Вот и прошёл BIS Summit-2024, одно из основных ИБ мероприятий года. Основная тема — готовность отраслей к выполнению указов Президента России 166, 250, которую обстоятельно, а порой и эмоционально, обсудили на обеих пленарках и банковской секции. Другие секции посвятили стандартам ИБ, новым технологиям ИБ, правоприменительной практике при обеспечении безопасности КИИ.
Указы Президента России 166/250/500
Первая пленарка (с регуляторами), как всегда прошла бурно и было трудно оторваться от дискуссии, которую быстро растащили на цитаты СМИ и сообщества. Карточки с цитатами и видеозаписи скоро вы увидите на ресурсах BISA.
На второй пленарке выступления представителей ОПК и финансовой отрасли показали проблему обеспечения технологической независимости со стороны практиков, в том числе по выполнению президентских указов, что было интересно сопоставить с мнением регуляторов. Единодушие в одном — указы Президента России выполнить обязаны и многими уже выполнены, а кем-то — частично, но стараются завершить в срок.
Безопасность КИИ
Ранее мы проводили секции по юридической тематике, которые касались цифровых доказательств и цифрового следа. Но в этом году мы подняли совершенно новую для нас тему — правоприменительная практика в КИИ.
На саммит впервые пришёл представитель Генеральной прокуратуры России, который возглавляет контроль за этим направлением по всей стране (административная практика), Кипкаев Олег Вячеславович. Его выступление и ответы на вопросы квалифицированно поддержали два практика в этой сфере — эксперт BISA Анна Христолюбова и один из наиболее известных ИБ-экспертов страны Андрей Курило. Такой темы и с такими спикерами пока не у кого не было, планирую развивать это направление.
Тему проверок субъектов КИИ мы подсветили опросом в чате BISA.
Интересно, что 25% опрошенных ответили, что они субъекты КИИ, но проверок у них еще не было, и еще 11% сказали, что ничего не знают о проверках у них в организации, но, учитывая, что саммит посещают люди, связанные с безопасностью, вряд ли мимо них прошло бы такое событие, как проверка ФСБ, ФСТЭК или прокуратуры. Так что можем считать, что у 36% ответивших проверок по линии обеспечения безопасности КИИ не было.
12% ответивших пережили такие проверки, но 1% ответивших сообщил, что по результатам возбудили уголовное дело. Зато 11% пережили проверки — либо все нормально, либо дали время на устранение недостатков и без штрафа.
Надеюсь, что наша секция поможет ответственным лучше донести информацию о необходимости выполнения мер по обеспечению безопасности объектов КИИ до руководителей и других коллег.
Стандарты ИБ
Тема стандартизации в ИБ второй раз поднимается на BIS Summit, к ней сохраняется устойчивый интерес ИБ и ИТ сообществ.
Обсудили, среди многих вопросов, зачем нужны стандарты в сфере предотвращения утечки данных, какие уже есть и кем разработаны (разрабатываются), зачем ряд компаний и ассоциаций в последнее время так активно взялись за разработку таких стандартов.
В работе секции активно участвовал депутат Государственной думы Андрей Свинцов, зампред комитета по информационной политике и информационным технологиям. Среди его высказываний, которые вы скоро увидите и прочтёте на сайте, я бы выделил совет учиться говорить с депутатами нормальным языком, пока что наши обсуждения получаются понятными только специалистам ИТ и ИБ, регуляторам.
Мы повторили опрос, который провели в прошлом году на аналогичной секции. По-прежнему, практически половина респондентов (49%) считает необходимым создание новой области стандартизации в части контроля потоков компьютерной информации на стыке ИТ, ТЗИ, менеджмента качества и непрерывности бизнеса.
После саммита плодотворно пообщались с сотрудниками Академии Управления МВД России. Договорились, что к следующим мероприятиям BISA совместно с ними определимся с темами, относящимися к компетенциям МВД и интересными аудитории BISA. Как результат — в прошлый четверг выступил в Академии с обзор современных проблем кибербезопасности.