентаций и докладов участников в блоге Алексея Лукацкого.

Презентации участников можно посмотреть здесь.

Фотографии взяты отсюда.