Блог российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.
В эксклюзивном интервью
ведущему JSON.TV Сергею Корзуну управляющий партнёр консалтинговой компании
«Емельянников, Попова и партнёры» Михаил Емельянников рассказал о ситуации с
персональными данными, о кибервойнах и реальных угрозах цифрового мира.
В полном видеоварианте интервью Михаил
Емельянов отвечает на вопросы о главных угрозах информационной безопасности, о
путях решения некоторых сложных вопросов применения 152-ФЗ, о возможности
блокирования на территории России Интернет-ресурсов, которые не смогут
соответствовать российскому законодательству.
Продолжительность – 47 мин.
Несколько цитат из интервью:
«Я, например, уже перестал интересоваться
выступлениями зарубежных спикеров на российских мероприятиях, потому что они
говорят о среде функционирования безопасности, очень далекой от нашей. У нас
очень сильно государственное регулирование. И, в отличие от многих стран, это
регулирование технологическое, а не правовое, что создает массу нюансов».
«Есть страны, где нет криптографии вообще.
Есть страны, которые криптографией занимаются и ограничивают максимально
возможность использования зарубежной криптографии. Да, Россия имеет
великолепную школу, и у нее криптография – одна из лучших в мире».
«Сейчас все ведущие государства мира
фактически создают кибервойска, которые решают примерно те же задачи, что
решает служба информационной безопасности в коммерческих организациях. Это
защита информации, противодействие несанкционированному доступу, ведение
наступательных операций».
16-17 апреля в
«Метрополе» пройдет VIII межотраслевой
Форум директоров по информационной безопасности. Наше агентство
традиционно принимает в нем участие, а среди самых интересных мероприятий, в
которых приходилось на форуме участвовать – модерирование панельной дискуссии с
криптографами
с участием хорошо знакомых специалистам россиян В. Смирнова (СигналКом) и С. Рябко
(Эс-Терра), а также создателя легендарной программы шифрования PGPамериканца
Ф. Циммермана.
В этом году
мероприятие тоже обещает быть интересным. Основной упор сделан на выступления
специалистов «с той стороны» - практиков, работающих у заказчиков. Русал,
Северсталь, Иркут, SPSR express, Эльдорадо – далеко не полный перечень
предприятий, чьи руководители подразделений информационной безопасности разного
уровня поделятся своим взглядом на ситуацию с обеспечением безопасности в наше непростое
время. Много будет о защищенности банковских систем и тоже устами банковских
специалистов, а не вендоров и интеграторов.
Большая часть
программы отведена на вопросы аутсорсинга обработки данных и защиты информации,
использования облачных сервисов, в которые обязательно вклиниваются проблемы
размещения технических средств обработки. И дело не только в персональных
данных. С 1 июля 2015 года технические средства информационных систем,
используемых государственными органами, органами местного самоуправления,
государственными и муниципальными унитарными предприятиями, государственными и
муниципальными учреждениями должны размещаться на территории Российской
Федерации. К тому же все государственные и информационные системы должны быть
аттестованы по требованиям безопасности. Так что проблем действительно много.
Именно этим вопросам
будет посвящен и мой мастер-класс с длинным названием «Нормативное
регулирование переноса обработки информации ограниченного доступа и
персональных данных в облачную инфраструктуру и коммерческие дата-центры, в том
числе находящиеся за рубежом». Он пройдет в первый день форума, 16 апреля, с 16:30
до 17:00. На эту тему я уже не раз писал, в том числе и в блоге, например, про «буферные зоны» обработки
персональных данных, современный бизнес и привлечение для его ведения
контрагентов, которые становятся обработчиками
персональных данных,
требования к территориальному
размещению систем обработки данных и в других постах. Но вопросов меньше не
становится, и проектов по реализации требований тоже.
Поэтому для 16 апреля
выбран именно формат мастер-класса с ответами на вопросы: можно или нет, если
да, то как и почему. Для начала попытаемся выяснить, кто вообще не может
пользоваться зарубежным хостингом и сервисами иностранных провайдеров. Для
остальных проанализируем, как надо распределить обязанности оператора
персональных данных и оператора информационной системы, провайдера
вычислительных и облачных услуг, хостера программного обеспечения,
используемого по модели SaaS.
Это представляется
крайне важным, поскольку закон и принятые в его исполнение акты возлагает
именно на оператора персональных данных обязанность определения актуальных
угроз, выбора средств защиты, получения согласия субъектов, а при аутсорсинге
реализация этих требований «в лоб» представляется весьма проблематичной. Поэтому
мы ищем пути выполнения требований закона, не ломающие бизнес. В последнее
время я вынужден часто повторять, что компания, отказывающаяся от современных
технологий из-за непроработанности нормативного регулирования их использования,
окажется на обочине конкурентной борьбы. Значит, надо не отказываться от
передового, а искать способы выполнения требований регуляторов. Вопросы
сложные, поэтому я готов и к спорам, и к обоснованию своей точки зрения.
Для
заинтересовавшихся - видео
выступления на похожую тему на CyberSecurityForumв конце февраля,
снятое J’SonTV.
Для затравки, потому что у меня было всего 10 минут, а теперь – в три раза
больше J.