www.mfisoft.ru

Независимый блог об информационной безопасности

пятница, 12 февраля 2016 г.

ТБ Форум - как я это видел

Посетил вчера ТБ-Форум. Цели были исключительно рабочие, но удалось совместить приятное с полезным.
Из приятного:

Вот такой суровый красавец дрон


а это оборудование для обнаружения телефонов и "закладок"
Но работе время, а потехе час, так что удалось оторваться от стенда и попасть в 4 зал, где читали доклады сотрудники ФСТЭК.

Презентаций было много, отмечу моменты показавшиеся мне интересными

1. Готовится законопроект для расширения термина "государственная информационная система" вследствие чего приказ № 17 будет действовать на все гос. органы.

2. Ужесточение требований к МЭ, при этом сертификаты на уже внедренные комплексы останутся в силе, а вот производство придется пересертифицировать.

3. Изменение требований к лицензиатам и соискателям лицензии ФСТЭК. В принципе рассказали все то же, что сказано в проекте, но ответили на вопросы из зала:

    - Да. будут проверять внедрение системы менеджмента качества и системы менеджмента информационной безопасности, но получать сертификаты не обязательно, достаточно декларации о соответствии, проверять планируют наличие внедренных процессов и документов.
    - Лицензиатам  с действующей бессрочной лицензией получать новую не придется, но соответствовать новым требованиям надо, иначе лицензию могут отозвать при проверке.

4. Банк данных угроз безопасности, обещали увеличить количество внесенных угроз, советовали активнее пользоваться им при моделировании угроз. Отметили что угроз меньше, чем в подобных банках, но это объяснили небольшим сроком существования и направленностью самого банка данных на гос.сектор, соответственно вносятся только критические уязвимости и уязвимости с высокой степенью риска.

5. Из зала был вопрос про персональные данные, ответом было - "почему нас постоянно спрашивают про персональные данные, мы не занимаемся регулированием данной области, мы занимаемся защитой информации" - странная реакция, учитывая 21 приказ.

После сотрудников ФСТЭК выступал Алексей Лукацкий, который на примере моделирования угроз для BIOS/UEFI, помимо самого моделирования, показал основные проблемы и сложности. Описывать саму презентацию не буду, её можно найти в блоге автора, лично мне понравилось. Также очень понравилась презентация Ильи Медведовского про тенденции в области пентестинга - понравилась как по содержанию, так и по форме подачи материала. Илья обратил внимание что в наше время все чаще информационная безопасность достигается неведением, не знаю - значит не страшно, защищаться не буду. Думаю, что проблема не в области ИБ - люди предпочитают не знать, не думать о рисках вообще. Проще заниматься самообманом, проще оставаться спокойным. Вывод из этого - надо быть готовым к тому, что попытка заставить начальство/коллегу/клиента начать работать с рисками ИБ потребует много сил чтобы "докричаться" через толстый слой песка.


вторник, 2 февраля 2016 г.

Регулирование интернет-отрасли



Владимир Путин подписал перечень поручений по итогам встречи с участниками первого российского форума «Интернет экономика» 22 декабря 2015 года.
Направленность на увеличение доли отечественного в сфере ИТ, причем не только в сфере ПО, но и оборудования и обучения. Отечественные ИТ-компании обрадует пункт 3 - для них планируется продлить действие пониженных тарифов страховых взносов. Судя по пункту 10, регулироваться теперь будут не только защита персональных данных россиян, а вообще обработка любых данных граждан Российской Федерации в сети интернет, в чем это выразится - посмотрим.

Отдельно хочется отметить пункт 12 - изменению требований к шифрованию данных. Только для того чтобы посмотреть, как он будет реализован, стоит отметить этот день у себя в календаре. Регулирование шифрования, повсеместно используемого в сети Интернет - очень сложная и неоднозначная задача, и остается надеяться, что регуляторы не пойдут простым и привычным путем запретов.