Самарские тезисы Кода ИБ

Компаниям стоит быть крайне щепетильными в вопросах категорирования объектов КИИ, уверены эксперты. Тем временем, Сергей Васильев (Ай Эс Ти) считает, что многие стремятся обойти новый закон, как было ранее с 17-м приказом ФСТЭК. Собирают комиссию, проводят категорирование, решают, что система некритичная. Что, в случае ее выхода из строя, компания сможет продолжать работать.

Но, увы, в случае инцидента руководитель этой организации, по закону 187 ФЗ, попадает под УК. “И неважно, как он категорировал эту систему, ведь бизнес-процесс был остановлен. Так, что если мы говорим, что какая-либо система не критична, мы должны сделать так, чтобы бизнес-процесс смог работать без этой системы”.  С ним согласен и Игорь Пеннер (ГК ТОНК): “Неважно, кем вы себя сами посчитаете, важно, кем вас считает регулятор, и, не дай Бог, судья”.

Строить бюджет ИБ и, в принципе, систему защиты, необходимо с точки зрения риск-ориентированного подхода - уверен Дмитрий Ильин (АйТи Таск). При этом,  защита бюджета перед руководством пройдет успешнее, если показывать либо сколько компания сэкономит, либо сколько компания заработает. Важно привлекать к обсуждению все заинтересованные стороны, включая владельцев бизнес-процессов и айтишников.

“Жареный петух” в приятной компании регуляторов остаются главными драйверами ИБ в компаниях. Андрей Степанов  (СО “ЕЭС”) уверен, что нет ничего эффективнее в отстаивании ИБ-бюджетов, чем подтверждение рисков на практике. Меж тем, компании все еще по-разному реагируют на инциденты. Сергей Васильев привел пример организации, которая выбрала просто уволить ИБ-службу и весь персонал подразделения, подхватившего троян.

Процесс ИБ-ликбеза сотрудников нужно проводить непрерывно и по возможности его автоматизировать, уверен Алексей Алексеев (MONT). Памятки по ИБ, написанные шершавым языком плаката, не работают, отсюда необходимость живого донесения до персонала основных тезисов в максимально удобоваримой  форме, уверен независимый ИБ-эксперт Алексей Шужебаев. Презентации - тоже не лучший вариант. В ход идут геймифицированные сценарии, некоторые даже комиксы рисуют. Нельзя недооценивать и тестирование сотрудников методами социальной инженерии.

А еще важен баланс интересов и ресурсов между ИТ и ИБ.“Здравое взаимодействие между двумя подразделениями, потому, что их общей целью является обеспечить стабильное и защищенное функционирование  бизнеса” - отметил Алексей Шужебаев.

ГОРЯЧАЯ ДЕСЯТКА

Самыми горячими вопросами, по версии экспертов встречи, были названы следующие:

• Безопасно ли использование СЗИ зарубежного производства, даже сертифицированных?
• Подключение к ГОССОПКа - собственный SOC или внешний?
• Нужны ли бизнесу средства выявления инцидентов ИБ?
• Рабочие места сотрудников.Обслуживание, перенос, удаленное администрирование
• Проблемы с хранением данным на локальных рабочих станциях. Использование внешних носителей
• Обеспечение безопасности единой биометрической системы

ВПЕЧАТЛЕНИЯ УЧАСТНИКОВ

“Очень полезные доклады! Спасибо, именно то, что нужно было. Вдохновили”

Воронина Екатерина Алексеевна

“Отличное мероприятие, жду каждый год! Желаю расти и развиваться! Давайте собираться чаще”

Волков Антон Александрович

НАШИ БЛАГОДАРНОСТИ

Партнерам мероприятия

Доктор Веб, SearchInform,АйТи Таск, Check Point, Ростелеком-Солар,АйЭсТи, COMPAREX, Газинформсервис, MONT.

Медиа-партнерам

3Dnews.ru (Генеральный медиа-партнер), Anti-Malware.ru(Стратегический медиа-партнер), 12NEWS.ru, журналам “Системный администратор”, “БИТ”, Хакер”, BIS Journal, порталам secandsafe.ru, IT-EVENTS, iso27000.ru, “Единому порталу электронной подписи”, Information Security, Дом.ru, SPTC.ru

© Экспо-Линк, 2018
© Издание 12NEWS (ИП Маринин А.Л.), 2018