-
Video
-
Audio
-
Files
-
Table of contents
-
Video
-
Audio
-
Files


- Description
- Transcript
- Discussion
About the talk
Нормативные документы ФСТЭК и ФСБ устанавливают требования безопасности, но как подойти к их исполнению? Прямых указаний нет, но многое, о чем умалчивает российская нормативка, можно заимствовать из мирового опыта. Давайте поговорим о том, какую пользу можно извлечь из рекомендаций NIST, MITRE и ENISA
01:00 «Разумные люди выставляют разумные требования, если их правильно интерпретировать»
03:15 Для лучшего понимания текста закона, переведите его на более «человеческий» язык
03:39 Просто о сложном: структурированный нормативный документ как дерево
07:10 Результат структурирования
08:16 Используем здравый смысл: нормативные документы очерчивают лишь границу, а конкретные действия по защите информации вы выбираете сами
08:40 Разрешено все, что не запрещено: о правильном понимании нормативных актов
10:38 О нужном, полезном и о том, что придется делать
13:50 Базис: ISO 27001, NIST SP 800-53 и другие рекомендации
16:14 Построение концепта системы защиты: ваши действия при выборе в качестве базиса CIS Controls
22:57 Результат построения концепта защиты и наложения на него нормативных актов
23:35 Не расслабляйтесь! О требованиях GDPR
25:23 ENISA вам в помощь
26:02 Не так страшен черт… О совмещении CIS Controls и требований GDPR
28:36 Результат совмещения CIS Controls с требованиями GDPR
30:21 Вопрос: то, о чем сейчас шла речь, распространяется на все компании без исключения?
37:28 Вопрос: к какому элементу относится ситуация с использованием виртуальных машин: нужно, полезно или придется сделать?
41:50 Вопрос: были ли в вашей практике случаи, когда Министерство обороны неохотно принимали требования ФСТЭК?
About speaker
Родился в 1977 году. В 1999 году окончил факультет ВМК МГУ. С 1999 по 2006 годы занимался созданием систем информационной безопасности информационных ресурсов органов государственной власти. В 2005—2006 годах участвовал в экспертизе стандарта Центрального банка РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Работает в компании Positive Technologies с 2008 года. Эксперт по вопросам банковской безопасности и нормативной-правовой базы в области ИБ. Участвует
View the profileосновная проблема с которой сталкиваются люди То что приходится одновременно соответствует требованиям сразу нескольких гулятор например транспортная компания мы должны нас исполняется закон о безопасности инфраструктуры А ещё мы продаём билеты гражданами сын предъявляется требование законно ДПС ещё на разных закон о совершенно разные требования и возникает в этом же не разобраться Да собственно приходится с этим разбираться моей по своей работе и приходится констатировать Коля выработался природной системы Как работа с нормативными
документами так чтобы в них не путаться а дома что придумать и решить просто вот меня и одновременно устроят любого регулятора который определяет электронную систему личный опыт и ей челюсть аудитории это Информация будет интересна прежде всего на руководителя подразделения информационной безопасности крупных которые так или иначе работать с низким регулятором возможно тем кто работает персональными данными Но самое главное как И большинство моих докладов он рассчитан на тех кто в реальной жизни сталкивается компьютер на меня такими вы нужно отменить Ну не надо бояться,