Новости

СоДИТ, АЗИ и ИНСОР провели семинар о взаимодействие служб ИБ и ИТ

By 25.07.08 8 февраля, 2021 No Comments

В работе семинара приняли участие ИТ директора и руководители служб информационной безопасности, представляющие различные формы организаций и регионы России.

В качестве экспертов на семинаре приняли участие представители: ФСТЭК России, Ассоциации защиты информации, Ассоциации RISSPA, Ассоциации ЕВРААС, Консалтинговой группы «А+», Консалтинговой компании «Траектория роста», Центра информационной безопасности ЗАО «Инфосистемы Джет», Cлужб информационной безопасности КБ «Союзный», Банка «Возрождение», АКБ «Московский Банк Реконструкции и Развития», Cлужбы безопасности АКБ «Пробизнесбанк», Службы ИТ «Банк24.ру», Факультета «Информационная безопасность» МИФИ, Компаний ЗАО «Аладдин»,»Тринити», «ФЛЕКС», Агенство «Роспечать», ОАО«Ленполиграфмаш», члены СОДИТ и других организаций.

На повестку дня семинара были вынесены следующие вопросы:

1. Задачи службы ИБ в организациях, ее роль в эффективном функционировании информационной системы.

2. Службы ИБ и ИТ: заказчик-исполнитель, контролер-контролируемый или два подразделения одной службы.

3. Структура службы информационной безопасности.

4. Кадровые вопросы в области ИБ: сотрудник по ИБ — компьютерщик или офицер.

Ведущими семинара выступили Юрий Шойдин, директор по ИТ ГК «Интарсия», член СОДИТ и Виктор Минин, советник председателя Совета МОО АЗИ, председатель общественного консультативного совета по научно-технологическим вопросам информационной безопасности Комиссии по информационной безопасности при Координационном совете государств-участников СНГ по информатизации при Региональном содружестве связи.

Открыл Первый семинар из цикла семинаров по защите информации Председатель Правления СОДИТ Борис Славин с определения его Цели — выработки рекомендаций по организации Служб ИБ в компании, которые помогали бы ИТ директору в его практической деятельности.

Первым с докладом на тему «Задачи службы ИБ в организациях, ее роль в эффективном функционировании информационной системы. Построение функции информационной безопасности основанной на целях бизнеса» выступил Денис Муравьев, генеральный директор «4х4 бюро профессиональных услуг», президент Ассоциации RISSPA.

В процессе дискуссии по данному докладу, участники пришли к выводам, что служба информационной безопасности, безусловно, нужна, но часто руководители не знают, чем она должна заниматься, а также нередко можно услышать, что ИБ мешает нормальной работе бизнеса. Роль службы безопасности на начальном этапе – просветительская работа с ТОП менеджментом, перевод с технического языка на язык руководства, определение уровней опасности, определение баланса между запретом и вседозволенностью. Программа ИБ должна быть эффективной, а эффективна она только в том случае, если помогает бизнесу и соответствует уровню развития компании и отрасли, в которой ведется бизнес. Одной из главных задач на сегодня является сделать ИБ частью бизнес деятельности, найти правильные решения для ее развития, и для начала максимально возможно ограничить хождение любой информации, сохранив принцип «необходимости и достаточности». Основные задачи подразделений ИТ и ИБ находятся в единой области «хранения и сохранения информации».

С докладом «Взгляд начальника СЭБ на проблему обеспечения информационной безопасности» выступил Сергей Лялин, генеральный партнер Консалтинговой группы «А+», руководитель блока экономической безопасности, эксперт-практик безопасности институтов кредитно-финансового бизнеса. Во время обсуждения вопроса высказывались мнения о том, что нужно правильно делегировать полномочия в сфере ИБ, доверять профессионалам. А также, что первый показатель ИБ – окупаемость, соответственно технологии безопасности должны положительно влиять на показатели прибыли.

Михаил Левашов, начальник службы информационной безопасности КБ «Союзный» выступил с докладом «Кто есть кто? Взгляд на проблему начальника СИБ».

Также как и в предыдущих дискуссиях пришли к общему мнению, что цель деятельности ИБ – повышение капитализации, улучшение финансовых показателей. И, пока начальник СИБ не войдет в ТОП, пока не будет участвовать в бизнесе, состояние не будет улучшаться, а отсутствие процедур обеспечение ИБ в компании может привести к банкротству. Функционал Службы ИБ может быть очень широк, все зависит от поставленных задач и выделенных средств. Если ИБ попадает в ИТ, то снижается объем задач, которые будет решать служба ИБ.

Следующими выступили Борис Симис, директор Центра информационной безопасности ЗАО «Инфосистемы Джет» с докладом «Что такое служба безопасности и какой она должна быть. Взгляд системного интегратора» и Александр Широков, заместитель начальника Cлужбы информационной безопасности Банка «Возрождение» с докладом на тему «Служба информационной безопасности коммерческого банка. Взгляд практика».

В процессе обсуждения пришли к выводам, что существуют различные варианты структуры информационной безопасности, но, так или иначе, за информационную безопасность в компании отвечают все. ИБ должна стать корпоративной культурой.

У каждой организации свое отношение к ИБ, важно, чтобы задачи, поставленные перед СИБ, соответствовали основным целям самой организации. Ведь зрелый бизнес в России давно понимает необходимость СИБ в компании, но существует большое количество предприятий среднего бизнеса, где нет службы информационной безопасности. Нужно показывать бизнесу оборотную сторону информатизации.

По четвертому вопросу выступили Виктор Сергеевич Горбатов, заместитель декана факультета «Информационная безопасность» МИФИ с докладом «Кого нам готовят Вузы России», Александр Митрофанов, ФСТЭК России на тему «Требования к специалистам при осуществлении деятельности по технической защите конфиденциальной информации и персональных данных» и Денис Муравьев, президент Ассоциации RISSPA с темой «Профессия – информационная безопасность. Взгляд в будущее».

В рамках дискуссии участники обсуждения пришли к выводам, что на сегодня есть проблема обеспечения кадрами, а также рынок переподготовки специалистов ИБ не развит. Очень много времени уходит на обучение элементарным вещам, которые должна давать средняя школа. Ситуация такова, что 80% банков испытывают кадровый голод, а в региональных банках специалисты отсутствуют практически полностью. Необходимо разрабатывать комплекс программ по подготовке специалистов, проводить мастер-классы, обязательно учитывать мнения бизнеса при формировании стандартов специальностей.

По окончании программы семинара экспертами были высказаны заключительные мнения:

  • необходимо выделять пересекающиеся функции СБ и ИТ для ИБ, но также необходимо разделять и отделять ИБ и ИТ;
  • целесообразно разработать усреднено-типовую структуру СИБ и отраслевых стандартов по обеспечению ИБ и соответствующих профилей защиты;
  • критерии информации для каждой организации помогут определить роль и место служб ИТ и ИБ;
  • необходимо определить перечень факторов влияния на структуру и показатели эффективности ИБ (критерии оценки эффективности ИБ);
  • управление ИБ должно стремиться к корпоративной культуре, к созданию лояльности к информационной безопасности;
  • существует необходимость в постоянном обучении.

Экспертами были предложены организаторам следующие рекомендации:

  1. Целесообразность разработки руководящих документов, рекомендаций по организации службы информационной безопасности для коммерческих структур (среднего и малого бизнеса).
  2. Целесообразность создания консультативного комитета по проблемам взаимодействия служб информационной безопасности и информационных технологий.

Обобщив результаты круглого стола, Председатель Правления СОДИТ Борис Славин закрыл семинар и объявил о проведении следующего тематического семинара в октябре — по вопросу защиты персональных данных.