Secure World 2012
10 октября в Sokos Hotel Palace Bridge прошла первая Санкт-Петербургская конференция "Secure World 2012".
10 октября в Sokos Hotel Palace Bridge прошла первая Санкт-Петербургская Конференция “Secure World 2012”, организованная Санкт-Петербургским клубом ИТ-директоров, Союзом директоров по ИТ России (СоДИТ) и Ассоциацией руководителей служб ИБ (АРСИБ).
Конференция началось с приветственной речи Максима Белоусова, председателя правления СоДИТ. Среди почетных гостей присутствовали: Кирилл Соловейчик, председателя правления Санкт-Петербургского клуба ИТ-директоров “SPb CIO Club”; Владимир Майоров, начальник отдела информационной безопасности, противодействия техническим разведкам и развития системы защиты информации Комитета по информатизации и связи Санкт-Петербурга; Владимир Ольховой, заместитель руководителя Управления ФСТЭК России по Северо-Западному федеральному округу; Сергей Степанов, заместителя начальника подразделения УФСБ.
Председатель правления АРСИБ Виктор Минин в своем выступлении подчеркнул необходимость проведения подобных конференций, а также невозможность разделения таких понятий, как информационная безопасность и информационные технологии.
Открытие пленарного заседания, посвященного нормативно-правовому обеспечению вопросов ИБ в России, объявил Юрий Шойдин, председатель программного комитета Конференции “SecureWorld” и сопредседатель Комитета по ИБ СоДИТ. В первой части деловой программы Сергей Бабкин, заместитель начальника отдела ФСТЭК рассказал о требованиях нормативно-правовых актов Российской Федерации и методических документов ФСТЭК России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.. В докладе была представлена структура документов; дополнения и требования, подлежащие уточнению, внесенные вФЗ от 27.07.2006 г. №152 – ФЗ “О персональных данных” (в ред. ФЗ от 25.07.2011 №261 – ФЗ); требования к обеспечению безопасности персональных данных в зависимости от уровня защищенности и положение о методах и способах защиты информации в ИС персональных данных.
Работа заседания продолжилась выступлением Сергея Петренко, доктора технических наук, CISO главного редактора журнала “Инсайд. Защита информации”. Докладчик рассказал о способах достижения поставленных целей в отношении к проекту “Skolkovo”; о потребностях отечественных организаций и предприятий, подчеркнув актуальность направления; выделил основные тренды отрасли – облачные вычисления, мобильную безопасность и защиту критически важных объектов/ структур. В презентации был представлен график оценки текущего состояния отрасли ITSec&BCM и выбор приоритетных R&D направлений.
Далее Евгений Родыгин, председатель правления Санкт-Петербургского регионального отделения МОО «АРСИБ», Руководитель направления ООО «М-СТАНДАРТ холдинг» рассказал об особенностях проведения сертификации средств защиты информации и основных схемах проведения процедуры сертификации. Участники конференции узнали, в каких случаях сертифицированная продукция дает конкурентные преимущества и как быстрее и проще осуществить данную процедуру.
Вторая часть программы была посвящена теме мобилизации, консьюмеризации и обеспечению комплексной защиты мобильных устройств. Модератором секции стал Антон Думин, директор по ИТ ЗАО “АЭМ-технологии” ОАО “ПетрозаводскМаш”. Василий Томилин, системный инженер, ведущий специалист по ИБ Cisco представил новую, широко распределенную архитектуру безопасности CiscoSecureX, которая управляет межсетевыми экранами, прокси-системами и средствами предотвращения вторжений с помощью языка более высокого уровня, учитывающего контекст и способного адаптироваться к требованиям бизнеса.
Работу секции продолжил Евгений Питолин, региональный представитель СЗФО «Лаборатории Касперского», с презентацией на тему “Защита государства как стратегия”. Г-н Питолин рассказал о том, где размещаются вредоносные ссылки. Самые уязвимые продукты – 1 место – AdobeAcrobatReader, 2 место – Java. Докладчик обратил внимание, что следует обязательно использовать антивирусное ПО, в том числе и для мобильных устройств. По прогнозув 2012 г. вырастет число загрузок вредоносных программ на GoogleAndroid и на системы онлайн-банкинга, а множественные атаки на различные государственные и коммерческие структуры по всему миру продолжатся.
Александр Миноженко, ведущий аудитор ИБ «Digital Security» указал две основные проблемы в сфере безопасности мобильных устройств: 1. разработчики не уделяют должного внимания системам безопасности устройств; 2. Меньшее количество защитных механизмов для смягчения эксплуатации в мобильных ОС по сравнением с ОС для десктопов. В докладе были приведены Топ-10 рисков для мобильных приложений, а так же подробные рекомендации по защите от атак на мобильные устройства.
Продолжил секцию Андрей Бешков, руководитель программы информационной безопасности Microsoft. В своей презентации докладчик подробно описал, как контролировать доступ к ценной информации, как защищать сеть компании.
После обеденного перерыва на пленарном заседании обсуждались проблемы обеспечения централизованного управления событиями информационной безопасности (Security Information and Event Management). Олег Шабуров, руководитель направления ИБ, Symantec осветил проблемы службы ИБ, наглядно показал необходимость создания систем управления безопасностью, рассказал о возможностях SIEM-систем, о целях и стадиях расследования инцидентов, а также о проблемах службы ИБ (невозможность знать все технологии, сотрудники вынуждены анализировать журнальную информацию вручную с огромного количества ПО и т.д.).
За конструктивными спорами и дискуссиями пленарное заседание окончилось на пол часа позже запланированного времени. Участники сделали вывод, что появилась актуальная тема для следующей конференции.
В рамках деловой программы второй секции Конференции руководитель направления информационной безопасности МФИ Софт Евгений Тетенькин. поднял тему технологий: предотвращения утечек конфиденциальной информации. В ходе презентации участникам конференции были подробно описаны функции и задачи DLP-систем, их особенности, а так же приведена их классификация и оценка преимуществ и недостатков по каждой системе.
Татьяна Сабельникова, руководитель кадрового направления "Инфотехнопроект". Рассмотрела тему инсайдерства с точки зрения HR-специалиста. Особое внимание слушателей было направленно на диаграмму, демонстрировавшую статистику по инцидентам информационной безопасности за 2011 год. Участникам конференции представилась возможность побеседовать об актуальной проблеме - какие действия следует предпринять руководству, в случае утечки конфиденциальной информации, со стороны сотрудников. В ходе доклада были подробно рассмотрены технические меры, локальные нормативные акты и соответствующие статьи ТК РФ.
На параллельной секции "Защита информации при реализации государственных программ. Е-компоненты электронного общества" Ирина Иващук, ведущий специалист – руководитель проектов “Бюро экспертных решений”, осветила ряд вопросов по автоматизации госуслуг. Сергей Кирюшкин, советник генерального директора, “Газинформсервис”, рассмотрел вопросы применения инфраструктуры открытых ключей для задач электронных госуслуг в странах с национальной криптографией”. В обсуждение вошли характеристики современной PKI, основные тренды (что нужно сделать, чтобы все было прозрачно для пользователя), применимость для пользователя, программа WebTrust (комплексная система аудита), базовые принципы этой программы, программы сертификации root-ов. Г-н Кирюшкин обратил внимание, что не существует российского rootа.
Игорь Орлов технический директор ООО “Универсальная электронная карта Ленинградской области” рассказал собравшимся об УЭК. Это документ, удостоверяющий личность, права застрахованного лица в системах обязательного страхования и иные права гражданина. Согласно ФЗ 210-ФЗ выдача УЭК начнется уже с 1 января 2013 г. В презентации были освещены цели данного проекта, преимущества для держателей УЭК, состояние проекта на данный момент и перспективы проекта.
Максим Шубинский из Информационного Методического Центра Петроградского района выступил с темой “Информационная безопасность образовательного учреждения”, включившей в себя 3 основных направления – ИБ компьютеров, локальной сети, серверов и ИС, ИБ персональных данных и защиту детей от доступа к негативной информации.
Одно из наиболее оживленных обсуждений возникло за круглым столом при обсуждении проблем, которые решает ИТ-директор в части информационной безопасности. При относительно равном соотношении представителей службы безопасности и специалистов ИТ-отдела, участники Конференции сошлись в некоторой конфронтации взглядов по вопросам развития и стабильности бизнеса. Специалисты ИТ-индустрии указали ряд причин, мешающих внедрению новых технологий. Одной из причин были названы затруднительные взаимоотношения между двумя службами, связанные с неразграниченной сферой ответственности. Немалую роль играет и то, что служба безопасности несет функцию ограничения, а ИТ-служба – функцию развития. В результате бурной дискуссии участники Конференции пришли к выводу, что отношения между службой безопасности и ИТ-службой необходимо регламентировать.
Подводя итоги, Максим Белоусов выразил основную мысль участников конференции: немалую роль во взаимоотношении отделов и всей структуры в целом играют человеческие отношения, ведь за развитием и безопасностью бизнеса всегда стоят люди.
В конференции приняли участие более 80 человек. Все участники отметили, что такое мероприятие является актуальным и востребованным. Подобное мероприятие дает возможность получить много полезной сконцентрированной информации, что позволяет оценить ИБ в целом и в рамках определенной организации.
Источник: SPb CIO Club
Опубликовано 08.11.2012