19.11.2009    Москва, КВЦ "Сокольники", конференц-зал павильона №2
Организаторы:        
Поддержка:             
Партнеры:                          

или

Юлия Карцева, icq-консультация по программе и вопросам участия

Владислав Воеводин

25.11.2009 Владислав Воеводин Независимый эксперт Может, целесообразно в рыночной экономике отдать вопросы обеспечения ИБ руководителям компаний, а не регуляторам?

Почему Вы приняли участие в конференции? Что ожидали и что получили?
Тема конференции совпадает с моими профессиональными интересами.  Наиболее актуальными вопросами для меня явились: вопросы обеспечения  юридической значимости ЭД, расследование компьютерных преступлений. 
Что ожидал, то и увидел. Польза в том, что мои взгляды на существующее положение дел в обеспечении ИБ подтвердились фактами и, следовательно, укрепились.

Могли бы Вы дать оценку конференции?
По технике организации – все понравилось. Как недостаток, на мой взгляд, можно отметить то, что тема конференции — весьма широкая.
Мне кажется, полезно было бы поделить все на секции, которые шли бы параллельно: сначала на пленарном заседании определяется цель, замысел конференции, пара-тройка докладов общесистемных, а далее — по секциям:  секция ЭДО, секция персональных данных, секция юридических вопросов, секция стандартизации в области, секция технической защиты информации. Так облегчился бы выбор секций сообразно интересам каждого участника.

Что Вы могли бы посоветовать взять в качестве основных тем рассмотрения на следующей конференции "FinSec: безопасность финансовых организаций", в 2010 году?
Как показывает практика и подтверждает опыт,  финансовое сообщество (я к нему отношу лиц, принимающих решения на финансовых рынках) как раз вопросы безопасности информационной мало интересуют и чаще эти угрозы ими недооцениваются.
Почему? Да потому что реально управлять ИБ в сложившемся нормативном поле они просто не могут. И  места искусству управления ИБ здесь просто нет. Работает правило "действуй по нормативе — завоюешь честь и славу".  Все управление ИБ сводится к планированию мероприятий по реализации указаний Регуляторов и к тому, как выбрать удобную трактовку ЦУ (ценного указания). Как правило, интерес проявляют специалисты компаний, ответственные за обеспечение информационной безопасности, – загляните в список участников!
Вот если бы предмет конференции сместился в сторону оценки угроз бизнесу и больше было бы примеров из практики с указанием реального ущерба бизнесу из-за легкомысленного отношения к обеспечению эффективной информационной безопасности, к вопросам управления информационной безопасностью... И если бы в ходе выступлений приводились доказательства того, что ИБ — это прежде всего не затратная отрасль, а отрасль, которая вносит свой вклад в получение прибыли компании...   Тогда бы и руководители это почувствовали б и поняли, и только тогда отрасль могла бы получить реальную поддержку. Сейчас же поддержка живет на "страхе", что не выполнять закон опасно – хотя и не обязательно.
Кроме того, полезным было бы рассмотреть вообще ПОДХОД к обеспечению ИБ – может, в нем все дело-то? Как отдельную проблему рассмотреть целесообразность отказа от подхода, когда ИБ регулируют госорганы изданием всяких нормативных и подзаконных актов, которые "причесывают" все компании одной гребенкой. Невозможно разработать подзаконный или нормативный акт, который подходил бы всем!
Может, перейти к подходу, в основе которого лежат основополагающие законы, а конкретные решения по ИБ принимает руководитель самостоятельно, сам оценивая риски и устанавливая для себя остаточные риски,  и разрабатывает мероприятия по приведению уровня рисков к допустимому? А может, ситуация такая, что проще отдельные риски застраховать (например, конфликты по персональным данным), а не строить систему защиты, которую навязывают регуляторы?
Это напоминает ситуацию, когда из Центра указывали председателям колхозов в Сибири, что сажать, когда окучивать и когда приступать к уборке урожая...  Складывается впечатление, что регуляторы больше пекутся об исполнении ими навязанных указаний, нежели о реальном  обеспечении ИБ в отдельно взятой компании. Таким образом инициатива принятия решений и поле для их принятия ограничено колючей проволокой регуляторов.  Выходит, что "правильный" руководитель компании при организации ИБ должен лишь неукоснительно выполнить навязанные рекомендации и ему не обязательно при этом строить эффективную систему ИБ. Именно эффективную, удовлетворяющую задачи и соответствующую бизнес-целям компании. Может, целесообразно в рыночной экономике отдать вопросы обеспечения ИБ руководителям компаний, а не регуляторам? На мой взгляд, это — интересная тема.