Вышел четвертый отчет LETA IT-company по рынку информационной безопасности в России. В отличие от предыдущих отчетов, здесь появились фамилии авторов разделов. Это, безусловно, правильно, т.к. «обезличенность» предыдущих отчетов порождала кучу слухов и снимала ответственность с авторов. Сейчас ситуация иная, по каждому разделу известен автор, которому всегда можно задать вопрос и высказать свое согласие/несогласие.
Раздел по Стандарту Банка России (СТО БР ИББС) в исследовании писал я, так что готов к диалогу.
Как и раньше, исследование нельзя назвать идеальным. В финальном варианте есть много ошибок, в том числе и фактологических. Кроме того, исследование нельзя назвать полным, т.к. в нем не хватает больших разделов по ИБ.
При этом, те разделы, которые в исследовании есть, написаны, мой взгляд, неплохо и для создания представления о рынке будут полезны.
Что касается описаний консалтинговых направлений, то выполнены они достаточно полно и точно. Сейчас действительно эпоха compliance, компании стремятся не только выстроить эффективную систему защиты, но и получить «признание» ее эффективности. Есть, конечно, убогие комплайнс -направления, вроде защиты персональных данных, которые собственно и форсировали начало эпохи. Однако вместе с ними компании стремятся соответствовать адекватным и признанным стандартам, вроде PCI DSS, ISO 27001… или СТО БР ИББС.
Если брать все compliance-направления ИБ-рынка, то именно направление СТО БР ИББС мне кажется самым перспективным. Уже к сегодняшнему моменту большое количество банков провели свое собственное исследование на предмет есть ли смысл проводить работы по приведению в соответствие требованиям СТО БР ИББС. Большинству, как и мне, выбор кажется очевидным.
Направление персональных данных получило максимальный «кусок» рынка в 2009 году, теперь же его доля, на мой взгляд, будет постепенно сокращаться. Часть возьмет СТО БР ИББС, часть Экспертные аудиты, PCI DSS и т.д. В 2009 году деньги на развитие ИБ/ИТ, выделялись только на персональные данные как объективную неизбежность. Сейчас ситуация с бюджетами лучше, и в разговорах о развитии, службы ИБ говорят не только о защите персональных данных, но и о других вещах.
Поэтому по итогам 2010 мы увидим более здравую картину без столь значительного перегиба в сторону защиты персональных данных.
Вчера председатель совета директоров компании Джон Чемберс на заседании президентской комиссии по модернизации экономики подтвердил свое участие в проекте Сколково. Участие довольно широкое, Cisco планирует участвовать во всех направлениях проекта, в том числе в образовательной сфере и венчурном капитале.
Число резидентов растет, т.к. недавно свое участие подтвердили Siemens, Nokia, Microsoft, Google и многие другие.
По всей видимости, тема персональных данных будет вновь на первом месте. Большие надежды возлагаю на доклады операторов персональных данных, которые проводили работы самостоятельно. Пока неизвестно кто будет читать доклады, а главное какие, тем не менее, есть шанс услышать что-то неизбитое. Если организационные решения уже давно ясны и новшеств здесь немного, то техническую защиту на просторах нашей родины обеспечивают по-разному, иногда, особенно в крупных компаниях с распределенной структурой, находят очень гибкие и элегантные решения, которые могут удовлетворить и регуляторов и бизнес. К сожалению, о таких интересных проектах удается узнать только неофициально. До сегодняшнего дня операторы очень неохотно делились личным опытом проведенных работ по защите персональных данных на открытых мероприятих. Причины понятны, кто-то не уверен за адекватность результата, кто-то решил «не афишировать» проект и т.п. Может в этот раз что-то изменится? Все-таки почти 2 года обсуждаем…
Конференция получилась очень интересной, но рассказать даже вкратце о всех выступлениях не получится как бы этого не хотелось. Поэтому расскажу о первых докладах, в которых, по сути, были озвучены основные вехи. Итак, первым докладчиком был Андрей Викторович Емелин Председатель АРБ по правовым вопросам. Рассказал о текущей ситуации в правовой части задачи защиты персональных данных. В целом ничего нового, однако, такие разъяснения на открытую публику выносились впервые, поэтому доклад получился очень интересным, как и вопросы после доклада. Что ж, законопроект Резника внесен в Госдуму и почти точно пройдет первое чтение, с условием внесения поправок ко второму чтению. В данной ситуации сказать плохо это или хорошо, довольно сложно. Дело в том, что лично я не понимаю «massage» этого законопроекта. Факт его принятия в сегодняшнем виде не устранит существующие значимые противоречия, и вполне может быть породит новые. Поэтому к своему сожалению, я совсем не фанат этого документа, хотя некоторым коллегам он нравится больше законопроекта АРБ.
Учет интересов заинтересованных сторон из рабочей группы Минсвязи возможен ко второму чтению, но некоторые коллеги высказали сомнение о возможности учета интересов банков в рамках подготовки законопроекта ко второму чтению. Поэтому, сказать о том, каким будет законопроект в финальной редакции, даже примерно, пока нельзя. А жаль! Без четкого понимания, к какому закону мы идем, очень сложно рассуждать о том, какими должны быть подзаконные акты и уж тем более отраслевые стандарты. Тем не менее, АРБ по этому направлению продолжает работать, а уж что получится в результате, поживем-увидим.
Андрей Петрович Курило подчеркнул приоритетность задачи защиты персональных данных для всех кредитных организаций. Рассказал о том, что произошло за прошедший год и что нас ждет в ближайшем будущем. Доклад очень емкий, в сухом остатке получаем:
Разработана система документов в рамках СТО БР ИББС включающие в себя требование по защите персональных данных. Скачать их можно отсюда. Данные документы пока не получили финального согласования с регуляторами. При этом их можно использовать, т.к. по разным оценкам документы уже согласованы на 95-98%. Система документов будет окончательно согласована до середины мая.
По факту окончания согласования начнется процедура создания саморегулируемой организации, о которой я уже писал.
В пакете документов есть рекомендации по стандартизации, в который включены требования по безопасности персональных данных. Данный документ согласуется с приказом ФСТЭК №58 и со стандартом ISO по защите персональных данных, который разрабатывался на основе 27002-2005.
Все стандарты в РФ носят рекомендательный характер, также как и СТО БР ИББС. Поэтому, для того чтобы не отвечать за исполнение требований закона о персональных данных перед регуляторами в одиночку и по непонятным правилам, кредитным организациям предлагается внутренними приказами ввести ВСЮ систему документов СТО БР ИББС обязательной к исполнению. И в этом случае такие организации начинают руководствоваться своим отраслевым стандартом, который хорошо адаптирован под них.
Вот так.
В очередной раз представителей ФСТЭК не было. Это уже превратилось в привычное явление, хотя, на мой взгляд, такими действиями руководство ФСТЭК оскорбляет своих коллег. Почти все участники конференция в кулуарах высказывали свое недовольство позицией и действиями ФСТЭК. В отличие от Роскомнадзора и ФСБ, работать с ними очень тяжело. Поэтому основной риск применения норм закона о персональных данных исходит именно от этого регулятора.
Александр Павлович Баранов сделал интересный доклад, мне запомнилась его позиция по вопросу контроля операторов персональных данных. Проверять банки как таковые очень затратно по ресурсам и не очень эффективно, поэтому предлагается проверять саморегулируемую организацию, а проверку операторов проводить только по факту наличия жалоб. Естественно на вопрос о возможности использовать несертифицированные средства ответ был простой – сертификат обязателен.
По-хорошему улыбнула ремарка Грициенко Андрея Александровича насчет вчерашнего репортажа на Первом канале.
Ну вырвали они комментарий из контекста, так это ж не со зла :
Для нас это режет слух, а для целевой аудитории Первого канала все было нормально.
Проснулся в 4 утра от звонившего телефона. На той стороне университетский друг, который живет в Томске:
- Привет! Завтракаю и смотрю тебя по телевизору…)))
- Сколько?
- Что сколько?
- Времени сейчас сколько?
- Уже 7 утра.
- А в Москве?
- …. Ой! А ты спишь?..
- )))
Пришлось просыпаться, т.к. следом позвонил еще один зритель Первого канала.
Недавно помогал коллегам с Первого канала в съемке репортажа по теме защиты персональных данных. Так вот сегодня этот репортаж вышел.
Помимо самого интервью, мы съездили на Савеловский рынок и со скрытой камерой пообщались с продавцами баз данных. Найти их оказалось совсем не трудно. Прямо при входе на рынок висит табличка «БАЗЫ ДАННЫХ», тут же стенд с дисками. Чего там только нет… базы ФНС, ФССП, ГИБДД, Пенсионный фонд, МТС, Билайн и т.п. Видимо «до кучи» продается база vkontakte.ru . Продавцы оказались настолько милы, что показали заинтересовавшие базы в работе. «Наколки» не нашел, все что запускали – работает. На прилавке есть как старые базы, вроде базы ГИБДД до 2008 года, так и совсем свежие. Для некоторых есть обновления вплоть до марта месяца текущего года. Цены порядка 1500 рублей за диск. Дешевле купить оптом, а еще лучше принести свой винчестер для записи на месте. В этом случае за терабайт всех баз данных, которые у них есть, с меня попросили 25 000 руб. Думаю, что если поторговаться, то можно легко скинуть до 10 000-15 000 руб. Как показал этот случай, именно столько сейчас стоит исчерпывающая информация о гражданах РФ.
:
Проснулся в 4 утра от звонившего телефона. На той стороне университетский друг, который живет в Томске:
Последние комментарии