Форум прошел под девизом: «Будьте готовы к «сюрпризам». Готовьтесь к неожиданностям заранее – это позволит не упустить возможности, которые вам дает рынок и компания. Перестаньте бояться будущего! Смотрите вперед сейчас!»
В рамках пленарного заседания «Суровая реальность: ИБ в эпоху экономического кризиса» Виктор Минин, МОО АРСИБ, Константин Коротнев, ЭЛЬДОРАДО, Алексей Волков, ОАО «Северсталь-Инфоком», Дмитрий Устюжанин, ВымпелКом, Дмитрий Мананников, SPSR express,
Артем Воробьев, BAYER, Роман Мусич, Корпорация «Иркут», Алексей Смирнов, Parallels обсудили как современные технологии в области информационной безопасности помогают решить вопросы оптимизации, какие риски сегодня наиболее актуальны, как грамотно выработать стратегию подразделения ИБ и учесть как оптимистические сценарии развития событий, так и пессимистические, как не только сохранить команду высококвалифицированных сотрудников, но и повысить эффективность их работы, совершенствовать систему эффективного управления инфраструктурой, выбирать новые варианты взаимодействия с поставщиками.
По мнению Дмитрия Устюжанина, «Вымпелком»: «Мобильная безопасность и кибер-риски – тема, которая занимает умы экспертов по ИБ. Риски растут. Однако неправильно будет отказываться от инновационных технологий из-за боязни рисков. Есть довольно простые компенсирующие меры защиты, на уровне гигиенического минимума, требуется усилить просвещение пользователей в вопросах ИБ и не тормозить прогресс».
Дмитрий отметил, что мир сейчас гипер-связный, законы в России и ряде других стран предписывают хранить и обрабатывать ПДн клиентов внутри страны, но не надо строить иллюзий, что можно отгородиться от всех кибер-забором, это просто невозможно. Значит, необходимо организовывать плотное взаимодействие по противодействию кибер-угрозам между предприятиями разных отраслей и с учетом глобального характера мира коммуникаций.
«Роль операторов связи в этом процессе одна из основных в силу самого предмета деятельности, призываю партнеров по взаимодействию формулировать требования по кибер-безопасности и организации защиты в сторону операторов связи. Это позволит гармонизировать развитие услуг и мер встроенной или наложенной защиты, например, услуги по защите от мобильных вирусов или от DDOSатак», - подытожил он.
Дмитрий Мананников, SPSR express, отметил, что аудитория нормально реагирует на изменение роли информационной безопасности. «Еще год назад очень сложно было обсуждать модели ИБ отличные от «ИБ – затратный центр». Хотелось бы поблагодарить infor-media Russia за предоставление отличной площадки, где рождаются новые идеи, где можно поспорить, а где-то что-то подчеркнуть».
Константин Коротнев, ЭЛЬДОРАДО, добавил: «Хотелось бы объединить наши с Федором Курносовым наработки и подход Дмитрия Мананникова, получив отличную глобальную систему оценки ИБ в деньгах, полезности ИБ и возврата инвестиций от ИБ».
Алексей Смирнов, Parallels, в рамках круглого стола, отметил, что «мы попытались понять, что такое ИБ и, что такое управление в компании. После этого остановились на вопросах – как взаимодействуют руководители ИБ с руководством компании, и другими подразделениями, и как выстроены руководителями ИБ отношения внутри компании. По моему мнению, отношения должны быть доверительными и прозрачными. Нельзя, чтобы подразделение было пугалом, сотрудники должны чувствовать надежду и опору».
Далее последовала практическая сессия: «Управление ИБ как часть интегрированного управления
компанией, ее рисками и соблюдением правовых норм».
Модератор Андрей Конусов, Аванпост, отметил важное значение наметившегося в последние годы изменения роли подразделения информационной безопасности в деятельности организации и сознании ее руководства. Подразделение ИБ перестает восприниматься, как внутреннее вспомогательное подразделение, и начинает восприниматься, как важный участник бизнес деятельности. В свое время этот путь проходило ИТ, и сейчас можно увидеть, как во многих компаниях ИТ директор входит в Совет Директоров и участвует в принятии важных стратегических решений. Этот же путь сейчас начинают ИБ руководители. Хотя пока еще в подавляющем большинстве организаций ИБ находится в подчинении у руководства ИТ, хотя это не правильно.
Юлия Суслина, координатор менеджмента информационных активов, компания Новартис Консьюмер Хелс поделилась опытом управления информационной безопасностью в иностранной компании в российских реалиях, рассказав про подводные камни работы CISO в российском представительстве, а также про имплементацию требований регуляторов в условиях глобальных политик по ИБ, которые диктуются штаб-квартирами, а также про выбор и внедрение сертифицированных СЗИ в инфраструктуру.
Говоря о планировании мероприятий по воздействию на риски ИБ для систем автоматизации производства и информационно-технологических систем предприятий, Сергей Трушкин, Советник по вопросам ИБ в РУСАЛе отметил следующую проблематики проектирования и внедрения средств обеспечения защищённости АСУТП: отсутствие единой системной инфраструктуры, оценка необходимости обеспечения защищённости, масштабность и распределенность систем АСУТП на предприятиях, проблема внедрения централизованных решений в области управления процессами информационной безопасности, а также техническими средствами их обеспечения (межсетевое экранирования, удалённый доступ, ААА, резервного копирования, физической защитой технологических зон и т.д.), большое число производственных объектов, обладающих разной величиной риска и способами его минимизации. Он также выделил длительный цикл модернизации систем АСУТП и проблему использования устаревшего ПО, не совместимого с современными средствами и методами обеспечения защищённости, а также проблему выбора отечественных средств и использования ПО с открытым кодом и аппаратных платформ из третьих (нейтральных) стран.
Андрей Бажин, независимый эксперт, выступил с докладом об опыте использования методологии COBIT для оценки рисков ИТ и ИБ. «Фактор успеха в управлении рисками ИТ и ИБ –выбор правильной позиции в рамках общей структуры управления рисками компании. Недостаточно декларативно отнести риски ИБ и ИТ к операционному риску, важно сделать выбор, где будет акцент - в информационных ресурсах или в процессах. По моему мнению, лучше сфокусироваться на процессах. Несмотря на то, что негативные события произойдут в той или иной системе, в отношении той или иной формации, но они, так или иначе, повлияют на бизнес-процессы. А бизнес-процесс дает тот или иной финансовый результат, поддерживает тот или иной продукт. Поэтому важно уметь считать ключевые индикаторы риска, характеризующие уровень операционного риска в конкретном процессе. Так для банка или платежной системы - если владелец бизнес процесса отвечает, скажем, за расчеты и/или платежи, то ему важно понимать какой резерв ему сделать, чтобы нивелировать возможные последствия инцидента. Или внедрить дополнительные контроли в целом, чтобы его процесс работал в заданных параметрах аппетита к риску. Поэтому основная цель: разработать систему ключевых индикаторов риска и гармонизировать ее с общей системой управления рисками, чтобы принимать решения, прежде всего на основе количественной оценки», - подчеркнул Андрей.
Говоря об изменениях в законодательстве в области ИБ, Алексей Лукацкий отметил: «Тема регулирования в вопросах информационной безопасности стала одной из ключевых в российском правовом поле и для многих организацией, как государственных, так и коммерческих планы по развитию законодательства на ближайшие годы являются достаточно важными».
Следующей темой круглого стола стала тема «Compliance vs Security: невозможное возможно». По словам Рустема Хайретдинова: «Люди стали лучше относиться к требованиям регулятора после того, как они стали лучше. На ранних этапах развития регулирования отрасли требования были практически нереализуемыми, но теперь они изменились в лучшую сторону. Соответственно, стало меньше критики в адрес тех, кто пишет эти требования, и затем настаивает на их исполнении. Появилась возможность давать обратную связь от экспертов-практиков. Требования перестали запрещать и стали помогать тем, кто не знает с чего начать и что делать. Была использована аналогия с требованиями пожарного надзора: при открытии нового кафе приходят пожарники и говорят, где должен висеть щит и топор, как организованы выходы и т.д. Пожарным требованиям сотни лет, поэтому, надеюсь, что когда статистика требований по информационной безопасности будет накоплена, то мы будем иметь идеальные рабочие требования».
Большое внимание аудитории привлек мастер-класс Михаила Емельянникова, посвященный нормативному регулированию переноса обработки информации ограниченного доступа и персональных данных в облачную инфраструктуру и коммерческие дата‐центры, в том числе находящиеся за рубежом. Михаил подчеркнул, что «мастер-класс проходил на болезненную для всех тему, так как в законодательстве достаточно много сложных и противоречивых положений, разобраться в которых довольно трудно. Но с другой стороны, нельзя остановить технический прогресс из-за пробелов в нормативном регулировании, поскольку использование облачных инфраструктур и иных форм ИТ-аутсорсинга – устойчивый тренд сегодняшнего дня, позволяющий существенно сэкономить на этих сервисах, отказавшись от самостоятельного их развертывания и выполнения непрофильных для бизнеса функций, чтобы сосредоточиться на основной деятельности. Кроме того, неясность формулировок закона, требующего локализации баз персональных данных в России, создает для бизнеса дополнительные проблемы, непросто преодолеваемые своими силами».
Модератор круглого стола «ИБ облаков», Алексей Смирнов, Parallels, отметил, что «при обсуждении аспекта безопасности облаков в начале казалось, что актуальными являются угрозы, связанные с процессами виртуализации с недостаточной изоляцией виртуальных машин друг от друга, недостаточной изоляцией клиентов друг от друга, атаками со стороны гипервизора. А потом выяснилось, что достаточно актуальнее оказались угрозы, связанные с человеческим фактором, с халатным отношением сервис-провайдера. И в итоге стали обсуждать, что для того, чтобы серьезно заниматься безопасностью облачной платформы нужна большая бизнес эко-система с возможностью долговременных инвестиций, т.к. многие задачи требуют длительных разработок, которые очевидно не приносят отдачу сразу. Конечно же мы упомянули регуляторов. Многим может казаться, что область облачных услуг недостаточно регулируется, и по этой причине можно столкнуться с сервисами ненадлежащего качества, что, по-моему мнению, ошибочно».
Дмитрий Сушков, МСП Банк, представил практический опыт внедрения российского IDM‐решения в МСП Банке. «Недостаточный контроль за распределением прав доступа к информационным ресурсам, «ручное» управление учетными записями пользователей неизбежно порождают риски, связанные с несанкционированным доступом к информационным ресурсам организации. Многим наверняка знакома такая картина, когда при изменении функционала работника его права доступа к информационным ресурсам, в лучшем случае, пересматриваются не своевременно, а в худшем не пересматриваются вовсе. Основываясь на данных аудита и на результатах оценки рисков информационной безопасности, мы пришли к выводу о том, что эффективное управление учетными записями пользователей, надежный контроль распределения прав доступа к информационным ресурсам может быть достигнут за счет автоматизации процесса управления учетными записями пользователей и введения двухфакторной аутентификации пользователей во всех информационных системах Банка. С 2014 года мы приступили к внедрению программного комплекса «Avantpost». На сегодняшний день процесс внедрения пока не завершен. Не решенными остаются ряд технических вопросов, в том числе вопрос работы SSO-модуля ПК «Avanpost» на «тонких» клиентах, построенных на системе виртуализации VMware».
Большое внимание аудитории привлек мастер-класс Алексея Волкова, который рассказал о возможности переноса своего ЦОД на внешние площадки, предусмотрев все риски и механизмы их минимизации.
С интересным докладом «Как построить безопасность при нулевом бюджете?» выступил Карл Эриксон, Philips. Он считает, что система безопасности не обязательно должна дорого стоить. Есть возможности с помощью, которых можно снизить стоимость услуг, например, создание супер-пользователей, которые будут оценивать текущую ситуацию и распространять свои знания внутри компании.
Сравнивая аутсорсинг с собственной службой безопасности, Михаил Гиленко, Банк ПСА Финанс РУС, отметил, что «ответственность должна оставаться внутри компании, несмотря на передачу деятельности на аутсорсинг. И, конечно, возможность аутсорсинга безопасности зависит от зрелости внутренних процессов, приоритетов с точки зрения бюджета, стратегии компании, политики в области управления персоналом, наличия подходов к измерению эффективности внутренней информационной безопасности».
Антон Карпов, Яндекс, также поделился своим мнением: «Аутсорсинг или не аутсорсинг – этот выбор основывается исходя из уровня зрелости компании. Также этот выбор во многом зависит от людей, которые «толкают» этот локомотив. Я не видел компании с высоким уровнем безопасности, где людям неважно, кто этим занимается, интересует ли безопасность совет директоров или нет. Если в безопасности все относительно хорошо по сравнению с другими компаниями по рынку, то за этим стоят личности, которым не все равно. Но также существуют компании со средним уровнем безопасности, но любой внешний аудит сразу покажет проблемы. При отдаче бизнеса на аутсорсинг есть несколько причин: есть ли деньги, уверенность в качестве услуг поставщика за приемлемую цену, и подходят ли эти решения под твою организацию».
Федор Курносов, ЭЛЬДОРАДО, в своем докладе отметил, что «аутсорсинг возможен, когда вы понимаете, что хотите вывести, какие KPI вы назначаете этому процессу. Бывает так, что сотрудники на аутсорсинге более квалифицированы, чем ваши сотрудники. Аутсорсинг – это также возможность выбора, когда у вас нет собственных ресурсов».
В рамках заключительного круглого стола CISO и его команда его участники Александр Макар, «ОАО ЕДИНАЯ ЕВРОПА-ХОЛДИНГ», Андрей Дроздов, Московское отделение ISACA, Кирилл Мартыненко, Банк ЮГРА, Олег Седов, Сообщество BISA и Алексей Смирнов, Parallels обсудили вопросы взаимодействия CISO и руководства компании, обучения и повышения квалификации специалистов в области ИБ, подготовку кадров для различных отраслей бизнеса, психологию взаимоотношений ИБ и других подразделений. Эксперты единодушно пришли к выводу, что независимо от рода деятельности компании необходимо повышать осведомленность, заниматься обучением и развитием персонала.
Оживленные диалоги продолжились в кулуарах и в завершении дня. Мы получили массу положительных отзывов от участников конференции, что позволяет нам судить, что мы движемся в правильном направлении.
Официальными партнерами конференции выступили компании: Check Point, RRC, Qrator Labs, Imperva SecureSphere, ESET, «Газинформсервис», Аванпост, «Ай-Теко».
Наши информационные партнеры - IT Tube, Softweek, Tadviser, МИС-Информ, Global CIO, allCio, PCWeek, itWorld, PC Magazine, it weekly, CRN, Интерфакс, ИКС Медиа, ICT Online, Учебный центр Информазащита, журнал «Первая миля», «Мир карточек», BIS Journal, «Системный администратор», «Банковские технологии».
Компания infor-media Russia благодарит всех участников и партнеров конференции за сотрудничество и оказанную поддержку мероприятию!
До встречи в следующем году на IХ межотраслевом ФОРУМЕ ДИРЕКТОРОВ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ!