10 апреля 2015 г.

Михаил Емельянников, КА «Емельянников, Попова и партнеры». На линии киберобороны

В эксклюзивном интервью ведущему JSON.TV Сергею Корзуну управляющий партнёр консалтинговой компании «Емельянников, Попова и партнёры» Михаил Емельянников рассказал о ситуации с персональными данными, о кибервойнах и реальных угрозах цифрового мира.
В полном видеоварианте интервью Михаил Емельянов отвечает на вопросы о главных угрозах информационной безопасности, о путях решения некоторых сложных вопросов применения 152-ФЗ, о возможности блокирования на территории России Интернет-ресурсов, которые не смогут соответствовать российскому законодательству.
Продолжительность – 47 мин.
Несколько цитат из интервью:
«Я, например, уже перестал интересоваться выступлениями зарубежных спикеров на российских мероприятиях, потому что они говорят о среде функционирования безопасности, очень далекой от нашей. У нас очень сильно государственное регулирование. И, в отличие от многих стран, это регулирование технологическое, а не правовое, что создает массу нюансов».
«Есть страны, где нет криптографии вообще. Есть страны, которые криптографией занимаются и ограничивают максимально возможность использования зарубежной криптографии. Да, Россия имеет великолепную школу, и у нее криптография – одна из лучших в мире».

«Сейчас все ведущие государства мира фактически создают кибервойска, которые решают примерно те же задачи, что решает служба информационной безопасности в коммерческих организациях. Это защита информации, противодействие несанкционированному доступу, ведение наступательных операций».

6 апреля 2015 г.

Мастер-класс про аутсорсинг в дата-центрах и облаках

16-17 апреля в «Метрополе» пройдет VIII межотраслевой Форум директоров по информационной безопасности. Наше агентство традиционно принимает в нем участие, а среди самых интересных мероприятий, в которых приходилось на форуме участвовать – модерирование панельной дискуссии с криптографами с участием хорошо знакомых специалистам россиян В. Смирнова (СигналКом) и С. Рябко (Эс-Терра), а также создателя легендарной программы шифрования PGP американца Ф. Циммермана.
В этом году мероприятие тоже обещает быть интересным. Основной упор сделан на выступления специалистов «с той стороны» - практиков, работающих у заказчиков. Русал, Северсталь, Иркут, SPSR express, Эльдорадо – далеко не полный перечень предприятий, чьи руководители подразделений информационной безопасности разного уровня поделятся своим взглядом на ситуацию с обеспечением безопасности в наше непростое время. Много будет о защищенности банковских систем и тоже устами банковских специалистов, а не вендоров и интеграторов.
Большая часть программы отведена на вопросы аутсорсинга обработки данных и защиты информации, использования облачных сервисов, в которые обязательно вклиниваются проблемы размещения технических средств обработки. И дело не только в персональных данных. С 1 июля 2015 года технические средства информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями должны размещаться на территории Российской Федерации. К тому же все государственные и информационные системы должны быть аттестованы по требованиям безопасности. Так что проблем действительно много.
Именно этим вопросам будет посвящен и мой мастер-класс с длинным названием «Нормативное регулирование переноса обработки информации ограниченного доступа и персональных данных в облачную инфраструктуру и коммерческие дата-центры, в том числе находящиеся за рубежом». Он пройдет в первый день форума, 16 апреля, с 16:30 до 17:00. На эту тему я уже не раз писал, в том числе и в блоге, например, про «буферные зоны» обработки персональных данных, современный бизнес и привлечение для его ведения контрагентов, которые становятся обработчиками персональных данных, требования к территориальному размещению систем обработки данных и в других постах. Но вопросов меньше не становится, и проектов по реализации требований тоже.
Поэтому для 16 апреля выбран именно формат мастер-класса с ответами на вопросы: можно или нет, если да, то как и почему. Для начала попытаемся выяснить, кто вообще не может пользоваться зарубежным хостингом и сервисами иностранных провайдеров. Для остальных проанализируем, как надо распределить обязанности оператора персональных данных и оператора информационной системы, провайдера вычислительных и облачных услуг, хостера программного обеспечения, используемого по модели SaaS.
Это представляется крайне важным, поскольку закон и принятые в его исполнение акты возлагает именно на оператора персональных данных обязанность определения актуальных угроз, выбора средств защиты, получения согласия субъектов, а при аутсорсинге реализация этих требований «в лоб» представляется весьма проблематичной. Поэтому мы ищем пути выполнения требований закона, не ломающие бизнес. В последнее время я вынужден часто повторять, что компания, отказывающаяся от современных технологий из-за непроработанности нормативного регулирования их использования, окажется на обочине конкурентной борьбы. Значит, надо не отказываться от передового, а искать способы выполнения требований регуляторов. Вопросы сложные, поэтому я готов и к спорам, и к обоснованию своей точки зрения.
Для заинтересовавшихся - видео выступления на похожую тему на Cyber Security Forum в конце февраля, снятое JSon TV. Для затравки, потому что у меня было всего 10 минут, а теперь – в три раза больше J.