вторник, 13 декабря 2011 г.

Семинар RISSPA "Информационная безопасность 2011: итоги, тенденции, перспективы"

Только сейчас нашлось время и собрались мысли, чтобы поделиться впечатлениями от семинара RISSPA "Информационная безопасность 2011: итоги, тенденции, перспективы", который прошел 8 декабря в гостинице "Золотое кольцо".

Общий обзор прошедшего мероприятия уже сделал Валерий Коржов, я же хотел бы остановиться на вопросах, относящихся к банковскому сектору.  

Основные тезисы, связанный с темой ИБ в банковской сфере, прозвучали в выступлении Алексея Лукацкого:
  • Легитимность информационных писем Консультационного центра АРБ - в Консультационный центр входят представители РКН, ФСБ, ФСТЭК, ЦБ, АРБ и Ассоциация "Россия", поэтому его информационные письма можно рассматривать как мнение регуляторов - это конечно не официальные документы РКН, ФСБ и ФСТЭК, но позиции, изложенные в письмах, согласованы с этими регуляторами (применительно к кредитным организация) и могут применяться банками при реализации требований по обработке и обеспечению безопасности ПДн.
  • Необходимость лицензии на ТЗКИ для собственных нужд - ФСТЭК занял жесткую позицию: деятельность по ТЗКИ для собственных нужд организации является лицензируемой деятельностью, поскольку п.5. ч.1 ст. 12 ФЗ "О лицензировании .." для лицензирования деятельности по ТЗКИ исключение "для обеспечения собственных нужд" не предусмотрено. Данная позиция находит подтверждение и в официальных ответах ФСТЭК, например, тут. Так что вперед 7 млн. операторов =).
  • Новинки в Комплексе БР ИББС: 
    • РС "Методика назначения и описания ролей" - принята и должна скоро появиться;
    • РС "Методика классификации активов" - под вопросом, документ получился  очень большой, да и тема сложная, по которой нет однозначного мнения у экспертов - история с этим документом тянется уже порядка 4 лет;
    • РС "Требования по обеспечению безопасности СКЗИ" - планируется к разработке.
  • Развитие регулирования ИБ банков: 
    • Упор на отраслевые стандарты, разрабатываемые в рамках ТК 122 и рабочих групп ЦБ;
    • В ноябре в ЦБ создана рабочая группа по разработке требований по защите Национальной платежной системы - за основу будут брать требования PCI DSS, но в чистом виде этот стандарт использоваться не будет - планируется его трансформация в документ ЦБ;
    • Банк России стал официальным регулятором - требования СТО станут обязательными;
    • На фоне общей тенденции закручивания гаек (обязательной сертификации, возвращения аттестации, необходимости лицензирования и т.п.) для кредитных организаций есть и будут послабления, в рамках того же Комплекса БР ИББС. 
Кстати, фото с этого семинара можно найти на страничке RISSPA в Facebook.

4 комментария:

  1. Что-то Алексей опять страху нагнал....не со всем согласен.

    ОтветитьУдалить
  2. Были слухи про новую редакцию СТО БР ИББС-1.0 и 1.2?

    традиционно раз в два года раньше выпускали новые редакции этих документов.

    PS спасибо за обзор :)

    ОтветитьУдалить
  3. нет, про новые версии СТО БР не говорилось.
    ПО идее срок их обновления настает в 2012 г. - думаю в следующем году и стоит ждать, хотя наверное все-таки переиздание будет после выхода подзаконных актов по ПДн (по крайней мере это было бы логично)

    ОтветитьУдалить
  4. О, вот и обзор мероприятия от самой RISSPA подоспел - http://www.risspa.ru/risspa23

    ОтветитьУдалить