Материалы круглого стола, опубликованные в журнале "ИКС" №01-02/2013, c.52

УЧАСТНИКИ КРУГЛОГО СТОЛА >>

Модератор круглого стола - Михаил Емельянников, консалтинговое агентство «Емельянников, Попова и партнеры».

Анонс. Все компании периодически реализуют различные проекты в области информационной безопасности. Руководители ИТ-направлений (CIO) и служб информационной безопасности (CISO) планируют бюджеты, защищают их перед руководством. При этом все понимают, что ИБ – это, по сути, страховка от проблем и потерь, которые могут возникнуть у компании, если нет противодействия угрозам безопасности информации. Какой должна быть цена этой страховки и каковы критерии ее определения, как правильно обосновать затраты на информационную безопасность и как сформулировать понятные для бизнеса аргументы обоснования – эти вопросы обостряются в связи с растущим числом и многообразием угроз, а также возрастающими объемами утечек данных.

Цель круглого стола «ИКС» –  выявить в дискуссии особенности современного этапа информационной безопасности с точки зрения ее влияния на бизнес, агрегировать опыт оценки эффективности существующей или планируемой корпоративной системы ИБ и достигаемого при этом эффекта; определить угрозы ИБ, на которые следует в первую очередь обратить внимание, а также "матрицы" ИБ-эффективности для компаний разных отраслей и различного размера. 

Вопросы для обсуждения:

• У информационной безопасности сложился стойкий имидж источника затрат, не связанных с интересами бизнеса, к тому же приводящих к заметному усложнению работы и созданию помех тем, кто зарабатываем деньги для компании. Связано это с тем, что исторически бизнес и ИБ в России развивались в разных «системах координат». Как перевести на язык бизнеса терминологию безопасности (криптография, межсетевые экраны, антивирусы, резервное копирование и восстановление данных, защита от DDoS-атак и др.) и нужно ли это делать? Как доказать бизнес-выгоду ИБ? В какие проекты ИБ бизнес готов инвестировать в первую очередь и есть ли смысл искать прямую финансовую выгоду в проектах по ИБ? Какова роль ИБ-образования персонала всей компании?
• В обосновании затрат на ИБ существует два основных подхода – методический и практический. В первом случае используются методики и показатели эффективности (используются показатели ТСО, BCP, ROI и др.), во втором оценка делается без детальных расчетов на основе best practice (стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС). От каких факторов зависит выбор подхода (степень зрелости организации, отраслевая принадлежность, др.)? В чем преимущества и недостатки каждого из них?
• Нередко даже в случае утверждения бюджета на ИБ-проект «неожиданно» возникает необходимость в существенных дополнительных трудозатратах, которые изначально не планировались и на которые нет ресурсов. Почему это происходит (ошибки в планировании проекта, не учтены «скрытые» расходы на услуги сторонних компаний и собственного персонала, неправильно выбрано решение или поставщик, др.) и что следует делать, чтобы проект был завершен? Какие расходы в области информационной безопасности часто недооценивают или вообще забывают про них? (дополнительные прямые финансовые затраты на продукты или услуги, дополнительный объем работы сотрудников, др.) Скрытые затраты: где «подводные камни»?
• Какие структурно-функциональные элементы автоматизированных систем наиболее уязвимы для внешних и внутренних угроз (рабочие станции, серверы или Host -машины, межсетевые мосты или центры коммутации, каналы связи)? Как обеспечить комплексное противодействие угрозам информационной системе со стороны внешней среды? Как конкретной компании оптимизировать затраты на средства защиты и правильно их выбрать применительно к своим условиям?
• Аудит существующей системы ИБ, разработка регламентов и политик безопасности, проектирование комплексной защиты от внешних угроз и защита отдельных сегментов, внедрение и настройка необходимого для защиты инструментария: когда имеет смысл решать эти вопросы собственными силами, когда - привлекать внешних консультантов? Как правильно оценить аутсортинговые услуги по сопровождению корпоративной системы защиты информации?
• Сегодня ИТ-угрозы находятся в состоянии перманентного изменения. В частности, в 2011 г. число мобильных уязвимостей выросло на 93% и мобильные вирусы впервые представили реальную угрозу для бизнеса. Какие новые требования в этой связи возникают к инфобезопасности предприятия? Можно ли вообще создать сегодня действительно эффективную систему ИБ?
• Анализ рисков ИБ – основа для построения системы ИБ, зафиксированная в международных (ISO)? американских и британских стандартах. Какие методы анализа рисков (качественная оценка рисков; количественная оценка рисков; методики и коммерческие программные продукты, в которых может быть реализована количественная либо качественная оценка рисков) наиболее часто используются в отечественных компаниях и почему? Существует ли тяготение по отраслевому признаку? Как правильно построить "модель нарушителя" и «модель угроз», в которых отражаются его практические и теоретические возможности, априорные знания, время и место действия и др. характеристики?

По всем вопросам обращайтесь: