В этом году
мероприятие тоже обещает быть интересным. Основной упор сделан на выступления
специалистов «с той стороны» - практиков, работающих у заказчиков. Русал,
Северсталь, Иркут, SPSR express, Эльдорадо – далеко не полный перечень
предприятий, чьи руководители подразделений информационной безопасности разного
уровня поделятся своим взглядом на ситуацию с обеспечением безопасности в наше непростое
время. Много будет о защищенности банковских систем и тоже устами банковских
специалистов, а не вендоров и интеграторов.
Большая часть
программы отведена на вопросы аутсорсинга обработки данных и защиты информации,
использования облачных сервисов, в которые обязательно вклиниваются проблемы
размещения технических средств обработки. И дело не только в персональных
данных. С 1 июля 2015 года технические средства информационных систем,
используемых государственными органами, органами местного самоуправления,
государственными и муниципальными унитарными предприятиями, государственными и
муниципальными учреждениями должны размещаться на территории Российской
Федерации. К тому же все государственные и информационные системы должны быть
аттестованы по требованиям безопасности. Так что проблем действительно много.
Именно этим вопросам
будет посвящен и мой мастер-класс с длинным названием «Нормативное
регулирование переноса обработки информации ограниченного доступа и
персональных данных в облачную инфраструктуру и коммерческие дата-центры, в том
числе находящиеся за рубежом». Он пройдет в первый день форума, 16 апреля, с 16:30
до 17:00. На эту тему я уже не раз писал, в том числе и в блоге, например, про «буферные зоны» обработки
персональных данных, современный бизнес и привлечение для его ведения
контрагентов, которые становятся обработчиками
персональных данных,
требования к территориальному
размещению систем обработки данных и в других постах. Но вопросов меньше не
становится, и проектов по реализации требований тоже.
Поэтому для 16 апреля
выбран именно формат мастер-класса с ответами на вопросы: можно или нет, если
да, то как и почему. Для начала попытаемся выяснить, кто вообще не может
пользоваться зарубежным хостингом и сервисами иностранных провайдеров. Для
остальных проанализируем, как надо распределить обязанности оператора
персональных данных и оператора информационной системы, провайдера
вычислительных и облачных услуг, хостера программного обеспечения,
используемого по модели SaaS.
Это представляется
крайне важным, поскольку закон и принятые в его исполнение акты возлагает
именно на оператора персональных данных обязанность определения актуальных
угроз, выбора средств защиты, получения согласия субъектов, а при аутсорсинге
реализация этих требований «в лоб» представляется весьма проблематичной. Поэтому
мы ищем пути выполнения требований закона, не ломающие бизнес. В последнее
время я вынужден часто повторять, что компания, отказывающаяся от современных
технологий из-за непроработанности нормативного регулирования их использования,
окажется на обочине конкурентной борьбы. Значит, надо не отказываться от
передового, а искать способы выполнения требований регуляторов. Вопросы
сложные, поэтому я готов и к спорам, и к обоснованию своей точки зрения.
Для
заинтересовавшихся - видео
выступления на похожую тему на Cyber Security Forum в конце февраля,
снятое J’Son TV.
Для затравки, потому что у меня было всего 10 минут, а теперь – в три раза
больше J.