Данный семинар, посвященный актуальным вопросам информационной безопасности, прошел в рамках серии подобных мероприятий, организованных центром научно-технической информации «Прогресс» – крупнейшим в России центром обучения и информационной поддержки руководителей и специалистов предприятий различных отраслей.
По словам основного докладчика семинара, системного инженера российского представительства компании Novell Кирилла Степанова, смысл мероприятий заключался в том, чтобы ответить на актуальные вопросы, возникающие у слушателей в их практической деятельности по обеспечению информационной безопасности своих организаций. Отличительными особенностями семинара являются практическая направленность и информационная оперативность (поэтому не только содержание, но и сама программа семинара от раза к разу несколько изменяется). Аудиторию семинара составили руководители подразделений и ведущие специалисты крупных и средних предприятий из России и стран СНГ (Казахстан, Киргизия, Белоруссия).
«Одна из главных задач семинара – следовать актуальным потребностям слушателей и всегда сообщать самую актуальную информацию, – сказал г-н Степанов. – Известно, что технологии защиты информации постоянно и очень быстро совершенствуются, но одновременно появляются и новые угрозы. Кроме того, нужно следить и за постоянно меняющимся законодательством».
Что касается программы семинара, то ее можно было подразделить на четыре части: анализ актуальных угроз и рисков информационной безопасности, разъяснение новых положений законодательства Российской Федерации в области информационной безопасности, обсуждение международных, национальных и отраслевых стандартов, а также программные, аппаратные и технические средства, которые можно применить для обеспечения информационной безопасности.
По словам Кирилла Степанова, данные части всегда включаются в программу семинара, изменения происходят только в содержании каждой из частей (например, в связи с изменением законодательства).
В ходе семинара участники получили полную информацию о требованиях законодательства РФ, нормативно-правовых актов по обеспечению информационной безопасности.
Особое внимание было уделено требованиям Федерального закона № 152 «О персональных данных», в который летом 2011 года были внесены существенные изменения.
ФЗ № 152 был принят после того, как Россия ратифицировала европейскую конвенцию о персональных данных (принятую еще в 1981 году). Катализировали вопрос о принятии подобного закона меры по гармонизации российского и европейского законодательства.
Данный закон полностью касается сбора, хранения, передачи, анализа и всех возможных действий с персональными данными.
Контроль за исполнением закона осуществляют: «Роскомнадзор», ФСБ (отвечает за криптографическую защиту), ФСТЭК (отвечает за техническую защиту информации некриптографическими методами). Все эти регуляторы издали свои нормативные документы, которые обязательны к исполнению всеми, кто обрабатывает персональные данные.
На семинаре с докладами выступили представители Управления Роскомнадзора по Санкт-Петербургу и Ленинградской области. Были рассмотрены все вопросы, касающиеся организации защиты персональных данных на предприятиях и в организациях, даны практические рекомендации по защите персональных данных. Специалисты Управления Роскомнадзора подробно разъяснили порядок контроля при проведении проверок операторов, ведущих обработку персональных данных. Главным преимуществом участия на семинаре представителей Управления Роскомнадзора стала возможность для слушателей напрямую задать вопрос специалисту государственных контролирующих органов.
Также на семинаре шла речь на тему угроз информационной безопасности. Г-н Степанов провел классификацию угроз на внешние и внутренние. Среди наиболее вероятных угроз были названы вредоносные коды, DDoS-атаки и несанкционированный доступ к данным и утечка информации по различным каналам. В частности, потенциальной угрозой информационной безопасности были названы сменные носители данных (флеш-накопители), которые (при отсутствии в организации регламента работы с ними) часто становятся одним из таких каналов.
Отечественные нормативные документы требуют разработки частной модели угроз – описания угроз, актуальных для данной конкретной организации (например, если организация имеет дело с Интернетом, то атаки через Интернет являются для них актуальными). Так же рекомендуется разработать и «модель нарушителя», которая описывает субъектов, способных реализовать эти угрозы. К таковым могут относиться как криминальные структуры или конкуренты, так и внутренние нарушители (нелояльные или просто небрежные сотрудники и т. п.).
Большое внимание было уделено национальным, отраслевым и международным стандартам, действующим на территории нашей страны. Документы, принятые Международной организацией стандартов (ISO), после официального перевода приобретают в России статус ГОСТ МЭК. Эти стандарты постоянно совершенствуются и отражают наиболее современные подходы к обеспечению информационной безопасности на предприятии.
Общий подход к обеспечению ИБ изложен в стандартах серии ISO 27000 и по идеологии идентичен рекомендациям ISO 9000 по созданию на предприятии системы управления качеством продукции. Рекомендуется создать систему управления обеспечением информационной безопасности и всячески подчеркивается, что эта система, как и в случае управления качеством, должна работать постоянно.
Если говорить кратко, то стандарты ISO полностью соответствуют современной концепции (пока еще плохо отраженной в российских нормативных документах): меры по обеспечению ИБ не должны сводиться к формальному соблюдению формальных же требований того или иного регулятора, а должны выбираться для каждой конкретной организации исходя из задач ее бизнеса и быть экономически оправданными, что определяется на основании оценки актуальных угроз и соответствующих рисков.
Организация может быть сертифицирована на соответствие ISO 27001, что, по словам г-на Степанова, является «жирным плюсом напротив фамилии» для партнеров и акционеров компании, как и при сертификации по ISO 9001. Прецеденты такой сертификации в России уже есть, хотя их пока и немного.
В заключительный день семинара речь шла о технических и программных средствах, обеспечивающих защиту информации. Было рассказано о системах централизованного управления учетными записями и правами доступа, о средствах защиты рабочих станций, средствах ограничения доступа в Интернет и защите интернет-ресурсов компании, а также средствах аудита и мониторинга событий ИБ.
Отдельное внимание было уделено закону об электронной подписи и сопутствующих ему подзаконных актах. Были подробно рассмотрены вопросы построения инфраструктуры открытых ключей в сети предприятия, организации и взаимодействия удостоверяющих центров различных уровней.
По словам Кирилла Степанова, «семинар прошел успешно, все обсуждаемые темы вызвали большой интерес, особенно тема, связанная с защитой персональных данных. Вопросов было задано очень много, и выступающим удалось ответить на каждый из них».
По окончании семинара многие слушатели оставили отзывы и пожелания, позволяющие оценить уровень семинара и внести дополнительные вопросы в программу будущих семинаров.
Из отзывов участников:
Начальник бюро ФГУП «Государственный Рязанский приборный завод» отметил: «На семинаре слушателей знакомят с современным подходом к построению системы информационной безопасности на предприятии, учитывающим наиболее актуальные требования стандартов ISO серии 27000. Высокий профессиональный уровень и значительный практический опыт лекторов в сочетании с их постоянной готовностью к диалогу позволяет слушателям найти пути решения возникающих у них задач».
Ведущий специалист отдела ИБ КГАУ «ККГЭ» (г. Красноярск) В. В. Туенок рассказал: «Семинар оставил только положительные впечатления, причем порадовал как уровень сервисного обслуживания, так и содержательная часть. Особенно хотелось бы отметить профессиональную грамотность, компетентность и преподавательское мастерство выступавших лекторов. Считаю, что данный семинар одинаково полезен как начинающим, так и опытным слушателям в области информационной безопасности. Полученный блок информации практически полностью оправдал ожидания.
«Данный семинар соответствует заявленным темам. Организация на очень высоком уровне. Буду рада поучаствовать в дальнейшем в ваших семинарах. Хотелось бы отметить высокий профессиональный уровень лекторов», – резюмировала руководитель группы ГУП «ГРПЗ» Е. В. Ивлева.