Довелось поприсутствовать на семинаре "Код Информационной Безопасности", проводимой в Нижнем компанией "Экспо-Линк" совместно с Oracle, Symantec, Oberon, "Лабораторией Касперского", "Код Безопасности", ЗАО "Сети" и "Сонет-НН". Семинар проходил в прошлый четверг и был посвящен защите Персональных Данных. Почему, собственно, пошел - обещался визит заместителя руководителя РосКомНадзора по Нижегородской области. И пусть с запозданием, но все же поделюсь впечатлениями.
По порядку несколько интересных фактов, унесенных мной с семинара:
Oracle: гигант софтверного рынка опустил глаза на грешную землю России и начал неспешно выпускать addons-ы к своим решениям по закручиванию гаек безопасности. Но так как лично мне это не особо интересует по непосредственной работе - больше не расскажу, ибо не вслушивался. Хотя местами было познавательно-интересно.
Лаборатория Касперского: компания не так давно выпустила ряд новых программных продуктов, часть из них имеет непосредственное отношение к ПД, но, как ни странно, в основном докладе об этом сказано не было - насколько понимаю, из-за незаконченной процедуры сертификации ФСТЭКом. Из разговоров в перерыве создалось впечатление, что компания предоставит некие подобия законченных решений для удовлетворения государства, а сейчас пока обкатывает наработки и получает опыт на CRYSTAL, Password Manager, KryptoStorage и т.п.
Кстати. У Лаборатории Касперского в Нижнем скоро будет полноценное представительство, в котором можно будет получить консультации как относительно выбора при покупке, так и какую-то тех.поддержку. Как только появится - обещали анонс на сайте.
Oberon: в то время, когда все ковыряли в носу, эта компания внимательно изучала всю нормативную документацию и получала реальный жизненный опыт. По крайней мере, если сравнивать глубину ответов докладчика - впечатление именно такое. Из полезных моментов, что выделил отдельно:
- Да, действительно, текущее законодательство не так тщательно проработано, нет четко прописанной ответственности и системы наказаний, но есть опыт штрафов в 10тр только лишь за неподачу сведений в РосКомНадзор; есть наблюдения штрафов до 500тр и прекращения деятельности предприятий.
- Максимально тщательно нужно подойти ко всем персональным данным, а не только электронным - начиная от письменного согласия респондента заканчивая составлением нормативной документации.
- Заявку на регистрацию в РосКомНадзор нужно подавать в любом случае. Разработка Модели угроз и Тех.Задания - самый сложный этап, от которого много зависит.
- Особо тщательно нужно подойти к перечню персональных данных - с целью снижения категории. Если невозможно отказаться от существующего комплекта, то хотя бы раздробить его.
- Стоимость выполнения соответствия рабочего места для выполнения 152-ФЗ колеблется от 40 до 60т.р., но есть тенденции к снижению.
- Государство до сих пор не определилось с окончательной редакцией как Закона, так и нормативных актов, сроки появления более-менее стабильных редакций - не раньше конца года.
Код Безопасности: такое ощущение, что впереди планеты всей. Что, собственно, не удивительно - ГК "Информзащита". Решения как программные (вплоть до выхода на рынок собственного антивируса и файрволльных решений), так и аппаратные, могут предоставить продукты/решения, которые сертифицированно ФСТЭКом могут защищать все, вплоть до виртуальных сред! и при этом иметь соответствие вплоть до 1+ класса. Если действительно продукт защиты персоналки выйдет удачный - имеет смысл рассматривать их как решение для построения новой информационной системы. Хотя, надо отдать должное, интеграции в уже существующие системы тоже отдали должное.
Заявленный функционал продуктов Secret Net и Security Studio - производит неизгладимое впечатление, правда, не нашел с-пол-пинка стоимость продуктов. Но при случае обязательно постараюсь познакомиться поближе.
Symantec: Как ни странно, но штатовская компания обладает полным спектром программного обеспечения для выполнения требований закона. Причем, чему я весьма удивился, все продукты уже прошли аттестацию и сертификацию. Базовый продукт - Symantec End Point Protection и Protection Suite. Больше ничего не скажу - непонятно по каким причинам лично мне не особо интересны их продукты.
Самая интересная часть дня, брифинг зам. руководителя РосКомНадзора по Нижегородской области, прошел несколько скомкано - как мне показалось, большинство присутствующих админов были еще не готовы задавать конкретные вопросы. Но надо отдать должное представителю государства - отвечал на редкость конкретно. Запомнил их сайт - 52.rsoc.ru и телефон горячей линии - 430-33-83.
Сложилось впечатление, что в 2010 году нужно лишь зарегистрироваться как обработчик персональных данных и готовить нормативную документацию по предприятию, а уже с 2011 года последовательно выполнять Тех.задание.
Неоднократно было сказано о необходимости регистрации - мало того, что РосКомНадзору приятно, так в процессе составления заявки придется сделать дополнительные вещи, в частности четко откатегорироваться. Что, на самом-то деле, уже интересно больше админу. Так что, логика в их словах тоже есть.
Практика репрессий в Нижнем уже присутствует, кстати.
От себя: первая семинар-ласточка по ПД полетела. Практической 100%-жизненной пользы немного - часть продуктов в бетах, часть на сертификации/аттестации. Но положительные сдвиги есть - просто перечень продуктов для выбора достаточно велик.
Из серьезных вопросов пока все еще остается "Как сделать соответствие предприятия за ноль рублей" - как сделать задорого я уже представляю.
P.S. И как всегда не выиграл ни одного приза в конкурсах… Толку никакого, а осадок остался.
Показать все
