top-image
Главная » Академия » Пресса о нас » InSide: VII Всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты»

InSide: VII Всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты»

VII Всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты», в качестве организатора которой теперь выступает Совет безопасности Российской Федерации, проходила в Сочи с 9 по 13 сентября. Председателем конференции выступил помощник Секретаря Совета Безопасности РФ Владислав Петрович Шерстюк. В мероприятии приняли участие руководство и специалисты полпредств Президента Российской Федерации в федеральных округах, Министерства связи и массовых коммуникаций РФ, МВД РФ, Министерства обороны РФ, Министерства юстиции РФ, ФСТЭК России, ФСБ России, Федерального агентства по печати и массовым коммуникациям РФ, Общественной палаты РФ, Федеральной службы по надзору в области культуры РФ, ОАО «ГАЗПРОМ», ОАО «Российские железные дороги», ГК «Олимпстрой» и других ведомств и организаций. В конференции приняло участие более 400 специалистов, представителей ИТ-компаний, крупных предприятий, представляющих основные отрасли промышленности, такие как металлургия, энергетика, машиностроение, топливно-энергетический комплекс России.

На конференции была организована работа восьми тематических секций и круглых столов, в которых обсуждались тенденции развития отрасли информационной безопасности в России, новое в законодательном регулировании. Также были представлены новые технологические решения в области информационной безопасности.

 

Первый день вместил в себя открытие конференции, плавно перешедшее в пленарное заседание, пресс-конференцию для аккредитованных СМИ, церемонии награждения и торжественный прием, в последующие дни прошли секционные заседания.

Открывая конференцию, помощник Секретаря Совета Безопасности РФ В. П. Шерстюк отметил, что ее работа посвящена поиску путей решения сложных проблем обеспечения информационной безопасности РФ в ее региональном измерении. В основу этой работы положен принцип партнерства государственных органов, бизнеса, науки и организаций гражданского общества.

Из пленарных докладов, в первую очередь, выделим сообщение начальника Бюро специальных технических мероприятий МВД РФ Б. Н. Ми- рошникова, в котором он привел многочисленные примеры правонарушений в области информационной безопасности, отметив, что в последние годы резко выросло количество уголовных дел в этой сфере. Были и другие, не менее интересные выступления: заместителя генерального директора ОАО «КАМАЗ» по безопасности И. А. Шамилова, директора по ИБ Кабинета Президента «Майкрософт» в России и СНГ В. Н. Мамыкина, директора по продуктам безопасности компании Oracle СНГ Д. А. Шепелявого.

 

В перерыве конференции генерал-полковник Мирошников и Первый заместитель начальника 8-го центра ФСБ России А. П. Баранов пообщались с журналистами. Отвечая на вопрос относительно результативности работы МВД применительно к преступлениям в сфере высоких технологий, Б. Н. Мирошников сказал: «Мы прилагаем все силы, чтобы поступающие в суд дела не возвращались на доследование. Сегодня мы можем констатировать отрадный факт: доля обвинительных приговоров в данной области резко увеличивается и уже близка к 100 %». Рассказав, что специалистами Бюро подготовлены рекомендации для граждан о способах противостояния интернет-мошенничеству, он однако подчеркнул, что возможности «органов» не безграничны и от самих членов интернет-сообщества требуется несколько большая ответственность за свои действия в Сети, нежели они являли до сих пор.

А. П. Баранов в свою очередь также не преминул призвать общество к повышению ответственности. «Гражданское общество должно само объяснить государству о своих потребностях и заставить государство их удовлетворить, а у граждан должно быть чувство ответственности: каждый пользователь, каждая организация обязаны защищать свой компьютер и этим способствовать порядку в Интернете», - считает он. В качестве примера своего тезиса А. П. Баранов привел ситуацию с сертификацией по линии ФСБ РФ антивирусных программ «Лаборатории Касперского» и «Доктор Веб». «Разработчики около трех лет их дорабатывали, чтобы они удовлетворяли нашим требованиям. Мы их протестировали и рассылаем обновления для государственных органов, подписав своей электронной подписью. Между тем, многие банки ставят у себя программы, не прошедшие сертификации в России, а потом жалуются, что у них происходят утечки информации. Хорошо, что сейчас банковское сообщество озаботилось защитой информации, и этот процесс взяли под контроль Центральный банк и Ассоциация российских банков. Мы это приветствуем и будем им помогать», - рассказал А. П. Баранов, посетовав, на то, что западные производители антивирусов не идут на сертификацию в России, несмотря на поступавшие от ФСБ РФ рекомендации. «Видимо, у них есть основания избегать нашей проверки», - предположил Первый заместитель начальника 8-го центра ФСБ Российской Федерации.

                                                                 

Наверное, мы не покривим против истины, если скажем, что наибольший интерес на конференции вызвала секция «Нормативно-правовое регулирование в области ИБ. Защита персональных данных: закон в действии». И по количественному составу участников (более 100 человек) и по числу докладов она также оказалась вне конкуренции.

Дискуссия на секции развернулась фактически между двумя сторонами: операторами, обрабатывающими персональные данные, и регуляторами. Большой интерес вызвал вопрос об ограниченности финансовых ресурсов у организаций, которые занимаются хранением и обработкой персональных данных. Прозвучали и критические замечания в адрес разработчиков нормативных документов, что неудивительно, поскольку процесс оформления систем хранения персональных данных находится в самом начале своего пути.

 

 

Вместе с тем, как отметил модератор секции - Начальник ГНИИ ПТЗИ ФСТЭК России В. Г. Герасименко, уже более 16 тысяч организаций зарегистрировались в качестве операторов таких систем.

Просим поделиться впечатлениями о работе секции генерального директора ЗАО «НПО «ЭШЕЛОН» А. С. Маркова. «Не будет преувеличением сказать, что VII конференцию в этом году с волнением ожидали не только из-за комфортной сочинской площадки делового общения, - с ходу заинтриговал он нас. - Дело в том, что здесь впервые в стране планировалось официальное выступление всех регуляторов в области защиты персональных данных: Россвязькомнадзора, ФСБ России и ФСТЭК России. С молниеносным явлением пакета документов по персональным данным в ИТ-сообществе сформировался целый пласт неожиданных вопросов, касающихся, например, доступности документов ФСТЭК России и наличия документов ФСБ России, обязательности лицензирования, аттестации и сертификации для коммерческих организаций, возможности самоаттестации и декларирования оценки, отсутствия (в соответствии с ФЗ-152) типовых ИСПДн в принципе, различий в рекомендациях и требованиях, реорганизации рынка СЗИ в связи с дополнительными механизмами безопасности, критериев классификации приватных данных, увядающих сервисов предлагаемой базовой модели угроз, позабытости аппарата ГОСТ по линии ИСО 27000 и ИСО 15408, раскрытия исходных кодов на СЗИ и др.

Секция по персональным данным во многом оправдала надежды ИТ-интеграторов. Представитель ФСБ России порадовал присутствующих обнародованием двух новых открытых документов, а главное, незыблемостью стратегии в отношении КСЗИ. Высококомпетентным и интересным был доклад Россвязькомнадзора, учитывая тот факт, что тематика была смежной для технических специалистов. ФСТЭК России представила комплекс докладов как от базового научного института, так и от центрального аппарата. Это во многом разъяснило ситуацию в области персональных данных. Обнадежило также заявление регуляторов, что в этом году экзекуций с их стороны пока не задумано.

Говоря о конференции в целом, можно сказать, что она была традиционно полезна и хорошо организована, я даже затрудняюсь назвать еще какое-либо мероприятие в ИБ-области такого плана. Из рекомендаций пожелал бы повысить конструктивизм конференции посредством исключения рекламного пиара, не отличавшегося профессиональным кругозором.

Тем не менее задача делового общения выполнена, что не может не радовать».

Интересуемся мнением о своевременности обсуждения вопросов нормативно-правового обеспечения в области защиты персональных данных у генерального директора компании «ЭЛВИС-ПЛЮС» А. В. Соколова: «Сам факт того, что для обсуждения данного вопроса была организована отдельная секция, а ее ведущими были Владимир Григорьевич Герасименко, начальник Государственного научно-исследовательского испытательного института проблем технической защиты информации (ГНИИИ ПТЗИ) ФСТЭК России, Виктор Евдокимович Гаврилов, первый заместитель начальника Управления 8 Центра ФСБ России и Лариса Борисовна Васильева, начальник Управления по защите персональных данных Федеральной службы по надзору в сфере связи и массовых коммуникаций, и ваш покорный слуга, сам по себе говорит об актуальности проблематики. С не меньшей очевидностью о повышенном интересе к данной теме свидетельствуют дополнительные стулья, которые пришлось приносить организаторам для размещения всех желающих принять участие в ее работе».

Пояснив, что Федеральный закон № 152-ФЗ «О персональных данных» обязывает оператора персональных данных принимать организационные и технические меры для защиты персональных данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий, а предъявляемые им требования по защите персональных данных должны быть выполнены до 1 января 2010 года, А. В. Соколов продолжил: «На сегодняшний день обеспечение безопасности таких данных является неотъемлемой частью работ по созданию и поддержке информационных систем. В настоящее время практически в каждой организации информационные системы хранят и обрабатывают различные данные о людях: фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах. Кроме того, в таких системах хранится и сопутствующая информация, на основании которой можно получить дополнительные данные о персоне.

  

Так вот, проблема защиты персональных данных при их обработке, обсуждение и разъяснение положений нормативных правовых документов со стороны регулирующих органов по вопросу обеспечения информационной безопасности персональных данных и поиску путей их практического применения в интересах операторов персональных данных и стало основой работы секции.

Почти в каждом выступлении говорилось, что принятие закона «О персональных данных» и связанных с ним нормативно-правовых документов, без всякого сомнения, поднимает уровень информационной безопасности во всех сферах, где речь идет о возможности бесконтрольного распространения критичной информации о гражданах. В то же время отмечались и существующие отдельные проблемы внедрения положений закона на практике».

Напоследок интересуемся общими впечатлениями о конференции. «Я придерживаюсь мнения, что эта конференция - одна их наиболее интересных в области информационной безопасности, - с уверенностью говорит генеральный директор «ЭЛВИС-ПЛЮС». - Поиск путей решения сложных проблем нормативно-правового регулирования в области обеспечения ИБ России, о чем говорил на открытие конференции помощник секретаря СБ РФ В. П. Шерстюк, невозможен без тесного взаимодействия представителей государственных органов власти, бизнеса, науки и гражданского общества».

Высокого мнения о сочинской конференции придерживается и руководитель Департамента комплексных решений компании «Аквариус» А. Б. Решетов: «Само мероприятие мы расцениваем, в первую очередь, как площадку для общения всего бизнес-сообщества, занимающегося вопросами защиты информации. Ценность данной площадки для нас состоит в том, что в ней участвуют не только представители бизнеса, но и государственные организации, которые выполняют функции законодательных и контролирующих органов в области информационной безопасности. Здесь мы можем не только обменяться опытом между собой, но и пообщаться с законодателями и организациями, которые готовят в этой области приказы и распоряжения, а также выполняют функции контролирующего органа.

К позитивным тенденциям в развитии мероприятия мы относим увеличение числа обсуждаемых вопросов. Кроме того, конференция привлекает наше внимание тем, что с каждым годом неуклонно растет число участников, и сегодня мероприятие охватывает практически все регионы РФ. Важно и то, что приезжают сюда не только крупные компании-разработчики средств защиты информации, но и начинающие компании с новыми перспективными идеями, только выходящими на рынок. Ну и конечно, здесь мы встречаем потребителей нашей продукции. Таким образом, эта площадка является универсальным средством общения всех тех людей, которые в РФ занимаются вопросами защиты информации: разработчиков, представителей законодательной власти, государственных и корпоративных заказчиков».

Среди наиболее ярких впечатлений от конференции А. Б. Решетов также отметил секцию по персональным данным: «Помимо обсуждения перманентных проблем, организаторы конференции традиционно выбирают одну из актуальных тем сегодняшнего дня. Если в прошлые годы «горячей» темой были стратегия развития информационного общества РФ и доктрина информационной безопасности РФ, то в этом году на первый план вышла задача защиты персональных данных, - сказал он. - Однако обсуждение данного вопроса в этом году нам показалось недостаточно глубоким и носило, на наш взгляд, односторонний характер. Не лишним стало бы вынесение данной тематики для обсуждения в рамках круглого стола - неформальный, живой разговор между представителями бизнеса и контролирующими органами в лице ФСТЭК России и ФСБ Российской Федерации явно пошел бы на пользу делу.

Наше мнение, как и мнение наших коллег, с которыми мы встречались на конференции, сводится к тому, что в полном объеме к установленному сроку 1 января 2010 года в масштабах страны все требования закона о защите персональных данных во всех информационных системах, относящихся к категории К1 и К2, выполнить не удастся, судя по тому, как развивается этот процесс. Скорее всего, возникнет необходимость в его переносе.

Хотелось бы пожелать организаторам и в последующем поднимать на конференции наиболее актуальные, наиболее волнующие бизнес-сообщество темы, но при этом не забывать о необходимости неформального общения между представителями власти и бизнеса по тем проблемам, которые не в полной мере решены или не достаточно эффективно оформлены в законодательном плане, и предусмотреть для такового возможность».

Насколько бы ни были значимыми вопросы, поднятые на секции по персональным данным, - это не повод для того, чтобы остальные секции были обойдены нашим вниманием.

О работе секции «Решения в области ИБ на базе Linux и свободного ПО» просим рассказать заместителя генерального директора ОКБ САПР Ю. В. Гусарова. «Тематика свободного ПО и, в частности, Linux сейчас переживает очень интересный и волнующий этап - первого всплеска внимания действительно широкой общественности, - обосновал он выбор организаторов в пользу данной тематики. - Ни в коем случае не хочу сказать этим, что до последнего времени в этой области не было хороших специалистов или интересных решений и исследований. Все это, безусловно, было и в нашей стране, и за рубежом. Однако «линуксоиды» до сих пор оставались чем-то вроде закрытого общества энтузиастов-художников, чем- то близким к тому, что принято называть «хакером в хорошем смысле слова». Мы категорически против употребления слов «хакер», «вор» или «вандал» в «хорошем смысле», однако определенная элитарность «линуксоидам», без сомнения, была присуща, и присуща по сей день. Но именно сейчас общественная ситуация и состояние развития вычислительной техники привели к появлению наиболее благоприятных условий для выхода свободного ПО из «художественных мастерских» в реальный бизнес.

Естественно, этот всплеск вызвал и актуализацию вопросов защиты информации на базе Linux и свободного ПО.

Конечно, было бы неверным считать, что это лишь удачно сложившиеся обстоятельства. В немалой степени внимание общественности к Linux стало результатом направленных действий «линуксоидов», в частности компании VDel, проводившая секцию «Решения в области информационной безопасности на базе Linux и свободного ПО». Нельзя не отметить серьезную роль, которую эта компания сыграла в том, что секция прошла оживленно, интересно и на высоком научном и техническом уровне. К безусловным достижениям организаторов следует отнести хоть и не быстрый, но неуклонный рост числа посетителей «линуксовых» секций «нелинуксоидами». Это означает, что на смену разговору «со своими о своем» пришел разговор с бизнесом о бизнесе.

Непосредственно наше участие в секции было, на мой взгляд, очень удачным, рассказ о совместном с компанией VDel проекте «Аккорд-Х» вызвал живой отклик, который подтвердил нашу уверенность в актуальности предлагаемого решения. Также не могу не сказать о том, что Linux находится в сфере интересов ОКБ САПР не только по линии продуктов семейства «Аккорд», но и по линии ПСКЗИ ШИПКА. И в этой области нами были получены очень интересные для нас предложения и достигнуты предварительные договоренности, о которых мы обязательно расскажем, как только они получат формальный статус.

 

Оценивая работу секции в целом, хочется сказать о том, что участвовать в таких мероприятиях год от года становится все более интересно и полезно, и мы этому очень рады. И конечно, нам, как компании с 20-летним опытом работы в области защиты информации, чьи решения давно оценены и востребованы потребителями, очень приятно заново пережить вместе с коллегами этот непростой, но романтический период «начала» - импульса, придаваемого работе специалистов пониманием, что их разработка приобретает общественную значимость».

В этом году в конференции впервые участвовала Общественная палата РФ, более того, ее член - Е. Г. Дьякова, была одним из модераторов секции «Реализация стратегии развития информационного общества». «Для меня стало большим открытием, насколько серьезен уровень конференции, сколь авторитетных профессионалов здесь удалось собрать. У нас очень хорошие законы, но правоприменительная практика оставляет желать лучшего. Мне было очень приятно, что на этой конференции присутствуют генералы и чиновники из наших силовых и регулирующих структур, которые видят и понимают имеющиеся проблемы и готовы их решать. Конструктивность мышления, продемонстрированная ими на заседаниях конференции, внушает надежды», - сказала политолог.

Тем не менее, пока государство будет оставаться единственным субъектом, решающим проблемы информационной безопасности и вообще информатизации, риск столкнуться с решениями, удобными с точки зрения исполнителя, но не пользователя, остается весьма высоким. - считает Е. Г. Дьякова. - Я понимаю, для того чтобы пользователь мог совершить несколько простых действий на своем рабочем месте, органам государственной власти необходимо решить целый комплекс сложнейших задач и технологического, и юридического характера. Однако при решении этих задач следует отталкиваться именно от интересов пользователя, а для их учета необходимо четко следовать принципу, сформулированному в «Стратегии развития информационного общества в Российской Федерации»: «Развитие информационного общества в России базируется на партнерстве государства, бизнеса и гражданского общества».

ЗАО «Компания Безопасность» выступила спонсором секции «Информационная безопасность в стратегических отраслях экономики России», и о ее работе с нами побеседовал заместитель технического директора по науке В. А. Лобачев. «От компании на секции был зачитан доклад на тему «Комплексы инженерно-технических средств охраны и информационная безопасность для особо важных объектов», - начал он свой рассказ. - В нем рассматривались вопросы обеспечения защиты информации на примере программно- технического комплекса «Фарватер», а также влияние защиты информации на эффективность системы физической защиты в целом. Именно комплексный подход, при котором в равной мере учитываются аспекты как физической, так и информационной безопасности функционирования объектов, мы считаем наиболее правильным, эффективным и заслуживающим максимального внимания ведущих специалистов в этих областях».

«Наиболее бурную дискуссию во время работы секции вызвал вопрос применения способов защиты информации при ИТ-технологиях в конкуренции с антивирусными технологиями, - продолжил В. А. Лобачев. - В целом же большинство представителей компаний занимались прямой рекламой своей продукции. Аналитики проблем информационной безопасности, особенно для стратегических отраслей экономики России, к сожалению, не прозвучало. В дальнейшем, по нашему мнению, необходимо подумать об основополагающем для каждой секции докладе, который бы задавал общий тон и направленность обсуждаемых на ней вопросов. Тезисы такого доклада необходимо разослать заранее всем участникам.

Если же говорить в целом о конференции, то, во-первых, - это уникальный способ наладить взаимоотношения по интересующим нас вопросам без посредников. Во-вторых, осознавая потенциал участников мероприятия, мы уверены в его эффективности и в том, что поднятые нами вопросы получат развитие и продолжение в виде взаимовыгодного сотрудничества, направленного на решение задачи обеспечения комплексной системы безопасности особо важных объектов стратегических отраслей экономики России».

Несмотря на свою занятость в качестве организатора секции-семинара «Практика оценки эффективности вложений в информационную безопасность», вице-президент «4x4 Бюро профессиональных услуг» А. Б. Шиндин не отказался достаточно подробно изложить нам суть прозвучавших на ней докладов.

«Вопросы финансирования информационных технологий, обеспечения возврата инвестиций, контроля расходов всегда вызывают интерес профессионалов. Наша секция тоже собрала достаточное количество слушателей. Работа началась с доклада Д. С. Муравьева, генерального директора «4x4 Бюро профессиональных услуг», который познакомил собравшихся с новой версией профессионального стандарта VAL IT 2.0. Данный стандарт предназначен в первую очередь для бизнес- руководителей, которые хотят контролировать инвестиции в информационные системы. VAL IT определяет процессы, относящиеся к ИТ-инвестициям, ключевые практики управления и действия, которые должны проводиться заинтересованными сторонами в контексте корпоративного управления.

К сожалению, в России профессиональные стандарты, посвященные возврату инвестиций, малоизвестны и практически не применяются. Хотя в последнее время наблюдается всплеск интереса именно к стандарту VAL IT.

А. А. Гусаков, главный консультант Oracle СНГ, представил в своем докладе решения Oracle по организации систем Single Sign On. Системы подобного класса широко применяются на западе и получили достаточное распространение в России. Специалистам в области информационной безопасности хорошо известны все достоинства и недостатки подобных систем. Обычно проекты по внедрению SSO приводят в качестве примера по расчету возврата инвестиций в ИБ. Действительно, внедрение SSO позволяет сэкономить время как сотрудников компании, так и работников технической поддержки, ведь вместо большого количества паролей приходится запоминать и вводить всего один. Поэтому полученную выгоду от внедрения очень легко посчитать по формуле «сэкономленное время x стоимость рабочего времени». Хотя на самом деле вложения в информационную безопасность не являются по своей сути инвестициями, так как не приносят прибыли. Более правильно говорить не об инвестициях в ИБ, а о затратах. В настоящее время профессиональное сообщество рекомендует рассматривать затраты на информационную безопасность как аналог страховки, поэтому получил распространение термин ROSI (return on security investment).

Действительно, если все идет хорошо, не случается никаких инцидентов или происшествий, то работа специалистов по информационной безопасности просто не видна. У руководства в результате может создаться ложное впечатление «пустой траты» денег на ИБ. Чтобы этого не произошло, а также для обеспечения поддержки управленческих решений в области ИБ, специалисты внедряют системы метрик и отчетности. О том, как создать подобную систему на основе карт сбалансированных показателей и какие выгоды она с собой несет, также рассказал Д. С. Муравьев.

Прежде всего необходимо задать цели программы и выбрать соответствующие метрики. Сразу же стоит определить - как эти метрики будут пересматриваться в дальнейшем либо как будут вводиться новые. Задать основу для сравнения и цели для различных метрик, определить механизм отчетности и разработать релевантный план действий.

Метрики позволяют значительно улучшить управление деятельностью, относящейся к области безопасности. Кроме того, метрики позволяют оценить соответствие законодательным требованиям, эффективность и адекватность политик, процедур и контролей. Метрики по каждому департаменту объединяются в систему карт сбалансированных показателей на стратегическом, тактическом и операционном уровне. На базе анализа полученных данных определяются «слабые» области.

Комментируя итоги конференции, ректор Академии информационных систем, ответственный секретарь оргкомитета Ю. В. Малинин подчеркнул, что начиная с 2008 года аппарат Совета безопасности в лице его секретаря и помощника секретаря взял на себя роль основного куратора конференции. Это дало возможность официально пригласить к участию в ней представителей субъектов России: из 400 собравшихся более половины - представляли регионы. «Это весьма ценно, поскольку одной из основных задач нашей конференции мы видим пропаганду идей, решений и перспектив в области информационной безопасности на региональном уровне. Работу секций считаю вполне плодотворной, представители бизнеса получили информацию о новостях в нормотворчестве в данной сфере, практике их реализации. Причем особенно важно, что получили они ее из первых уст. Стоит отметить, что круг общения на конференции зачастую позволяет за полтора дня решить не меньше вопросов, чем в Москве удалось бы сделать за четыре месяца.

В этом году мы впервые пошли на то, чтобы включить в программу коммерческие доклады - в основном на секциях по практике обеспечения ИБ на предприятиях, которая и задумывалась как инструмент знакомства участников с предлагаемыми на рынке решениями. Эксперимент показал, да и многие посетители секции это отмечали, что к рекламным докладам следует относиться не менее требовательно, чем ко всем прочим. Докладчики должны учитывать уровень нашей аудитории, а не просто повторять то, что они обычно говорят своим клиентам.

Заключая рассказ о конференции, отметим, что она прошла на традиционном для себя высоком уровне. Отдельные критические замечания в адрес организаторов ни в коей мере не умаляют значимости события для    ИБ-сообщества России. Напротив, они вызваны желанием помочь в дальнейшем совершенствовании конференции. То есть цели и организаторов, и участников полностью совпадают, а это вселяет оптимизм относительно будущего организуемого Академией Информационных Систем мероприятия.