В Москве состоялась 7-я Международная специализированная выставка-конференция, посвященная проблемам информационной безопасности - "INFOBEZ-EXPO/ИнфоБезопасность - 2010".

За три дня работы этого ежегодного мероприятия, не без основания претендующего на роль ведущего в своей области, был рассмотрен широкий круг вопросов, касающихся безопасности хранения данных и документооборота, управления корпоративной электронной информацией и обеспечения непрерывности бизнеса, соответствия проводимых работ и мероприятий по защите персональных данных стандартам и требованиям регуляторов и т. д.

Один день был посвящен проблемам информационной безопасности в банковской сфере. Прошел ряд презентаций, было немало интересных выступлений. В частности, сравнивались различные подходы кредитных организаций к защите персональных данных, поднимались вопросы управления идентификацией и доступом к конфиденциальной информации, обеспечения безопасности удаленного доступа и хранения данных, обучения персонала и повышения его осведомленности в области безопасности.

Кроме того, в банковский день прошли два семинара. Один из них, "Специфика защиты информации в информационных системах банков", был организован компанией "Код Безопасности". Основное внимание на нем было уделено рассмотрению возможностей комплексного решения защиты персональных данных на автоматизированном рабочем месте (АРМ) и некоторым другим актуальным проблемам. В частности, обсуждался вопрос, как оптимизировать затраты в ходе приведения защиты персональных данных к стандарту Банка России СТО БР ИББС. Вниманию слушателей было представлено несколько универсальных способов: минимизация обработки и хранения защищаемых данных (что позволяет снизить количество применимых требований); изоляция информационных систем, которая сужает область применения технических мер защиты, снижает риски несанкционированного доступа и упрощает управление информационной безопасностью; тщательный анализ рисков информационной безопасности (позволяет использовать существующие меры защиты в качестве альтернативы выполнению требований стандарта и отказаться от реализации ряда требований типовой модели угроз) и т. д.

Второй семинар, организованный и проведенный компанией "Информзащита", был посвящен проблеме выявления фактов мошенничества в информационных и технологических системах. В основном докладе подчеркивалось, что комплексный аудит безопасности должен включать в себя идентификацию угроз, поиск уязвимостей и их устранение, а также постоянную оценку эффективности систем информационной безопасности.

Что касается возможных угроз, то к ним были отнесены компроментация серверов, перегрузка оборудования (DoS-атаки) и другие, в том числе и злонамеренные действия со стороны персонала. Все это обычно направлено на самые уязвимые места в системах информационной безопасности, а чтобы их обнаружить, необходимо постоянно производить анализ окружения, архитектуры и технической оценки защищенности.