Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.


С заметным таким опозданием, но всё же кратко поделюсь впечатлением от участия в качестве посетителя в работе IV Форума АЗИ «Актуальные вопросы информационной безопасности России», прошедшего 14 апреля 2015 года.

Точнее, впечатлениями от посещения первой его части. Впрочем, материалы (презентации) доступны на сайте Форума. Посмотрите на досуге - там есть и про импортозамещение, и про мобильные технологии, и про кадровое обеспечение, и про нормативно-правовую базу. Как говорится, “полный фарш”.

В первой же части выступали преимущественно представители регуляторов, традиционно - без слайдов. К слову, их доклады помимо части, явно подготовленной заранее, содержали и комментарии к только что прозвучавшим тезисам и вопросам из зала. Случайно так вышло или всё было спланировано - не так уж и важно, но получилось достаточно живо и действительно походило на дискуссионный форум.

Самые интересные для себя цитаты размещал в твиттере с тегом #ФорумАЗИ, ниже приведу краткую сводку основных цитат.

Грибков Дмитрий Геннадьевич (референт аппарата Совета Безопасности Российской Федерации) приглашал желающих принять участие в работе над Доктриной информационной безопасности РФ. Традиционно откликнулся Алексей Лукацкий, услышал ли сей призыв кто-либо ещё - мне неизвестно. Вообще, критика того, что мало кто откликается на призывы регуляторов работать над документами, но многие пользуются возможностью активно критиковать итоговые варианты, звучала также от ФСТЭК и ФСБ.

Отвечая на вопрос из зала от Рустема Хайретдинова про строгость определения терминов, Дмитрий Геннадьевич дал такую формулу: ”Кибербезопасность = защита информации = безопасность информации - это чисто технологическая составляющая, а Информационная безопасность - контентная”. Потом к этой теме возвращались и другие докладчики, но, на мой взгляд, только всё окончательно запутали =)

Очень интересный доклад сделал Олег Чутов - со статистическим анализом сферы ИБ в России. По мнению Олега, ИБ - это далеко не сектор экономики, а вот именно что только сфера деятельности. Некоторые слайды из презентации привёл ниже, полностью она доступна здесь: Скачать

[caption id=”attachment_6428” align=”aligncenter” width=”555”]Размеры сферы ИБ Размеры сферы ИБ[/caption]

[caption id=”attachment_6429” align=”aligncenter” width=”555”]Закупки по 44-ФЗ и 223-ФЗ. Итоги 2014 года. Закупки по 44-ФЗ и 223-ФЗ. Итоги 2014 года.[/caption]

[caption id=”attachment_6430” align=”aligncenter” width=”555”]Рынок аппаратных и программных средств ИБ в России Рынок аппаратных и программных средств ИБ в России[/caption]

[caption id=”attachment_6431” align=”aligncenter” width=”555”]Сертифицированные ФСБ и ФСТЭК средства по странам происхождения Сертифицированные ФСБ и ФСТЭК средства по странам происхождения[/caption]

[caption id=”attachment_6432” align=”aligncenter” width=”556”]Сертифицированные ФСТЭК средства ИБ - Импорт vs Россия в разрезе их типов Сертифицированные ФСТЭК средства ИБ - Импорт vs Россия в разрезе их типов[/caption]

Кузьмин Алексей Сергеевич (Первый заместитель начальника Центра ФСБ России) начал с того, что не любит скучные доклады по бумажке и… нет, не начал скучно бубнить =) Совсем наоборот, достаточно живо представил свою точку зрения по некоторым вопросам. Правда, меня не покидало ощущение, что Алексей Сергеевич каждый раз апеллирует к кому то конкретному, с кем у него не так давно состоялся разговор или чью статью он прочитал. Мне запомнились два тезиса:

  • ФСБ не готово выпускать как регулятор общие требования к новому классу продуктов, если таких на рынке нет хотя бы 3-5 штук. Как быть при этом разработчикам чего-то инновационного, правда, не совсем ясно.
  • Алексей Сергеевич предложил создать Единый Каталог всех продуктов, находящихся в разработке, чтобы госзаказчики при объявлении тендеров на разработки могли лучше ориентироваться, что уже планируется к выпуску.

Лютиков Виталий Сергеевич (начальник управления ФСТЭК России), наверное, самый цитируемый в твиттере и блогах представитель регуляторов, и в этот раз говорил о наболевших острых проблемах. Например, о том, что под маркой “Импортозамещение” появилось много псевдороссийских разработчиков, предлагающих  зарубежные средства защиты информации якобы отечественного производства. Склонен согласиться со словами Виталия Сергеевича - “переклеивать шильдики” сейчас действительно становится модно.

Рассказывал он также про Базу уязвимостей. В частности о том, что она должна больше ориентироваться на отечественные продукты, информация по которым в зарубежных базах крайне скудна. Сейчас в Базе уязвимостей от ФСТЭК присутствуют продукты российских разработчиков 1С, Лаборатория Касперского, Доктор Веб и Альт Линукс. Будем ожидать других.

Говоря про уязвимости, Виталий Сергеевич заявил, что из десятка отечественных сертифицированных разработок на базе ОС Linux уязвимость Shellshock устранили только четверо, да и то не сразу. Если вспомнить анализ СЗИ, содержащихся в реестре ФСТЭК, который я делал (ссылка на Slideshare и файл в формате XLSX), то можно предположить, что речь, видимо, идёт об отечественных операционных системах и межсетевых экранах/криптошлюзах. Возможно, что и в других классах решений используется Linux с этой уязвимостью.

Кто те четверо разработчиков, внёсших исправления, Лютиков не сообщил. Мне пока на глаза попалась только информация об устранении уязвимости в opensll в дистрибутивах Альт Линукс СПТ. Уязвимость bash они тоже, кстати, поправили. Интересно, кто остальные три? И, что ещё интереснее, остальные 6?

В заключение кратко о самом Форуме. Место удачное, помещение достаточно просторное, стендов (читай - спонсоров) в избытке, доклады (те, которые я успел услышать) понравились, посетителей - много.

Организаторам спасибо за приглашение, докладчикам - за интересные выступления!

--- === @zlonov === ---