Вторая межотраслевая Конференция по вопросам регуляторики в сфере информационной безопасности |
Состоялась ежегодная межотраслевая Конференция по вопросам регуляторики в сфере информационной безопасности. Организатором мероприятия выступила Ассоциация пользователей стандартов по информационной безопасности АБИСС. В этом году конференцию посетило более 400 человек.
Практическая реализация законодательных требований в ИБ-сфере – важнейшая тема, которая требует многостороннего обсуждения. Для обмена опытом и мнениями по вопросам, связанными с последними изменениями в законодательстве и перспективами развития регуляторики, а также созданием инфраструктуры для исполнения требований встретились различные участники ИБ-рынка: представители регуляторов, представители поднадзорных организаций из финансовой отрасли, промышленности, здравоохранения, энергетики, транспорта и других отраслей КИИ), а также консультанты и аудиторы по ИБ. Среди участников были не только специалисты по информационной безопасности, но и ИТ-специалисты, внутренние аудиторы.
Ключевая дискуссия «Регуляторика как эффективный инструмент взаимодействия» состоялась в рамках пленарного заседания. В дискуссии приняли участие представители Минцифры и Банка России, а также эксперты отрасли информационной безопасности: Андрей Выборнов, заместитель директора Департамента информационной безопасности Банка России; Евгений Хасин, заместитель директора Департамента обеспечения кибербезопасности Минцифры России; Александр Баранов, академик Академии криптографии РФ; Алексей Петухов, руководитель Центра компетенций «Кибербезопасность» НТИ Энерджинет; Александр Товстолип, руководитель Управления информационной безопасности Ассоциации ФинТех.
Эксперты подняли вопрос эффективного взаимодействия между регуляторами и поднадзорными организациями на всем жизненном цикле законодательных требований – от появления потребности в них до их реализации и последующего совершенствования. На сессии был поднят вопрос об участии сообщества в разработке смыслов для регуляторных требований. В настоящее время есть действующие механизмы по внесению предложений со стороны поднадзорных организаций через технические комитеты и рабочие группы напрямую или через ассоциации. На этом фоне развернулась дискуссия по возможности саморегуляции по вопросам информационной безопасности. Здесь мнение участников дискуссии разделилось, так как саморегуляция возможна только при передачи этой функции со стороны отраслевого регулятора.
Конференция продолжила работу в формате сессий. На них говорили о практическом исполнении требований по информационной безопасности в сфере КИИ, требований по операционной надежности и киберрискам в финансовой отрасли.
КИИ – теория и практика исполнения законодательства
В ходе секции был представлен доклад ФСТЭК России об изменениях в законодательстве, а также практике проверок регулятора по исполнению требований в части КИИ. Две основные ветки работы с объектами КИИ – категорирование и защита значимых объектов были рассмотрены с трёх сторон: с точки зрения законодательства, аудиторов-лицензиатов ФСТЭК России и субъектов КИИ. Были рассмотрены типовые ошибки, выявленные в ходе проверок нескольких сотен субъектов КИИ.
Участниками секции были сформулированы общие проблемные места для субъектов: подход к формированию комиссии по категорированию, а также подход к самому категорированию как к разовой задаче, а не процессу.
Финансовая отрасль: операционная надежность и киберриски
В рамках сессии для финансовой отрасли по вопросам регулирования обеспечения операционной надежности и управления рисками информационных угроз были представлены доклады по практической реализации требований со стороны внешних консультантов и аудиторов, а также прошел круглый стол, на котором представители финансовых организаций поделились своим опытом реализации соответствующих требований.
С докладом выступил начальник отдела методологии контроля и наблюдения Департамента информационной безопасности Банка России Антон Чернодед, который обратил внимание слушателей на то, что финансовые организации обязаны обеспечить операционную надежность в условиях реализации информационных угроз, число которых, к сожалению, не уменьшается. В настоящее время рассматривается законопроект о внесении изменений в отдельные законодательные акты РФ, которые направлены на устранение правовых коллизий, связанных с передачей банковской и других видов тайн, что позволит передавать часть технологических процессов внешним организациям.
Безопасная разработка — лучшие практики и нормативы сезона 2023-2024
В ходе сессии эксперты рассмотрели процессы безопасной разработки программного обеспечения (БРПО) с точки зрения регуляторных требований и их практического применения. Открывал сессию обзор эволюции требований и принципиальных подходов к управлению процессами БРПО, после которого на прикладном уровне были разобраны AppSec и DevSecOps.
На примере Security Champions была рассмотрена проблема кадрового голода и разобраны типичные ошибки в мотивации разработчиков уделять больше внимания вопросам информационной безопасности. Одной из обсуждаемых тем стала проблема «унаследованного» ПО и возможности проверки его безопасности. Были разобраны стратегии внедрения DevSecOps в организации, и необходимость обоснования экономической целесообразности подобного внедрения. Помимо этого, эксперты поделились опытом синтеза практик безопасной разработки и Agile-методологий, подробно рассмотрев сценарий реализации на примере требований Профиля защиты Банка России.
Комплаенс и оценка соответствия
Эксперты рассмотрели актуальные вопросы выполнения требований регуляторов и построения процессов комплаенса. Представители финансовых организаций поделились проблемами реализации требований по информационной безопасности и опытом их решений.
В свою очередь, практикующие комплаенс-аудиторы рассказали о проведении оценок соответствия, в том числе рассмотрели динамику изменений результатов за последние несколько лет. В завершении секции состоялась дискуссия, на которой представители финансовых организаций и аудиторы разобрали примеры типовых нарушений при аудите, спорных вопросов комплаенса и оценок соответствия.
Партнерами конференции были: Компания «Актив», «РАД КОП», Deiteriy, ДиалогНаука, АKTIV.CONSULTING, Angara Security, STEP LOGIC, FBK CS, Академия Информационных Систем (АИС), NBJ, «Руссофт», ПАРТАД, «Листок бюрократической защиты информации», BIS Journal, «Банковское обозрение», CyberMedia, Global Digital Space
<< Предыдущая В начало рубрики Следующая >>