12 ноября 2009
19:35
Конференция 152 ФЗ
Алексей Кравченко , Директор Управляющего Офиса 4CIO.Ru, открыл конференцию, представив присутствующих членов программного комитета, а так же рассказал о методическом пособии, полученном участниками конференции на флешках.
Видео выступления Алексея Кравченко
Первая секция прошла в виде панельной дискуссии между приглашенными экспертами по следующим вопросам:
- Классификация систем. Есть ли документы, определяющие точный перечень ПДн?
- Нужна ли сертификация ПО, с помощью которого обрабатываются ПДн и которое не является средством защиты. И с какого момента ПО можно назвать средством защиты. (Пояснение: производители и интеграторы пользуясь неоднозначностью ситуации и предлагают внедрение версий бухгалтерских и кадровых систем, прошедших сертификацию. Насколько это нужно)?
- Организация провела обследование ИС, определила и утвердила класс системы. Может ли надзорный орган оспорить это и требовать изменить повысить) класс?
- Структура предприятия : Головная (управляющая) Компания и филиалы в рамках одного Юридического лица. В этом случае уведомление за себя и все филиалы рассылается Головной компанией?
- Сертификация аппаратной части. Надо ли заменять все или достаточно поставить сертифицированную железку «для галочки»?
- Практика применения санкций. Не проще ли будет оспорить возможные взыскания в суде, чем тратить сейчас деньги на реализацию?
- Передача ПДн третьим лицам (партнерам, вышестоящей организации). Как это регламентировать?
- Модель угроз. Что такое типовая модель угроз? Порядок разработки.
- В каких случаях необходимо использовать криптозащиту и всегда ли при использовании криптозащиты надо получать лицензию ФСБ?
В качестве экспертов участвовали Н. Конопкин, Заместитель директора Департамента внедрения и консалтинга, LETA IT Company, Д.Устюжанин, Руководитель департамента информационной безопасности, CISSP, MBCI, Beeline и А.Тагиев, Заместитель директора, ВНИИНС. Модератором секции была В. Сапрыкина, Начальник Отдела Информационных Технологий, ПрофМедиа Менеджмент.
Презентация с первой секции
Видео панельной дискусии
П.Пестряков , CIO, Альфа Групп, выступил ведущим второй секции и представил первого докладчика: Ю.Аксененко, Председателя ООО «Центр безопасности информации», который выступил с докладом под названием "Процедуры аттестации и сертификации и их взаимосвязь в свете реализации требований 152 ФЗ". В своем докладе он рассказал о путях снижения требований к ИС через раздельную классификацию, декомпозицию ИС и оптимизацию модели угроз. Также Юрий рассказал об алгоритме проведения проверок и подготовки к ним и об организации необходимых для проверки документов.
Презентация выступления Юрия Аксененко
Видео выступления Юрия Аксененко
М.Козлов , региональный менеджер, VDEL выступил с до кладом на тему: "Когда и насколько нужно сертифицированное ПО - о чем молчат поставщики". Михаил представил комплексное решение, которое собирается «по кирпичикам» из сертифицированного ПО с открытым кодом. Подобный подход позволяет упростить задачу прохождения сертификации и уберет необходимость использования наложенных средств защиты ПДн. Было рассказано о подводных камнях использования сертифицированного ПО, на которые необходимо обратить внимание при покупке. В заключении своего доклада Михаил показал успехи своей компании в сертификации ПО и дальнейшие планы на нее.
Презентация выступления Михаила Козлова
Видео выступления Михаила Козлова
Д.Сосновцев , Руководитель направления партнерских решений, IBM Россия, рассказал о позиции компании IBM относительно защиты ПДн. Компания IBM может похвастаться высокой надежностью своих решений, например:
• На мейнфреймах нет вирусов
• Ни одна AS/400 никогда не была взломана
• LPAR полностью изолирует среды на IBM System z, POWER Systems
На данный момент сертифицированы:
• WebSphere Portal, MQ, Application Server
• Lotus Notes/Domino
• DB2
• Tivoli
• ISS
• Red Hat Linux
Работы по сертификации продолжаются и список будет поплняться.
Презентация выступления Дениса Сосновцева
Видео выступления Дениса Сосновцева
А. Рогачев , заместитель директора научно производственного центра 1С, рассказал о сертификации продуктов компании 1С, в частности платформы 1С 8.2, которая очень распространена в российских компаниях. Планируется поставлять готовые сертифицированные решения. Однако при проведении проверки внимание уделяется наличию не сертифицированных исполняемых модулей.
П.Пестряков, CIO, Альфа Групп подвел итог второй секции, где поставщики ИТ-решений рассказали о своих продуктах, дальнейших планах и подходах к обсуждаемой теме.
Презентация выступления Алексея Рогачева
Видео выступления Алексея Рогачева
Ведущий третьей секции, 53, 51); font-size: small; font-weight: bold;">Е.Колесников, Managing Partner, Invento, пригласил первого докладчика, Б.Гузанова, Дествительного члена, Академика Международной Академии информатизации, АМТком. Борис рассказал о документах, регламентирующих сертификацию и порядок приведения в соответствие требованиям закона ИСПДн, а также о документах, регламентирующих сертификацию криптографических средств защиты ПДн. Доклад вызвал множество вопросов, касающихся частных ситуаций и необходимых действий в этих ситуациях.
Презентация выступления Бориса Гузанова
Видео выступления Бориса Гузанова
Т.Плотникова , Начальник отдела информационных технологий, КНАУФ ГИПС, выступила с советами для тех, у кого «конь не валялся, но нет миллионов на консультантов». Татьяна рассказала о требуемом наборе документов, где и как их собрать, какие их них могут в том или ином виде уже существовать в компании. Далее было рассказано про модель угроз, какие полезные ресурсы можно посетить, что может помочь в составлении модели угроз. В конце доклада были приведены ссылки на полезные ресурсы, которые могут помочь при подготовке к сертификации.
Презентация выступления Татьяны Плотниковой
Видео выступления Татьяны Плотниковой
А.Потапов , Менеджер по работе с корпоративными клиентами, Check Point Software Technologies, представил решения Сheck Point, помогающие в аттестации, а точнее, межсетевые экраны, прошедшие сертификацию и готовые к использованию. Практически любая задача по безопасной передаче данных может быть решена продуктами Check Point.
Презентация выступления Артема Потапова
Видео выступления Артема Потапова
Четвертая секция началась с доклада Ю.Черкаса, Заместителя начальника отдела защиты информации, Reign Vox, который назывался «Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных». В докладе Юрий рассказал о методах оптимизации подготовки к аттестации на всех этапах с целью экономии средств, от этапа определения класса ИСПДн до подготовки требуемых документов. Доклад Юрия вызвал живую дискусию.
Презентация выступления Юрия Черкаса
Видео выступления Юрия Черкаса
Д. Устюжанин , Руководитель департамента информационной безопасности, CISSP, MBCI, Beeline, в своем выступлении поделился опытом крупного оператора связи. Дмитрий призвал к рациональному снижению требований к себе в первую очередь, т.к. при разработке модели угроз можно любую ИСПДн "подвести" под первый класс, потратив огромные ресурсы на удовлетворение тебований, поставленных самим себе. Начать стоит с анализа бизнес-рисков, который и определит политику подготовки системы защиты ПДн и ее экономическую обоснованность. В некоторых случаях невозможно единовременно на 100% выполнить все требования, предъявляемые регуляторами. Не стоит гнаться только за сертифицированным ПО, не сертифицированный софт может пройти сертификацию в скором времени, но в любом случае снижает риски. В конце доклада Дмитрий призвал повышать уровень культуры отношения с персональными данными и воспитывать ее у сотрудников.
Презентация выступления Дмитрия Устюжанина
Видео выступления Дмитрия Устюжанина
Оставшееся время было проведено в дискусии и ответах на интересующие участников конференции вопросы.
Видео обсуждения вопросов