19.11.2009    Москва, КВЦ "Сокольники", конференц-зал павильона №2
Организаторы:  
      
Поддержка:             
Партнеры:                          


          Заявка на участие



Вызов консультанта

или

Юлия Карцева, icq-консультация по программе и вопросам участия

Обсуждаем программу конференции "FinSec: безопасность финансовых организаций" с Председателем Совета Ассоциации защиты информации (МОО "АЗИ") Г. В. Емельяновым

 
     13.10. 2009
   Защита от инсайдеров — проблема, актуальная всегда!
   Обсуждаем программу конференции "FinSec:
   безопасность финансовых организаций"
   с Председателем Совета
   Ассоциации защиты информации  (МОО "АЗИ")
   Г. В. Емельяновым

- Геннадий Васильевич, скажите, пожалуйста, какие вопросы, вынесенные в программу конференции, на Ваш взгляд, могут заинтересовать и привлечь к участию в ней финансовые организации?
- Я могу судить и оценивать ситуацию лишь с точки зрения защиты информации, вернее, с точки зрения обеспечения информационной безопасности. И здесь особой специфики в финансовых организациях по сравнению с другими компаниями нет: точно так же они должны выполнять требования по защите конфиденциальной информации, по обеспечению устойчивого функционирования их компьютерных сетей и т.д.
Можно было бы выделить 3 наиболее актуальные проблемы, которые сейчас на слуху и в проработке именно в области обеспечения информационной безопасности:
1) защита сетей от компьютерных нападений,
2) защита информации от инсайдеров (т.е. от внутреннего  нарушителя),
3) выполнение 152-ФЗ о защите ПДн.

ПДн на FinSec «жевать» уже не стоит: в этом направлении проводится достаточно много мероприятий, на днях, например, будет слушание в Госдуме. И чего-то новое добавить к тому, что было уже сказано, в том числе на конференции «Персональные данные», вряд ли удастся.

Проблема защиты от компьютерных нападений, вижу, представлена очень хорошо и достаточно полно. Будет замечательно, если удастся раскрыть и выполнить все то, что заявлено в «Вопросах к обсуждению».

А вот «защиты от инсайдеров» в программе не вижу и рекомендую добавить. Проблема уже давно стала острой и актуальной, такой же остается и поныне. По некоторым источникам, 80% всяких неприятностей связано именно с внутренними нарушителями. Все эти базы данных, которые можно на любом рынке найти, – плоды именно инсайдерской деятельности.

- Разве это не вопросы внутренней дисциплины и организации труда?
- Конечно, в большей степени здесь организационная составляющая. Но не только.
Есть, например, правила разграничения доступа сотрудников к той или иной информации. И есть соответствующие решения — такие продукты, которые с помощью различных настроек безопасности ограничивают попадание лиц к этой информации (путем присвоения различных прав каждому пользователю, например). Все это может быть продемонстрировано, рассмотрено и разъяснено на нашей конференции различным потенциальным пользователям.
Сейчас на рынке много продуктов по защите от внутренних нарушителей. Нельзя сказать, что они абсолютно надежные или очень простые, но тем не менее их применение может уменьшить риски.
Очень многое делается в этом направлении зарубежными вендорами. Впереди всех — Microsoft, Cisco, IBM: они над этой проблемой давно бьются, очень серьезно к ней относятся и предлагают дельные и интересные базовые решения, на которых строят свои системы уже наши производители. В том числе и члены АЗИ. Было бы неплохо их пригласить с выступлениями. Это, мне кажется, будет интересно представителям финансового сектора: коммерческие структуры куда более гибкие в вопросах использования зарубежных и передовых новинок, чем государственники.

- Странно, но о проблемах с инсайдерами никто из банковских представителей при опросе по темам для программы не сказал.
- Тема-то уж очень болезненная. Стараются не выносить сора.

- Что Вы скажете по поводу других вынесенных в программу вопросов? Всем ли приглашаемым на конференцию участникам они будут интересны, всех ли касаются?
- В той или иной степени. Некоторым компаниям вопросы подготовки к аудитам разъяснять не надо: они и сами умеют это делать. Но тему они должны знать. А может, в процессе обсуждения они вдруг выяснят, что делают что-то не совсем так. Или увидят другие интересные для них  возможности контроля собственной безопасности.
И практические демонстрации новинок — тоже никому никогда еще не вредили. С этой точки зрения, пожалуй, программа конференции должна заинтересовать всех специалистов, в том числе и из финансовой отрасли.

- А чем АЗИ помогает обращающимся к ней компаниям в решении всех перечисленных проблем?
- Ассоциация может помочь, во-первых, консультациями, чтобы знали, с чем и куда обращаться. Во-вторых, предложением решений, которые уже разработаны в фирмах – членах АЗИ. В-третьих,  специальными, под конкретных потребителей, «довинченными» разработками. Под заказ.

- Какие требования предъявляются к финансовым организациям контролирующими органами?
- Если (опять же) говорить с точки зрения защиты информации, то перечень всех требований настолько велик, что нет смысла его перечислять. Все они приведены на сайтах соответствующих федеральных служб.
Что же касается вопросов контроля  за состоянием информационной безопасности организаций, включая и защиту ПДн, то это компетенция соответствующих уполномоченных органов (ФСТЭК и ФСБ России, Роскомнадзор). В связи с этим  есть смысл пригласить их на конференцию. И лучше всего это «приглашение», как у вас водится, подкрепить весомыми аргументами — вопросами, по которым аудитории необходимы разъяснения.
Для этого, как вы обычно это делаете, следует предложить всем заинтересованным потенциальным и реальным участникам конференции, начиная с заседания Оргкомитета, сформулировать конкретные вопросы в адрес этих ведомств, которые свидетельствовали бы, что в их материалах, в нормативной базе есть какие-то неоговоренные вопросы, несоответствия, противоречия, наконец. Что-то непонятно, что-то отсутствует, что-то требует дополнительного разъяснения. Или, например, практика высветила какой-то вопрос, еще никем не освещенный. Но только не дублировать то, что уже во многих местах прописано. Т.е. не просить серьезных людей проводить ликбез. Да они и не станут этого делать.

- Кого еще из контролирующих органов, кроме указанных, и, естественно, Центробанка, следует пригласить на конференцию?
- Если бы в тематике конференции были требования, общие и специфические для финансовых организаций, или если будем рассматривать опыт проверок по финансовым нарушениям, следовало бы пригласить такие службы, как Финнадзор, Росмониторинг и т.д. Пока же этого в программе нет, поэтому можно ограничиться уже упомянутыми.

- А как вы смотрите на то, чтобы в рамках конференции запланировать краткую экскурсию по стендам форума All-over-IP, которые, на наш взгляд, могут представлять интерес для специалистов – участников конференции?
- Думаю, что это может быть интересным, с учетом того, что среди участников представлены Sony, Axis, Halon Security, ID Systems Group, НАТЕКС, ААМ Системз, БайтЭрг, ЕВРААС.ИТ, ITV, Софтроник, ЭЛВИС, DSSL. Это очень мощный блок физической безопасности. Эти фирмы на выставках всегда бывают достойно представлены. И конечно, все это будет познавательно и финсековцам.

- Чего еще, как Вы считаете, не хватает в этой программе?
- Могу с уверенностью сказать, что программа даже в рабочем проекте выдержана в уже известной «гротековской» традиции — живая, живой диалог. Такой диалог давно ведется на ваших мероприятиях — вот и прошлый FinSec прошел очень интересно. Думаю, и этот будет соответствующим.

 

© ООО "Гротек", 2008-2009

(495) 609-3231 (многоканальный)
По вопросам участия: Сурина Ирина (доб. 2100), Surina@groteck.ru
и Карцева Юлия  (доб. 2117), Kartseva@groteck.ru
По вопросам партнерства:
Рохмистрова Наталья (доб. 2155), Rohmistrova@groteck.ru