22 октября в Москве состоялась ежегодная межотраслевая Конференция по вопросам регуляторики в сфере информационной безопасности, направленная на обсуждение практической реализации ИБ-требований, развития регуляторики и ее гармонизации.
Мероприятие проводилось уже в третий раз, однако в этом году оно объединило рекордное количество участников — более 600, среди которых были представители поднадзорных организаций из различных отраслей, поставщиков и регуляторов. Программа конференции включала выступления более 50 спикеров, представивших доклады по самым актуальным темам в области применения ИБ-регуляторики — обеспечение безопасности КИИ и финотрасли, управление рисками ИБ, безопасная разработка ПО и другие. Организатором мероприятия выступила Ассоциация пользователей стандартов по информационной безопасности АБИСС.
Конференцию открыла пленарная сессия«Системное развитие ИБ-регуляторики», которую модерировала руководитель AKTIV.CONSULTING, председатель АБИСС Анастасия Харыбина. В сессии участвовали начальник отдела ДИБ Банка России Антон Чернодед, начальник экспертного подразделения ФСБ России Алексей Петров, сотрудник НКЦКИ Андрей Раевский, научный редактор журнала «Информационная безопасность бизнеса» Сергей Пазизин, заместитель генерального директора компании ИнфоТеКС Дмитрий Гусев.
Представитель Банка РоссииАнтон Чернодедотметил, что по окончании переходного периода, в течение которого финансовые организации осуществляют внедрение ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, требование о прохождении оценки соответствия по указанным стандартам интегрируется в НПА Банка России. Говоря об использовании показателя допустимой доли деградации технологического процесса, эксперт также подчеркнул, что финансовые организации несколько злоупотребляют данным инструментом управления рисками, вследствие чего необходимо установить определенные рамки. Ужесточение требований произойдет уже в следующем году путем внесения точечных правок в соответствующие НПА.
В ходе пленарной дискуссии её участники анонсировали несколько нововведений, касающихся регулирования использования аутсорсинга ИТ- и ИБ-услуг финансовыми организациями:
- внесение изменений в Положение ЦБ РФ от 08.04.2020 № 716-П;
- работа над соответствующим проектом ГОСТ (какие-либо сроки неизвестны);
- работа над проектом федерального закона о возможности передачи банковской тайны третьим лицам на определенных условиях (прошел первое чтение).
Представитель ФСБ РоссииАлексей Петроврассказал, что банки, участвующие в пилоте цифрового рубля, при выпуске обновлений своих мобильных приложений смогут не дожидаться заключений испытательных лабораторий, а сразу публиковать новые версии в магазинах приложений. Указанные изменения в процедуре будут детально определены в порядке ее проведения, разрабатываемом ФСБ России.
Сотрудник НЦКЦИАндрей Раевскийсообщил, что проект приказа, устанавливающего порядок аккредитации центров ГосСОПКА, будет вынесен на общественное обсуждение в начале 2025 года. В нем, среди прочего, будут установлены требования к специалистам таких центров, осуществляющим проведение мероприятий по оценке уровня защищенности. Эксперт отметил, что в данный момент совместно с заинтересованными ФОИВами готовится Федеральный закон о ГосСОПКА. Конкретные сроки пока неизвестны.
Читайте подробный обзор пленарной сессии конференции по регуляторике ИБ в телеграм-канале AKTIV.CONSULTING:
Также программа конференции включала шесть сессий экспертных докладов по темам:
- КИИ: практика обеспечения безопасности;
- Финансовая отрасль: практика обеспечения безопасности;
- Аутсорсинг технологических процессов;
- Технические аудиты ИБ;
- Управление рисками ИБ;
- Безопасная разработка.
Одним из спикеров сессии «КИИ: практика обеспечения безопасности» стала наш ведущий консультант по ИБОльга Копейкина. Ольга рассказала о практике комплексной защиты технологических объектов КИИ с использованием метода укрупнения (обобщения) и кластеризации уровня взаимодействия и обеспечения безопасности.
В своем выступлении Ольга сделала акцент на возможности минимизации затрат на построение СОИБ ОКИИ, а также сохранении защищаемых систем в насколько возможно неизменном виде.
В параллельной сессии 2 «Финансовая отрасль: практика обеспечения безопасности» от AKTIV.CONSULTING выступил ведущий консультант по информационной безопасностиАлександр Моисеев. Эксперт представил доклад «Практика внедрения процессов операционной надежности: взаимодействие с поставщиками». На примере конкретных кейсов эксперт разобрал реализацию «Процесса 4», описанного в ГОСТ 57580.4, а именно порядок взаимодействия с поставщиками услуг для финансовых организаций. Также в своем выступлении Александр рассмотрел проблему защиты цепочек поставок и создания конечных ценностей в современных кредитных и некредитных организациях. Эксперт коснулся нюансов правовых, организационных и технических мер безопасности и управления рисками, которые могут быть реализованы. В завершении Александр дал рекомендации, как оптимально реализовать эти требования на примере реальных кейсов.
Консультанта по информационной безопасности AKTIV.CONSULTING Владислав Крылов в рамках открытого микрофона рассказал о том, что удивляет международный бизнес в отечественной регуляторике.
В выставочной зоне конференции АБИСС по регуляторике ИБ работал стенд AKTIV.CONSULTING. Эксперты направления консультировали посетителей по вопросам регуляторики в сфере ИБ за чашечкой ароматного кофе.