О конференции | Программа | Партнеры | Организаторы & Календарь событий | Медиапартнеры | Архив 2008 | Участники | Обсуждаем программу | Итоги FinSec'2009 | Архив 2009 | Новости |
![]() |
|
![]() |
19.11.2009 Москва, КВЦ "Сокольники", конференц-зал павильона №2 |
или
|
Владислав Воеводин
Тема конференции совпадает с моими профессиональными интересами. Наиболее актуальными вопросами для меня явились: вопросы обеспечения юридической значимости ЭД, расследование компьютерных преступлений. Что ожидал, то и увидел. Польза в том, что мои взгляды на существующее положение дел в обеспечении ИБ подтвердились фактами и, следовательно, укрепились. Могли бы Вы дать оценку конференции? По технике организации – все понравилось. Как недостаток, на мой взгляд, можно отметить то, что тема конференции — весьма широкая. Мне кажется, полезно было бы поделить все на секции, которые шли бы параллельно: сначала на пленарном заседании определяется цель, замысел конференции, пара-тройка докладов общесистемных, а далее — по секциям: секция ЭДО, секция персональных данных, секция юридических вопросов, секция стандартизации в области, секция технической защиты информации. Так облегчился бы выбор секций сообразно интересам каждого участника. Что Вы могли бы посоветовать взять в качестве основных тем рассмотрения на следующей конференции "FinSec: безопасность финансовых организаций", в 2010 году? Как показывает практика и подтверждает опыт, финансовое сообщество (я к нему отношу лиц, принимающих решения на финансовых рынках) как раз вопросы безопасности информационной мало интересуют и чаще эти угрозы ими недооцениваются. Почему? Да потому что реально управлять ИБ в сложившемся нормативном поле они просто не могут. И места искусству управления ИБ здесь просто нет. Работает правило "действуй по нормативе — завоюешь честь и славу". Все управление ИБ сводится к планированию мероприятий по реализации указаний Регуляторов и к тому, как выбрать удобную трактовку ЦУ (ценного указания). Как правило, интерес проявляют специалисты компаний, ответственные за обеспечение информационной безопасности, – загляните в список участников! Вот если бы предмет конференции сместился в сторону оценки угроз бизнесу и больше было бы примеров из практики с указанием реального ущерба бизнесу из-за легкомысленного отношения к обеспечению эффективной информационной безопасности, к вопросам управления информационной безопасностью... И если бы в ходе выступлений приводились доказательства того, что ИБ — это прежде всего не затратная отрасль, а отрасль, которая вносит свой вклад в получение прибыли компании... Тогда бы и руководители это почувствовали б и поняли, и только тогда отрасль могла бы получить реальную поддержку. Сейчас же поддержка живет на "страхе", что не выполнять закон опасно – хотя и не обязательно. Кроме того, полезным было бы рассмотреть вообще ПОДХОД к обеспечению ИБ – может, в нем все дело-то? Как отдельную проблему рассмотреть целесообразность отказа от подхода, когда ИБ регулируют госорганы изданием всяких нормативных и подзаконных актов, которые "причесывают" все компании одной гребенкой. Невозможно разработать подзаконный или нормативный акт, который подходил бы всем! Может, перейти к подходу, в основе которого лежат основополагающие законы, а конкретные решения по ИБ принимает руководитель самостоятельно, сам оценивая риски и устанавливая для себя остаточные риски, и разрабатывает мероприятия по приведению уровня рисков к допустимому? А может, ситуация такая, что проще отдельные риски застраховать (например, конфликты по персональным данным), а не строить систему защиты, которую навязывают регуляторы? Это напоминает ситуацию, когда из Центра указывали председателям колхозов в Сибири, что сажать, когда окучивать и когда приступать к уборке урожая... Складывается впечатление, что регуляторы больше пекутся об исполнении ими навязанных указаний, нежели о реальном обеспечении ИБ в отдельно взятой компании. Таким образом инициатива принятия решений и поле для их принятия ограничено колючей проволокой регуляторов. Выходит, что "правильный" руководитель компании при организации ИБ должен лишь неукоснительно выполнить навязанные рекомендации и ему не обязательно при этом строить эффективную систему ИБ. Именно эффективную, удовлетворяющую задачи и соответствующую бизнес-целям компании. Может, целесообразно в рыночной экономике отдать вопросы обеспечения ИБ руководителям компаний, а не регуляторам? На мой взгляд, это — интересная тема. |
О конференции | Программа | Партнеры | Организаторы & Календарь событий | Медиапартнеры | Архив 2008 | Участники | Обсуждаем программу | Итоги FinSec'2009 | Архив 2009 | Новости |
© ООО "Гротек", 2008-2009 |
|
(495) 609-3231 (многоканальный) По вопросам участия: Сурина Ирина (доб. 2100), Surina@groteck.ru и Карцева Юлия (доб. 2117), Kartseva@groteck.ru По вопросам партнерства: Рохмистрова Наталья (доб. 2155), Rohmistrova@groteck.ru |