Семинары по информационной безопасности проходят в ЦНТИ «Прогресс» систематически, приблизительно раз в три месяца. В этот раз курс собрал специалистов ИТ-служб и непосредственно подразделений информационной безопасности из различных регионов России. «Тематика ИТ-безопасности актуальна всегда, – отмечает один из преподавателей ЦНТИ «Прогресс», технический директор компании Novell СНГ Кирилл Степанов. – Мировые аналитические агентства показывают, что и в кризис ИТ-рынок упал весь, а на рынке безопасности ничего не изменилось. Все понимают, что это вечная тема, которую нужно постоянно обсуждать, поскольку, ко всем прочему, она еще очень быстро меняется. Поэтому курс, о котором сейчас идет речь, постоянно эволюционирует. Когда-то он начинался с сетевой безопасности – это более узкий аспект проблемы. Затем на нем стали обсуждаться и законодательные, и организационные вопросы, поскольку любая безопасность – это комплекс организационных и технических мероприятий. Сейчас принят формат, который оказался еще более интересен: один из пяти дней семинара отдельно посвящен возможностям реализации нормативных требований, связанных с «Законом о персональных данных» (152-ФЗ).
В целом деловая программа мероприятия была разделена на несколько тематических блоков, расположенных в логичной последовательности. Первой темой, которую спикеры обсуждали с участниками, являлась тема угроз и рисков ИБ. Преподаватели курса классифицировали угрозы и представили анализ их статистики, говорили об основных каналах утечек информации, показывали, какими являются реальные масштабы рисков ИБ: возможные последствия внешних атак и действий инсайдеров. Далее специалисты давали обзор правовых основ современной безопасности – законов Российской Федерации, нормативно-правовых актов, требований по обеспечению и защите конфиденциальной информации и проч. Обсуждались преимущества сертифицированных средств защиты, сертификация и аттестация объектов информации. Большое внимание было уделено международным стандартам и лучшим практикам в области ИБ. Также в первый день семинара обсуждались конкретные организационные меры: разработка политики информационной безопасности в организации, оценка рисков, выбор технических средств защиты информации. Специалисты говорили о практике и проблемах внедрения программных продуктов и построении комплексной системы защиты информации в компании.
«Программа курса построена вполне логичным образом – от осознания проблемы к ее разрешению, – комментирует Кирилл Степанов. Существуют различные угрозы, не обращать на которые внимания невозможно, и мы об этом говорим. Также есть требования законодательства, которые с каждым годом становятся все строже, потому что важность ИТ постоянно увеличивается. Появляются все новые законы, в том числе и закон о персональных данных. И если прошлые нормативные требования затрагивали только некоторые сегменты бизнеса, то этот касается абсолютно всех компаний. И в свете этих исходных данных мы говорим, что нужно делать – какие есть стандарты, определяющие данную отрасль. Во-первых, нужно проанализировать систему и оценить риски. После этого разработать политику. И далее для реализации политики применить те или иные технические, программные средства. Именно об этом подробно рассказывается на нашем семинаре».
Второй день курса был полностью посвящен построению корпоративной инфраструктуры открытых ключей (PKI – Public Key Infrastructure), представляющей собой особую технологию аутентификации пользователей в организации. На третий же день семинара обсуждался закон о защите персональных данных. Интересно, что на встречу с участниками мероприятия пришел представитель Роскомнадзора, контролирующего его выполнение. Так что в рамках встречи бизнес мог пообщаться непосредственно с представителями контролирующей организации, причем интерес к подобной беседе был обоюдным. «Сам закон был принят еще в 2006 году, и сегодня его требования должна выполнять любая организация, – комментирует Кирилл Степанов. – Подзаконные акты к нему достаточно противоречивы, сейчас пошел слух о том, что и сам закон будут пересматривать. Организационно от всех компаний требуют его соблюдения уже давно, а фактически вступление в силу его поправок уже дважды переносили. Новый срок – это лето 2011 года. Поэтому, как только подходит очередной крайний срок, ажиотаж интереса возрастает, и на наш семинар приходят специалисты, которым очень важно разобраться именно в этой теме».
Техническим решениям, позволяющим реализовать защиту персональных данных, организаторы семинара посвятили четвертый день. «В отличие от других подобных курсов, – отмечает г-н Степанов, – наша программа не привязана к какому-то конкретному вендору. Техническая часть описывает не те или иные конкретные решения, а общие классы средств защиты информационной безопасности. И кроме того, очень большое внимание уделяется международным стандартам безопасности. Соответственно, вся программа в целом рассказывает про то, как реализовать требования наших российских законов и международных стандартов максимально удобными способами в каждой организации».