вторник, 12 ноября 2013 г.

Защита персональных данных 2013

На прошлой неделе удалось побывать на конференции «Защита персональных данных 2013», проводимой по инициативе Роскомнадзора. Краткий отчет ниже. 

Программа конференции была рассчитана на два дня. Однако, выяснилось, что первый день - закрытый и на него простым смертным попасть нельзя. В результате поехал на второй день.

До обеда действовала одна общая секция, состоящая из докладов отечественных и зарубежных чиновников. После обеда планировалось разделение докладов на тематические заседания.

Для меня конференция началась с выступления небезызвестного господина Гаттарова. Были затронуты животрепещущие темы о том, как американские спецслужбы душат свободу в Интернете, а нехорошие западные компании отказываются соблюдать отечественные требования по защите ПДн. 
Затем начали выступать иностранные гости. Их доклады описывали зарубежный опыт защиты персональных данных. 
Короче говоря, первая часть дня представляла не очень большой интерес для рядового российского ИБ-шника.

Далее было время обеда. Правда
"обеда" в гастрономическом смысле, к сожалению, не было. Зато из окна Экспоцентра открывался неплохой вид.


После обеда началось собственно то, ради чего я поехал в Москву. Доклады разделились на тематические заседания:
Тематическое заседание №1 "Защита персональных данных: организационные и технологические аспекты"
Тематическое заседание №2 "Перспективы развития законодательства в области персональных данных"
Тематическое заседание №3 "Защищенная среда для электронного бизнеса"
Тематическое заседание №4 "Подготовка кадров в области информационной безопасности"
Первое и второе заседания шли параллельно. Третье и четвертое тоже шли параллельно. 

Я пошел на заседание, посвященное организационным и технологическим аспектам защиты ПДн, где ожидались выступления регуляторов.

Первый доклад коснулся вопросов обезличивания персональных данных. По сути, еще раз было озвучено содержание 996 приказа. В условиях кризиса, РКН рассматривает обезличивание как панацею, которая поможет сократить расходы гос. структур на защиту ПДн. РКН еще раз подтвердил, что в ближайшее время ожидаются методические рекомендации по применению приказа. 

В следующем докладе представитель ФСТЭК рассказывал про 17 приказ. Было еще раз заявлено, что приказ не отменяет СТР-К и РД АС. Был анонсирован документ по моделированию угроз, который будет обязателен для гос. органов.
В ходе обсуждения были затронуты довольно интересные вопросы о сфере действия 17 приказа. Какие информационные системы считать ГИСами? Распространяются ли требования приказа на информационные системы, которые отсутствуют в реестре? Ответ ФСТЭК получился следующим: во-первых, отнесение систем к ГИС вне их компетенции. Во-вторых, если система фактически обладает признаками ГИС (см. закон N 149-ФЗ), то она и является ГИС и попадет под действие приказа ФСТЭК. А если система, обладающая признаками ГИС, не зарегистрирована как положено в реестре, то это уже само по себе нарушение и  проблема исключительно Оператора. 

Далее выступал представитель ФСБ с докладом о «вопросах использования криптографических средств защиты информации». Нам рассказали о сфере контроля ФСБ (гос. органы), наиболее частых замечаниях при проверках и о рычагах воздействия на недобросовестных операторов. Ничего принципиально нового из доклада я не извлек. Однако общение после доклада получилось интересным.


Наболевший вопрос о металлических решетках на окнах (см. Проект приказа ФСБ):
- Как нам реализовать данное требование для офисной «стекляшки»?
- А зачем Вы засунули систему 1 уровня защищенности в офисную «стекляшку»?
Что ж, логично :). Системы наивысшего уровня защищенности с актуальными угрозами 1-го и 2-го типов должны встречаться крайне редко и, вероятнее всего, не у коммерческих структур. 


В общем, насколько я понял, у ФСБ все-таки нет намерения навязывать оператором использование СКЗИ высоких классов. И при грамотно аргументированном обосновании класс СКЗИ вполне может быть снижен (например, за счет исключения внутренних нарушителей). 

Удалось также побывать еще на двух докладах. Доклад представителя Mircosoft, посвященный их внутренней реализации процесса реагирования на инциденты, был крайне интересным и ( субъективно) оказался лучшим докладом на конференции.

Не сомневаюсь, что были еще интересные доклады. Но на них поприсутствовать, к сожалению, не удалось, т.к. пришлось выбирать между параллельными секциями. 

Подводя итоги.
Считаю, что 20 минут для доклада на серьезную тему - недостаточно.
Иностранный опыт защиты перс. данных? Вопросы обучения специалистов по ИБ? Наверное, эти проблемы просто выше моего уровня. Лучше бы организаторы отказались от первой части (с иностранными гостями), но зато бы поставили все интересные послеобеденные доклады по очереди, а не параллельно. 



1 комментарий:

  1. В следующем докладе представитель ФСТЭК рассказывал про 17 приказ. Было еще раз заявлено, что приказ не отменяет СТР-К и РД АС.
    Смотрите Информационное сообщение ФСТЭК по применению 17 и 21 приказов. Там написано какие разделы (СТР-К и РД АС) и в каких случаях продолжают действовать.

    ОтветитьУдалить