Конец прошлой недели во Владивостоке выдался богатым на мероприятия. И если про мероприятие в администрации Приморского края я знал минимум за месяц (поскольку наша организация его и готовила), то приглашение выступить на BIT’2016 я получил довольно-таки внезапно. За неделю до мероприятия. Поделюсь своими впечатлениями о мероприятиях по порядку. Сначала о BIT’2016 (он прошел 9 июня), а потом и о нашем семинаре (10 июня).
Начиная рассказ про BIT-2016 хочется сразу поделиться радостью от самого факта приглашения на него. Уже то, что организаторы нашли меня и мой блог в дебрях интернета и предоставили возможность показать себя и представить свою компанию на этом форуме заряжало позитивом еще до начала мероприятия. Тем более, что это мероприятие не ИБ-направленности, а общеайтишное.
Сначала мне показалось очень коротким время для выступления каждого докладчика — всего 15 минут. Но, как оказалось, это вполне себе жизнеспособный формат — когда время очень ограничено, стараешься оставлять в своем выступлении только самое важное и полезное.
Я не буду подробно рассказывать обо всех или о некоторых выступлениях, скажу лишь, что лично мне понравились больше всего выступления 101, 102, 104 и 113. Все презентации, в том числе и мою можно скачать на сайте мероприятия.
Отдельно хочется отметить ведущего, который поддерживал теплую атмосферу и решительно не давал скатиться форуму в сон и скуку. Кофе-брейк тоже был отличным, здесь даже было шампанское. Жаль, что я был за рулем ? Были и интересные стенды от партнеров форума. Мне больше всего запомнилась демонстрация некого «железного» исполнения аналога Wireshark с расширенными возможностями.
В общем и целом впечатления от BIT-2016 положительные. Организация на уровне.
Теперь о нашем семинаре.
Он был целиком и полностью посвящен информационной безопасности. Как водится, на таких мероприятиях, выступали регуляторы, вендоры и специалисты. Все презентации можно скачать на нашем сайте.
Запомнились вопросы из зала представителю Роскомнадзора, на которые были даны спорные и неоднозначные ответы. Первый вопрос звучал так: «Является ли степень инвалидности специальной категорией персональных данных?». Ответ был: «Да, является.». Тут даже не знаю что сказать. Просто этот ответ противоречит другим ответам и пояснениям Роскомнадзора, где утверждается, что сама степень инвалидности (1, 2, 3) не является специальной категорией ПДн, а вот причина инвалидности (диагноз) само собой — является. Второй вопрос был задан о том, с какого возраста ребенок может самостоятельно давать согласие на обработку своих ПДн. Представитель РКН ответила, что с момента получения паспорта гражданина РФ, то есть — с 14 лет. По-моему, тоже весьма спорное утверждение.
Представитель ФСТЭК рассказал о требованиях по защите информации в ГИС и о планах в нормотворчестве этого ведомства. Вот что хотелось бы отметить, что мне показалось интересным как по итогам выступления, так и при ответах представителя ФСТЭК на вопросы из зала:
- во ФСТЭК прошло сокращение, сотрудников мало, поэтому проверки проходят редко, но метко;
- при этом ФСТЭК активно сотрудничает с региональными советами по информационной безопасности, а те уже в свою очередь работают непосредственно с подведомственными организациями;
- при проверках внимание уделяется больше практической безопасности, нежели формальному выполнению требований, об этом я, кстати, уже писал.
Из выступления представителя ФСБ и из последующего личного общения я сделал несколько выводов, которыми считаю необходимым поделиться.
- Основное нарушение, выявляемое сейчас при проверках — несоответствие условий эксплуатации криптосредств документации. Тут нужно напомнить, что большинство криптосредств классов КС2, КС3 и выше в программном исполнении должны эксплуатироваться согласно формуляру. Так вот, в формулярах таких СКЗИ часто пишут, что в комплект поставки входит электронный замок, а в комплекте с СКЗИ по умолчанию он конечно же не поставляется. Поэтому многие либо по незнанию, либо намеренно это требование не выполняют (иногда электронный замок просто физически нельзя вставить, например, в моноблок, не говоря уже о том, что тот же «Соболь» может стоить сам по себе в разы дороже экземпляра СКЗИ).
- Основной документ, которым необходимо руководствоваться — 378 приказ ФСБ. Это важно, потому что старые приказы в некоторых вещах противоречат новому или вносят определенный градус неразберихи. Например, как выбирать класс СКЗИ — по типу нарушителя или все-таки по типу актуальных угроз. Я в принципе согласен с этим, вполне логично, что если у нас есть новый документ, который противоречит старым, но официально не отмененным, то нужно руководствоваться более свежей нормативой. Правда это не отменяет тот факт, что в некоторых регионах (Дальнего Востока по крайней мере) некоторые проверяющие руководствуются 152 приказом ФАПСИ и слыхом не слыхивали про 378 приказ.
Из вендоров запомнились выступления выступления представителя Positive Technologies и представителя Конфидента.
Первый показал интересное видео об этапах взлома системы и последующего расследования, а также о создании SIEM-решения от PT на основе накопленных компанией знаний в области пентестов и расследования инцидентов.
Второй рассказал об эволюции продукта Dallas Lock. Теперь это не просто средство защиты информации от несанкционированного доступа. Скоро будут встроены и сертифицированы модули СОВ, МЭ и СКН. Это очень вовремя, особенно в контексте средства обнаружения вторжений, так как в атмосфере неясности с Security Studio Endpoint Protection бывает сложно подобрать сертифицированную IDS хостового типа, а ViPNet IDS-1000 далеко не всем по карману. Также сертифицируется средство по защите виртуальных сред. Давно пора немного разбавить монополию Кода Безопасности с их vGate. Но, если, о всех предыдущих изменениях я уже давно знал, то следующий анонс для меня оказался сюрпризом — Конфидент готовит линейку электронных замков различных типов и формфакторов. От громоздкого PCI-E варианта (аналога «Соболя») до компактных замков для ноутбуков и планшетов. Все замки естественно будут сертифицироваться по новым требованиям ФСТЭК к СДЗ. Что интересно, с момента выхода этого документа в 2013 году, на рынке до сих пор представлено только два решения, сертифицированных по новым требованиям. При этом одно из них может применяться только в очень ограниченном сегменте ноутбуков и ПК.
В конце хочу сказать пару слов о своем выступлении. Две части презентации, как я уже сказал, можно скачать здесь. Я планирую сделать развернутые посты о некоторых озвученных мной на семинаре вопросах, поэтому сейчас не буду на них заострять свое (и ваше) внимание. Здесь хочу сказать об одном неоднозначной поднятой теме. Некоторые меня спрашивали, зачем я рассказываю такие банальные вещи как, например, обязанности, навыки и необходимые знания специалиста по информационной безопасности. Да, может это и банально, но у меня в процессе своей работы возникает ощущение, что приходится спорить об орфографии и пунктуации с людьми, которые не знают алфавита. Поэтому считаю нужным и важным говорить и о фундаментальных и простых вещах, например о том, почему взваливание ИБ-обязанностей на штатного сисадмина и, тем более, кадровика это плохая идея.