Учебный центр Информзащита -> Новости

Обсуждение важных и интересных вопросов на круглых столах Infosecurity Russia 2007

Учебный центр «Информзащита» успешно организовал и провел мероприятия для специалистов в области информационной безопасности на ежегодной выставке по информационной безопасности - Infosecurity Russia 2007, которая проходила в Москве 26-28 сентября.

В рамках деловой программы прошло два круглых стола на темы: «Бюджет на информационную безопасность: какие расходы на персонал включить?» и «Расследование инцидентов в сфере информационной безопасности: какой опыт лучше - свой или чужой?».

В рамках Круглого стола, посвященного вопросам распределения бюджета на информационную безопасность, ведущим которого выступила Зоя Попова, Директор Учебного центра «Информзащита», обсуждались следующие вопросы: почему экономия на кадрах влияет на результативность комплекса мер по обеспечению безопасности; сколько стоит компании профессионализм специалистов и осведомленность сотрудников по вопросам информационной безопасности (ИБ), лояльность персонала и удержание грамотных кадров; достаточно ли включения в бюджет, выделяемый на обеспечение ИБ, лишь расходов на повышение квалификации специалистов и пр.

Для многих компаний бюджет на обучение – наиболее болезненный вопрос, и его положительное решение в большинстве случаев зависит от понимания руководством важности и необходимости работы с кадрами. В настоящее время в бюджеты компаний закладываются не только расходы на обучение и подготовку специалистов к работе со средствами защиты, но и средства на повышение осведомленности сотрудников компаний по вопросам ИБ. В общей сложности, во многих российских компаниях на подготовку специалистов по вопросам ИБ выделяется несколько процентов от всего бюджета на обеспечение информационной безопасности.

Несколько иная ситуация наблюдается за рубежом. Так, в 2006 году на обучение и персонал компании потратили более 41% бюджета, выделенного на обеспечение информационной безопасности, больше, чем в 2005 году приблизительно на 5% (по данным исследования компании IDC “2006 Global Information Security Workforce Study”). Следует отметить, что и статей расходов больше: не только внутреннее и внешнее обучение информационной безопасности, но и привлечение, наем, удержание квалифицированных профессионалов в области ИБ, необходимых для реализации задач, определенных стратегией безопасности компании и достижения поставленных бизнес-целей.

Логическим заключением дискуссии стали слова З.Поповой: «Роль подготовленности кадров к решению вопросов обеспечения ИБ и соблюдения норм безопасности возрастает по мере усложнения информационных технологий и систем, обеспечивающих их безопасность. Поэтому работа с персоналом в этом направлении должна вестись последовательно и планомерно и обеспечиваться выделением соответствующих бюджетов».

В круглом столе приняли участие представители международных консалтинговых компаний, кадровых агентств; отечественных компаний, предоставляющих услуги в области информационной безопасности, таких как Ernst & Young, "Агентство Контакт", Positive Technologies; Digital Security.

Большой интерес вызвал круглый стол «Расследование инцидентов в сфере информационной безопасности: какой опыт лучше - свой или чужой?» в силу того, что данная тема раскрывает одну из важных проблем для предприятий государственного и частного секторов и затрагивающую как крупный, так и средний, и малый бизнес. Информацию об инцидентах в компьютерной сфере в нашей стране не принято раскрывать общественности, в то же время, специалистам в области безопасности приходится и предотвращать, и расследовать инциденты.

Участники круглого стола – ведущий Игорь Собецкий, заведующий лабораторией реагирования на компьютерные инциденты и противодействия мошенничеству в сфере высоких технологий Учебного центра "Информзащита", Александр Иванов, представитель Бюро специальных технических мероприятий МВД России, Ховард Шмидт (Howard Schmidt), член Совета директоров (ISC)2, бывший советник Администрации Президента США по кибербезопасности – обсудили следующие вопросы: какие рекомендации можно дать организациям, пострадавшим в результате инцидента; каковы мотивы противоправных действий нарушителей; могут ли быть легализованы и использованы в судебном процессе доказательства, полученные частными специалистами; существуют ли эффективные механизмы страхования информационных рисков.

В российских условиях от сотрудников, профессионально занимающихся расследованием инцидентов, требуется гораздо более разносторонняя подготовка, предполагающая, в том числе, выполнение работ по аудиту информационных систем и сбору первичных данных, которые в США возлагаются на ИБ-специалистов компаний. В США подготовка кадров в области безопасности (в том числе, для негосударственных компаний) поставлена на государственный уровень и на нее выделяются значительные бюджетные средства. Неотъемлемой частью такой подготовки является обязательное обучение методологии расследования инцидентов.

В результате оживленной дискуссии участникам удалось прийти к следующим выводам: зарубежный опыт расследования инцидентов представляет интерес для российских специалистов, но применим в наших условиях со значительными ограничениями в силу существенных различий нормативно-правовой базы двух государств. Следует отметить, что для эффективной работы по расследованию инцидентов необходимо своевременно обращаться в органы государственной власти для эффективной защиты интересов бизнеса.

Учебный центр "Информзащита" четвертый год является партнером деловой программы Infosecurity Russia, инициатором и организатором мероприятий для специалистов в области информационной безопасности. В этом году более 150 специалистов собрали круглые столы, организованные Учебным центром.

Учебный центр "Информзащита" выражает благодарность всем участникам выставки-конференции, посетившим и принявшим активное участие в мероприятиях центра.