Новости

Итоги конференции InfoSecurity Russia

03.10.2016
Итоги конференции InfoSecurity Russia

С 20 по 22 сентября 2016 года в г. Москве проходила XIII Международная выставка InfoSecurity Russia.

Выставку посетило порядка 5 тысяч человек, в деловой части мероприятия приняли участие представители Минкомсвязи России, ФСБ России, ФСТЭК России, Минэнерго России, Банка России, профильных компании и эксперты отрасли.

В рамках четырех параллельных потоков было представлено свыше 200 докладов. Участники выставки представили более 300 продуктов в области защиты информации и информационных технологий, в том числе продукты в области: мобильной безопасности, облачных решений, защиты персональных данных, сетевых решений, криптографии, шифрования, антивирусов, центров хранения и обработки данных, удостоверяющих центров, электронной защиты периметра, электронных госуслуг, виртуализации, управления идентификацией, DLP-решений, Internet of Things, NFC-технологий, PCI DSS, SOC, VPN, АСУ ТП, безопасности приложений, ДБО, защиты от таргетированных атак, идентификации и контроля доступа и др.

Каждый из трёх дней мероприятия был посвящен отдельной тематике: безопасности в промышленном и финансовом секторах, а также инновациям и образованию.

В рамках Дня промышленного сектора ключевыми дискуссиями стали: «Защита информации в промышленности», «Защита от целенаправленных атак», «Промышленный Интернет вещей и информационная безопасность», «Особенности перехода промышленных систем на виртуальные платформы», «5 историй про импортозамещение», «Противодействие мошенничеству в промышленном секторе».

Представитель ФСТЭК России (Дмитрий Шевцов) рассказал о совершенствовании нормативных и методических документов по вопросам защиты информации, проблемах технической защиты информации и направлениях по их решению. Докладчик сообщил, что к концу 2016 года планируется утвердить изменения в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». После этого будут обновлены Приказ от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и Методика определения угроз безопасности информации в информационных системах. Изменения в приказ № 17 касаются определения угроз безопасности информации (данный пункт теперь необходимо выполнять на стадии разработки системы защиты), классификации защищенности информационной системы и состава мер защиты информации — добавляется 9 групп мер:
  • Управление потоками информации;
  • Защита информации при использовании мобильных устройств;
  • Безопасная разработка программного обеспечения;
  • Управление обновлениями программного обеспечения;
  • Планирование мероприятий по обеспечению защиты информации;
  • Информирование и обучение персонала;
  • Анализ угроз безопасности информации и рисков от их реализации;
  • Выявление инцидентов и реагирование на них;
  • Управление конфигурацией информационной системы и ее системы защиты информации.

Кроме того, в новую редакцию приказа будут добавлены пять новых документов, определяющих правила и процедуры защиты информации.

В 2017-2018 гг ФСТЭК России планирует выпуск следующих методических рекомендаций к Приказу от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»:
  • Меры защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды;
  • Методика определения угроз безопасности информации в автоматизированных системах управления технологическими процессами на критически важных объектах;
  • Типовая модель угроз безопасности информации в автоматизированных системах управления технологическими процессами на критически важных объектах.

Подготовлены к направлению в Росстандарт следующие государственные стандарты: ГОСТ Р ИСО/МЭК ТО 15446-201Х «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности», ГОСТ Р ИСО/МЭК ТО 20004-1-201Х «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045.

Планируются к утверждению до конца 2016 года Требования безопасности информации к системам управления базами данных и Требования безопасности информации к средствам управления потоками информации.

Часть доклада была посвящена банку данных угроз безопасности информации и базе данных уязвимостей, которые ведет ФСТЭК России. Планируется расширение функциональных возможностей (пользовательские настройки, подписка на обновления, модуль статистики, раздел по небезопасным конструкциям кода), развитие базы данных угроз (классификация угроз, пополнение перечня угроз), развитие базы данных уязвимостей (внесение дополнительных сведений в паспорта уязвимостей, исследование уязвимостей).

ФСТЭК России отмечает следующие проблемы устранения уязвимостей:
  • Недостаточность требований и методических подходов по выявлению и устранению уязвимостей ПО;
  • Отсутствие процедур безопасной разработки и поддержки ПО у отечественных разработчиков;
  • Отсутствие процедур поддержки ПО у производителей импортного ПО;
  • Недостаточное качество проведения работ по выявлению уязвимостей испытательными лабораториями;
  • Отсутствие процедур по выявлению и устранению уязвимостей в информационных системах.

Для решения указанных проблем ФСТЭК России разрабатывает ряд методических рекомендаций.

В другом докладе ФСТЭК России были рассмотрены новые «Требования к межсетевым экранам (МСЭ)» (утверждены приказом ФСТЭК России № 9 от 09.02.2016, вступят в силу с 01.12.2016) и «Требования безопасности информации к операционных системам» (утверждены приказом ФСТЭК России № 119 от 19.08.2016, вступят в силу с 01.07.2017).

В рамках Дня финансового сектора обсуждалась деятельность FinCERT и совершенствование системы информационного взаимодействия в кредитно-финансовой сфере, целенаправленные атаки, аутсорсинг в банковской сфере, информационная безопасность на предприятиях ритейла, безопасность мобильных платежей и др.

В День инноваций, образования и стартапов обсуждалось современное состояние образования, особенности применения профессиональных стандартов, проблемы материально-технического обеспечения подготовки специалистов по информационной безопасности, использования технологий виртуализации.

Ряд докладов размещен на сайте конференции: http://www.infosecurityrussia.ru/2016/program/