Ровно год назад стартовал проект Санкт-Петербургского клуба ИТ-директоров для молодых и перспективных ИТ-менеджеров - «CIO Junior». Сегодня самостоятельно «CIO Junior» уже не существует, но он воплотился в не менее интересный проект «Без Галстуков». За год были рассмотрены самые разные темы, обсуждены различные вопросы, прошло много диспутов. Именно с этих слов начал приветственную речь Николай Михельсон, член Правления клуба и куратор данного проекта.
Максим Белоусов, Председатель комитета по ИТ Торгово-Промышленной Палаты СПб, также поприветствовал всех присутствующих. Он акцентировал внимание на том, что, создавая новый проект вместе с Кириллом Соловейчиком, Председателем Правления «
SPb CIO Club», они попытались создать такой формат встреч, который позволит членам клуба и сообщества «CIO-Junior» собраться за круглыми столами для обсуждения насущных профессиональных вопросов. Итогом проведения таких встреч становится рождение новых идей, статей в различных СМИ не только Санкт-Петербурга, но и России. И это, безусловно, совместный успех всех, кто участвует в подобных мероприятиях.
Темы, которые выносятся на обсуждение в клубе, всегда актуальны. Не стало исключением и это заседание, на котором были рассмотрены роль и место служб ИБ и ИТ в организации.
Юрий Шойдин, Член Правления клуба, в основной части заседания обозначил ряд тем по ИБ, которые будут рассмотрены в этом году: «Федеральный Закон № 152 о защите персональных данных», «Спам – проблема крупных организаций», «Электронная цифровая подпись». После небольшой презентации, выделения основных понятий и определений, участники заседания распределились на три круглых стола:
• Задачи Службы информационной безопасности в организации
• Заказчики Службы информационной безопасности
• Место Службы информационной безопасности в структуре компании
В качестве экспертов по теме ИБ на заседание были приглашены: Олег Бахшинский, генеральный директор Headtechnology, Василий Платонов, председатель Комитета по безопасности и правовому сопровождению предпринимательской деятельности, Владимир Прокопьев, заместитель президента СПб ТПП.
По окончанию первой части заседания, после обсуждений и горячих споров, Олег Бахшинский провёл презентацию, рассказал о специфике деятельности компании Headtechnology. После чего модераторы каждого из столов подвели итоги обсуждений.
Олег Гейдаров, модератор стола № 1 «Задачи Службы информационной безопасности в организации» представил практически исчерпывающий список задач ИБ для средней компании. Он обозначил главную задачу – предотвращение угроз.
Основные задачи:
• Систематизация объектов
• Систематизация угроз
• Оценка стоимости и вероятности рисков
• Ранжирование рисков
• Формирование списка мероприятий по предупреждению
• Разработка регламента действий в случае реализации риска
• Разработка регламента по взаимодействию службы ИБ и бизнеса
Юрий Шойдин, ведущий заседания, отметил только один минус - частичная недоработка задач стратегической и профилактической тематики.
Стол № 2 под руководством Олега Бахшинского представил интересный подход к делению заказчиков ИБ, рассмотрев проблему достаточно масштабно, но в рамках предложенной задачи не были рассмотрены внутренние функциональные заказчики ИБ в компании. Были предложены следующие Заказчики:
• Владелец
• Государство
• Клиенты/Партнеры
• Сотрудники
Модератор стола №3 «Место Службы информационной безопасности в структуре компании», Тимофей Левицкий представил решение своей команды. Они разделили стандартные организации на 4 группы: малые, средние, большие и очень большие (холдинги). Для каждой из групп был обозначен спектр функций. В частности, для малых компаний разработчики предлагали точечный аудит, для средней – аудит более регулярный, но всё-таки масштабных задач ИБ нет, а соответственно нет и отельной службы ИБ. Большие организации предполагают выделение отдела по ИБ как отдельного в структуре организации, проведение внутренних и внешних аудитов, формирования регламентов, инструкций и правил по ИБ. В холдинге абсолютно все функции ИБ специализированы, создана отдельная служба безопасности и контроля, аудит осуществляется на регулярной основе. В итоге, как отметил ведущий заседания, Юрий Шойдин, были рассмотрены в большей степени не возможные варианты организации ИБ в компании, а наиболее присущие функции для разных типов компаний.
По традиции самый активный участник обсуждений получил подарок от «SPb CIO Club». На этот раз им стал Вадим Коноваленко, «Банк ВТБ Северо-Запад».
В заключении Юрий Шойдин подвел общие итоги, выделил интересные идеи, указал недочёты. Он отметил, что все группы сформировали и представили нетривиальные интересные идеи. Цель круглых столов – раскрыть ИТ-директору задачи ИБ, заказчиков ИБ и разделение функционала между ИБ и ИТ, показать варианты построения своего функционала, связанного с ИБ – была достигнута.
В заключение, говоря о роли информационной безопасности в деятельности организации, Максим Белоусов отметил: «
Подобные мероприятия позволяют нам узнать много нового и тем самым стать более компетентными, а чем просветленнее ИТ-директор, тем у компании больше шансов определить риски и соответственно предотвратить угрозы».
© SPb CIO Club, 2009
© Издание 12NEWS (ИП Маринин А.Л.), 2009