Сибирь.Безопасность 2015

01.11.2015

Сибирь.Безопасность 2015

9 октября 2015 года Новосибирский Клуб ИТ Директоров провёл свою ежегодную конференцию «Сибирь.Безопасность». В этом году конференцию поддержали такие бренды как Kaspersky lab, Synology, Fortinet, SoftLine, AT Consulting Восток и федеральный холдинг «РосИнтеграция».

Открыл конференцию председатель «Клуба ИТ Директоров» Сергей Голубицкий, «ни одно современное предприятие немыслимо без ИТ-инфраструктуры и эффективной системы информационной безопасности. Тот, кто владеет информацией, владеет миром».

С приветственным словом к аудитории выступил президент НТПП Вячеслав Маркелов:

«С тех пор как ИТ-технологии стали драйвером экономики, обеспечение качественной информационной безопасности (ИБ) стало занимать в бизнес-процессах предприятий и организаций одно из первых мест. Важность ИБ подчеркивается тем, что скандалы, связанные с утечкой и порчей корпоративных данных, происходят в национальном и международном масштабе все чаще.

В НТПП для поддержки ИТ-отрасли создан Комитет по развитию информационных технологий и телекоммуникаций под руководством директора ООО «Юнисофт Плюс» Игоря Симонова. Пользуясь случаем, приглашаю присутствующих к участию в проводимом НТПП под патронажем ТПП РФ и при поддержке правительства НСО и мэрии Новосибирска конкурса «Internet-проекты Новосибирской области».

Председатель Совета директоров НП «СибАкадемСофт» Ирина Травина поделилась опытом поддержки интересов местных ИТ-компаний. Общественной организации участников ИТ-рынка удалось «отстоять» для ИТ-компаний с численностью персонала до 7 человек, в выручке которых реализация ПО занимает минимум 90%, льготный взнос в Пенсионный фонд РФ (14%). А если предприятие состоит на общей системе налогообложения, 4,5% скидку на налог на прибыль.

Что касается государства, то оно поддерживает создание в Новосибирске объединенного кластера в сфере ИТ- и биофармацевтических технологий. Обещана поддержка коммуникационных мероприятий. 250 млн руб. выделено на реализацию проекта Инженерного распределительного центра. Для него на конкурсной основе будет набрано 12 операторов, каждый из которых получит субсидии на приобретение оборудования. Также оборудование можно арендовать в Технопарке Академгородка под 9% годовых.

«Хотя НСО с точки зрения ИТ «продвинутый» регион и отрасль развивается динамично, сохраняется кадровый голод. Связано это не только с тем, что есть дефицит специалистов. Продолжает расти число пользователей устройств, потребность рынка в программном и аппаратном обеспечении», — резюмировала Ирина Травина.

Главный специалист по защите прав субьектов персональных данных и надзору в сфере информационных технологий Управления Роскомнадзора по СФО Ирина Васютина представила доклад «Типовые нарушения операторов при обработке персональных данных». С вступления в силу с 1 сентября 2015 года в положения ФЗ «О персональных данных» последних поправок они стали касаться любое юридическое лицо, у которого есть наемные работники. Критериями для внесения предприятий в план проверок являются большие массивы обрабатываемой информации (страховые, кредитные, медицинские и т. п. учреждения) и обращения граждан.

Если в 2014 г. Роскомнадзором по НСО было проверено 25-30 компаний, за 9 месяцев 2015 г. проведено 45 проверок, выявлено 44 нарушения, направлено 8 материалов в органы прокуратуры. По итогам 471 обращения граждан направлено 65 материалов... Наибольшие нарекания граждан в данной сфере вызывает деятельность банков, коллекторских агентств и коммунальных служб. В отдельных случаях даже изображение человека может стать объектом персональных данных (ПД).

Каковы распространенные нарушения? Встречаются случаи обмена оператора ПД с третьими лицами и организациями в нарушение Закона и без согласия субъектов ПД. А также сбор с субъектов ПД персональных данных третьих лиц (их родственников, знакомых).

Продолжаются нарушения законодательства при обработке ПД в сети Интернет. С 1 октября 2015 г. начал действовать государственный реестр нарушителей ФЗ «О персональных данных». Действие помещенных в него доменных имен будет приостанавливаться до устранения нарушений. При этом нужно понимать, что распространение данных, единожды попавшие в сеть Интернет, контролировать невозможно. Тогда как неавтоматизированная обработка ПД на бумажных носителях осуществляется в соответствии с постановлением Правительства РФ N687от 15.09.2008 г.

Также не допускается обработка ПД, не совместимая с заявленными оператором целями обработки. Понятия распространение (неопределенному кругу лиц) и предоставление (узкому кругу лиц) в Законе разделены. Если сбор ПД ведется через сеть, там же должны быть размещены условия их сбора и обработки. КоАП и УК РФ должностным лицам и самим организациям-нарушителям Закона предусмотрена система штрафов и ответственность вплоть до уголовной. При этом каждый оператор ПД должен назначить лицо, ответственное за обработку и хранение ПД.

Представитель компании SoftLine Денис Першин акцентировал внимание на первостепенных угрозах в области ИБ предприятий. Существенный риск несет бесконтрольная работа т. н. «привилегированных пользователей» — сотрудников ИБ и системных администраторов. Зачастую, когда эти люди из компании уходят, их пароли остаются прежними. То же самое касается аутсорсинга приложений 1C, «Консультант+» и других.

Ряд отраслей несет потери от мошенничества в сфере ИТ. Из-за этого с ноября 2013 по ноябрь 2014 российские ритейлеры понесли убытки в эквиваленте $6,6 млрд. или 1,5% от своего оборота. Есть значительные угрозы в сфере автоматизированных систем управления технологическим процессом (АСУ ТП) предприятий. По мере развития технологий и интеграции бизнес-приложений допускается много ошибок в их коде, что может привести даже к чрезвычайным происшествиям на стратегических объектах (АЭС и др.). Участились атаки на корпоративные и государственные веб-ресурсы. А поскольку все это чревато финансовыми и репутационными потерями, не отдадим ни пяди своей (информационной) земли!

Полный текст презентации можно скачать по ссылке.

Нам очень интересно участвовать в этом проекте, потому что мы получаем незаменимый опыт. Как организация, предоставляющая услуги, мы видим все проблемы заказчиков, можем их обсудить в диалоге, большой группе, что значительно влияет на нашу работу.

Артём Невмируха, руководитель направления по работе с государственными организациями ЦИБ, компания SoftLine.

Региональный представитель в СФО и ДФО Лаборатория Касперского Александр Бондаренко начал свой доклад «Развитие современных киберугроз 2015» с того, что с каждым годом масштабы угроз растут. Если в 1994 году каждый час появлялся новый вирус, то в 2014 году – около 325 000 новых образцов в день (более 13 500 в час).

Специалисты лаборатории Касперского по итогам мониторинга реальной сети из 1320 компьютеров в течении 3-х месяцев сделали следующие выводы:

1. 80% трафика используется впустую;

2. На компьютерах, в среднем, запускается 3 ненужных приложения ежедневно;

3. Каждая третья программа может быть заражена;

4. На компьютерах менеджеров присутствуют программы с алгоритмом «back door»;

5. На компьютеры, в среднем, производятся атаки каждые 2 минуты;

6. Каждый день появляются новые угрозы.

Остальная информация доступна в презентации по ссылке.

Мы видим, что аудитория традиционно очень интересная, профессиональная, задают очень интересные вопросы. Мы рады участвовать в этом мероприятии и будем участвовать всегда.

Региональный представитель в СФО и ДФО Лаборатория Касперского Александр Бондаренко

В своём докладе «Комплексная безопасность на базе решений Fortinet» Кирилл Ильганаев сообщил, что согласно исследованиям консалтинговой компании IDC от марта, 2015 года компания FORTINET является компанией №1 на рынке устройств безопасности! Кирилл на слайдах показал, как в динамике 2013-2014-2015 годов компания развивает свои технологии и «приоткрыл» планы на 2016 год. Участники конференции познакомились с комплексом решений компании FORTINET и подходом к безопасности.

Кирилл рассказал и показал почему устройства Fortigate является лидером UTM-устройств уже на протяжении 7-ми лет.

Много интересной информации можно почерпнуть из доклада Кирилла скачав презентацию по ссылке.

После короткой кофе-паузы с докладом «Продукция Synology – это так продукция, которая не разочаровывает пользователя» выступил глава представительства Synology в РФ Деев Алексей. В своём докладе Алексей рассказал о новинках, которые представила компания Synology сегодня и лёгкой интеграции продуктов в ИТ-инфраструктуру.

В решениях Surveillance Station реализованы такие основные возможности:

1. Поддержка более 3000 моделей IP-камер;

2. Возможность подключения оборудования от более, чем 70 производителей;

3. Сертификация соответствия Onvif Profile S (Открытый форум по интерфейсам для сетевого видео (Open Network Video Interface Forum);

4. Настройка автоматической записи;

5. On-Line аналитика и Smart-поиск по событиям;

6. Доступ с мобильных устройств и др.

Остальную интересную информацию можно узнать скачав полный текст презентации по ссылке

Судя по количеству и качеству задаваемых вопросов, участникам интересны те вопросы, которые затрагивает данное мероприятие и мы рады, что смогли помочь участникам коснуться не только софтверной безопасности, юридические тонкости, но и смогли продемонстрировать решения «железные», тем самым, помочь получить полноформатную информацию.

Деев Алексей, глава представительства Synology в РФ

Со специальным докладом «Нормативная правовая и методическая база в области технической защиты информации» выступил Валентин Селифанов, начальник отдела Управления ФСТЭК России по Сибирскому федеральному округу. В своём докладе Валентин очень подробно обьяснил «кто», «кого» и «по каким требованиям» будет проводить проверки. Была рассказана система требований в области защиты информации в том числе:

1. Требования к системам обнаружения вторжений;

2. Требования к средствам антивирусной защиты;

3. Требования к средствам доверенной нагрузки;

4. Требования к средствам контроля сьёмных машинных носителей информации.

Также была предоставлена информация как происходит эволюция требований к системам защиты информации.

Полную презентацию Валентина Селифанова можно скачать по ссылке

С презентацией «ИБ в социальных медиа - угрозы и правила противодействия им» выступил Евгений Субботин, директор по маркетингу AT Consulting Восток.

В своём докладе Евгений указал, что в настоящее время мало защитить периметр организации и посадить охранников. Как такового периметра не существует и утечка информации происходит по различным каналам, которые ограничить и контролировать очень сложно. Многим компаниям следует оказывать противодействие угрозам бизнеса в медийном пространстве (Social Media Security). Евгений очень подробно рассказал как работать с отзывами в социальных сетях, какие инструменты мониторинга применять и на что обращать повышенное внимание.

Полный текст презентации можно скачать по ссылке

Во время конференции в холле зала работала выставка и в перерывах на кофе-паузы и обед участники имели возможность знакомится с решениями партнёров и общаться лично со специалистами и представителями компаний.

После обеда докладную часть продолжил Евгений Лужнов, инженер Лаборатории Касперского с презентацией «Продукты и сервисы Лаборатории Касперского для защиты крупных ИТ-инфраструктур».

В своём докладе Евгений затронул вопросы ИТ-безопасности и их решения, решения Kaspersky Security для бизнеса, какие преимущества получают клиенты решений Лаборатории Касперского используя их продукты и многое другое.

Много другой и полезной информации о которой рассказывал Евгений можно узнать скачав полный текст презентации по ссылке

Дмитрий Гоков, генеральный директор AT Consulting Восток в своей презентации «Маски-шоу" vs IT - кто кого? Кейс ИБ в условиях следственных действий» рассказал как нужно и как не нужно себя вести при «общении» с силовыми структурами. Фактически был дан кейс-план действий, что необходимо делать в данной ситуации.

Презентацию можно скачать по ссылке

Последним докладом была презентация Натальи Анисимовой (К.э.н., консультант и сертифицированный тренер по теории ограничений (ТОС) по направлениям: Управление производством и запасами и Инструменты мыслительных процессов ТОС, директор ООО "СтокМ.ру") «Автоматизация управления запасами. Подход теории ограничений».

Наталья на примере проведённого проекта рассказала, как можно идентифицировать «узкие места» при ведении производственно-хозяйственной деятельности на предприятии, построить модель и спланировать мероприятия по улучшению.

Завершил конференцию круглый стол по теме «Обеспечение персональных данных в облаке. Подходы. Ответственность.»

Экспертами круглого стола выступили:

1. Валентин Селифанов, ФСТЭК;

2. Денис Астафьев, РТКомм;

3. Артём Невмируха, SoftLine.

Каждый эксперт подготовил по теме круглого стола краткий доклад со своим видением на проблему. Все эксперты сошлись во мнении, что ответственность за персональные данные лежит на операторе, обслуживающем персональные данные. Конечно, на поставщике облачных услуг лежит определённая ответственность за физическую сохранность данных, но инициирование защиты персональных данных в облаке обязан оператор. Участники конференции так и не сошлись в едином мнении что проще и лучше – использовать «облака» сторонних поставщиков или использовать собственное оборудование. Но все согласились в том, что необходимо привлекать сторонних специалистов специализированных компаний для проведения аудита и консультированию по защите персональных данных в «облаках».

Презентация Валентина Селифанова доступна по ссылке

Презентация Дениса Астафьева доступна по ссылке

Презентация Артёма Невмирухи доступна по ссылке

Во время круглого стола мы очень бурно дискутировали. Это лишний раз подтвердило интерес и актуальность темы. Надеюсь, что впредь такие мероприятия будут проходить на регулярной основе. Мы с удовольствием будем принимать в них участие и в качестве экспертов, и в качестве партнёров.

Денис Астафьев, заместитель генерального директора «РТКомм»

Конференция закончилась фуршетом в ресторане под музыку группы «2+1» с вручением подарков и сувениров партнёрам и участникам.

Отчёт подготовлен Дмитрием Карасёвым и Сергеем Голубицким.

Более 170 фотографий доступно в фотоголерее по ссылке: http://www.cio-sibir.ru/Information/PhotoGallery/387/

Видео-ролик доступен по ссылке: https://www.youtube.com/watch?v=09FFVaMf2Zk