Краткий отчет и впечатления от посещения Positive Hack Days 8.
1. Короткий доклад Е. Царева "Судебная экспертиза в ИБ"
Интересное: Экспертом для суда может быть назначен любой специалист. Никаких ограничений и требований нет. В РФ предпочитают привлекать к экспертизе юридические лица,а не физические. Актуально наличие лицензий ФСТЭК и ФСБ, поощряется использование для экспертизы сертифицированных технических средств. Эксперт не должен давать оценку и описывать назначение исследуемого программного обеспечения или оборудования. Только описание функций и характеристик.
2. Очень обширный и насыщенный доклад М. Емельянникова "Личная жизнь на рабочем месте"
Интересное: Обязательно прописывать в трудовых договорах и регламентировать видеонаблюдение на рабочих местах. Четко обозначать в трудовом договоре и инструкциях режим использования интернет и личной электронной почты.
3. Секция "Безопасность КИИ. Практические аспекты".
Секция была длительной и состояла из двух частей. Сначала выступали докладчики от коммерческих организаций, потом был круглый стол с участием представителя 8 Центра ФСБ
Интересное: Общая позиция докладчиков по выполнению требований законодательства в области КИИ - Выполнять обязаны уже сейчас, но подзаконных актов от ФСБ и Минкомсвязи нет, так что делаем как получается, а потом будем все менять. Отдельно отмечена проблема несоответствия терминологии и определений в документах у ФСТЭК и ФСБ.
Ростелеком отчитался, что выстраивать систему безопасности своих значимых объектов КИИ начнет со следующего года и только после внесения значимых объектов в реестр ФСТЭК. План действий на несколько лет. Вопрос с обеспечением безопасности межсетевого взаимодействия других субъектов КИИ пока "завис в воздухе".
К сожалению, формат секции не предусматривал возможности задавать вопросы докладчикам. А на круглом столе уже не было времени по регламенту. Мне удалось задать только один вопрос: Кто уполномочен определять какая организация является субъектом КИИ? ФСТЭК, ФСБ или другой госорган? Получил ответ представителя 8 Центра ФСБ: "Это ФСТЭК, но точно не ФСБ". Остальные участники круглого стола его единодушно поддержали.
Представитель ФСТЭК в круглом столе не участвовал, подтверждение или опровержение позиции ФСБ отсутствует. Но позицию, что ФСБ не имеет полномочий для определения субъектов КИИ публично озвучили. Мое личное мнение - у ФСТЭК таких полномочий нет. Подробно разбирал в заметке "Подскажите, а я субъект КИИ?" https://valerykomarov.blogspot.com/2018/04/blog-post_20.html
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
1. Короткий доклад Е. Царева "Судебная экспертиза в ИБ"
Интересное: Экспертом для суда может быть назначен любой специалист. Никаких ограничений и требований нет. В РФ предпочитают привлекать к экспертизе юридические лица,а не физические. Актуально наличие лицензий ФСТЭК и ФСБ, поощряется использование для экспертизы сертифицированных технических средств. Эксперт не должен давать оценку и описывать назначение исследуемого программного обеспечения или оборудования. Только описание функций и характеристик.
2. Очень обширный и насыщенный доклад М. Емельянникова "Личная жизнь на рабочем месте"
Интересное: Обязательно прописывать в трудовых договорах и регламентировать видеонаблюдение на рабочих местах. Четко обозначать в трудовом договоре и инструкциях режим использования интернет и личной электронной почты.
3. Секция "Безопасность КИИ. Практические аспекты".
Секция была длительной и состояла из двух частей. Сначала выступали докладчики от коммерческих организаций, потом был круглый стол с участием представителя 8 Центра ФСБ
Интересное: Общая позиция докладчиков по выполнению требований законодательства в области КИИ - Выполнять обязаны уже сейчас, но подзаконных актов от ФСБ и Минкомсвязи нет, так что делаем как получается, а потом будем все менять. Отдельно отмечена проблема несоответствия терминологии и определений в документах у ФСТЭК и ФСБ.
Ростелеком отчитался, что выстраивать систему безопасности своих значимых объектов КИИ начнет со следующего года и только после внесения значимых объектов в реестр ФСТЭК. План действий на несколько лет. Вопрос с обеспечением безопасности межсетевого взаимодействия других субъектов КИИ пока "завис в воздухе".
К сожалению, формат секции не предусматривал возможности задавать вопросы докладчикам. А на круглом столе уже не было времени по регламенту. Мне удалось задать только один вопрос: Кто уполномочен определять какая организация является субъектом КИИ? ФСТЭК, ФСБ или другой госорган? Получил ответ представителя 8 Центра ФСБ: "Это ФСТЭК, но точно не ФСБ". Остальные участники круглого стола его единодушно поддержали.
Представитель ФСТЭК в круглом столе не участвовал, подтверждение или опровержение позиции ФСБ отсутствует. Но позицию, что ФСБ не имеет полномочий для определения субъектов КИИ публично озвучили. Мое личное мнение - у ФСТЭК таких полномочий нет. Подробно разбирал в заметке "Подскажите, а я субъект КИИ?" https://valerykomarov.blogspot.com/2018/04/blog-post_20.html
* Все новости блога на публичном Telegram-канале t.me/ruporsecurite
Комментариев нет:
Отправить комментарий