18.11.2008

Закончился межотраслевой форум директоров по ИБ

Вчера я выложил свою презентацию с межотраслевого форума директоров по ИБ. Сейчас дошли руки и до общих впечатлений. Надо сказать, что первый день мероприятия удался; надеюсь второй тоже не подкачает.

Из интересных докладов могу отметить Курило А.П., который сказал, что внедрение Базель II в России и до кризиса было под вопросом, а теперь и подавно. Несмотря на внедренные практики управления рисками, мировая банковская система ничего не смогла противопоставить финансовому коллапсу. Г-жа Волчинская как обычно дала обзор законодательства по ИБ выпущенного в последнее время и того, что планируется сделать. Про это я написал уже на bankir.ru (тут и тут). Дима Костров из МТС приводил интересные слайды про обоснование инвестиций в ИБ (вплоть до расчета ROI). Представитель ФСТЭК не сказал ничего нового (такое впечатление, что они читают доклады по одной и той же бумажке). Как всегда самое интересное было в вопросах и ответах. Интересная точка зрения была высказана Велигурой из АРБ. Он говорит количественная оценка рисков - это все фигня и никому не нужно. Типа любого специалиста с точки зрения рисков интересует только ответ "да" или "нет" и все. Хотя при чем тут тогда риск, если у вас всего два значения 0 и 1 (риск либо есть, либо нет) не совсем понятно? На вопрос из зала про связь рисков с Business Impact Analysis так никто внятно и не ответил. А на вопрос Галины Большовой из ИнформКурьерСвязи, почему АРБ не может разработать методику оценки стоимости ущерба хотя бы для банков, представитель АРБ только развел руками. Вот вкратце и все из интересного. Не на всех секциях я смог присутствовать - не было меня на персданных. А там было что-то интересное ;-) Были представители ФСБ и его завалили вопросами (на час больше запланированного). Кто был, может расскажете?

Хочется заметить, что последние мероприятия по ИБ становятся более качественными. Всего за год с моей критической заметки ситуация меняется коренным образом. Появляется пул докладчиков, которым не только есть, что сказать, но они еще и могут это сказать красиво ;-) Организаторы поняли, что слушателям неинтересно внимать рекламе вендоров - гораздо полезнее узнать что-то новое из уст таких же как и они практиков. Поэтому руководителей и сотрудников служб ИБ среди выступающих становится все больше и больше. И это правильно.

ЗЫ. Презентации с форума обещали выложить в течении недели-двух.

8 коммент.:

Анонимный комментирует...

Презентаций с форума наверное не будет...

Михаил Т. комментирует...

Форум действительно оставил много положительных впечатлений. Прояснилась и позиция ЦБ по оценки рисков, как уже написал Алексей. И про работу законотворческого органа стало чуть больше понятно. Насчет сертификации УК "Металлоинсест" по ISO 27001, докладчик рассказал, что толчек дал финансовый аудит PwC, далее он резюмировал, что "процессы в которых участвует мое подразделение стали более эффективны". Странно, что многие это восприняли как "не знаю зачем нам этот ISO". Более того, когда это заблуждение высказал Тимур из ИнтерФакса, господин начальник службы ИБ УК "Металлоинвест" порывался взять микрофон и возразить, как я полагаю. Но ведущий форума этот порыв просто не заметил ))). В кулуарах представитель BSI заметил, что Металлоинвест не за пару месяцев подготовился к аудиту, а работа эта велась длительное время..
Представитель ФСТЭК воплощал собой живой пример отсутствия обратной связи регулятора и оконечных "жертв" их работы, в прочем как всегда.

Анонимный комментирует...

Алексей, добрый день!

Относительно сертификации ISO 27001 Вы выкинули фразу из контекста.

Я сказал, что в рамках подготовки холдинга к IPO аудиторам PwC был задан вопрос относительно целесообразности сертификации с позиции ее восприятия потенциальным инвестором. Был получен ответ, что восприниматься будет очень хорошо, т.к. будет являться подтверждением выстроенности процессов ИБ в части подготовки финансовой отчетности и возможно это отразится на капитализации.

Дополнительные плюсы сертификации с точки зрения внутренних процессов также были озвучены.

P.S. Еще раз подчеркну, что речь идет именно о сертификации, а не о внедрении СУИБ в целом.

С уважением,
Евгений Климов

Алексей Лукацкий комментирует...

Я же написал, что презентации выложат, как и всегда делает infor-media на всех своих мероприятиях.

Алексей Лукацкий комментирует...

михаилу т.: Насчет "Металлоинвеста" я не соглашусь. На конкретный вопрос "что это дало?", лично я хотел бы услышать что-то более конкретное, чем просто "процессы стали эффективнее". Для этого не надо тратить кучу денег на сертификацию. А вот про конкретные улучшеные показатели Евгений не сказал - потому и недоверие возникло.

Евгению Климову: Евгений, вот если я вам скажу, что аттестация системы во ФСТЭК это хорошо, вы же не пойдете аттестовывать все свои системы ;-) Просто "хорошо" наверное мало кого интересует. Интересно "насколько хорошо". Т.е. конкретные измеримые показатели того, что стало "хорошо". Вот PwC сказал, что сертификация возможно отразится на капитализации. Замечательно. МТТ когда-то тоже говорил про 10%-е увеличение капитализации после сертификации. У вас наблюдается рост капитализации?

Я не против ISO 27001. Я просто хочу понять, что конкретно меняется в компаниях после его внедрения и сертификации. Не общие слова, а именно конкретные показатели. Ведь вы как-то выполняете п.4.2.3c

Анонимный комментирует...

Алексей, я еще раз подчеркну, что речь идет о сертификации :) И был задан конкретный вопрос - что дала именно сертификация.

В моем понимании - внедрение СУИБ и ее сертификация вещи раздельные.
Внедрение и поддержка СУИБ - построение, поддержка и повышение эффективности процессов обеспечения информационной безопасности критичных активов компании.
Сертификация - независимое подтверждение качества вышеуказанных процессов.

Любая независимая оценка качества процессов выстроенных внутри компании в основном нужна для:
1) Руководства/владельцев компании (извечный вопрос доверия :) в противном случае не создавались бы сплошь и рядом подразделения внутреннего аудита, подчиняющиеся первым лицам или совету директоров);
2) Внешних заинтересованных сторон (чаще всего инвесторы, рассматривающие вопрос целесообразности инвестирования средств в компанию).

С позиции инвестора явная демонстрация уделения внимания вопросам информационной безопасности будет воспринята в любом случае позитивно, а отразится это на стоимости акций при первичном размещении или нет сказать нельзя, т.к. нет возможности для проведения эксперимента, т.к. все компании разные. Одно можно сказать точно, инвестиционные банкиры смотрят на отчет уважаемых финансовых аудиторов, а последние в свою очередь включили проверку состояния ИБ в свою методологию, следовательно это имеет значение. Отмечу, что мы сертифицировали область подготовки финансовой отчетности, т.е. ту область на основании которой принимаются решения, как руководством компании, так и инвесторами.

Как я понимаю Вы хотите/хотели услышать о результатах внедрения СУИБ в компании, проблемах при ее внедрении, порядке ее внедрения, показателях эффективности процессов ИБ и т.п. К вопросу и к теме выступления это не относилось, поэтому Вы и участники конференции ничего этого и не услышали. При встрече с удовольствием обсужу указанные вопросы с коллегами :)

Касаемо ФСТЭК:) Если Вы мне скажете, что это хорошо и вдобавок аргументировано объясните какие value в результате получит компания, то данный вопрос можно проработать. На текущий момент, целесообразности не вижу.

Кстати, не такая уж сертификация и дорогая. В разы дешевле многих систем от уважаемой компании CISCO :)

P.S. На самом деле, хочется, чтобы из Вашего поста исчез оттенок дебильности ответа представителя компании Металлоинвест, потому что это неправда. Ответ звучал по другому и возможности по его дополнительному комментированию ввиду отсутствия времени предоставлено не было. Вы же, неоднократно находясь рядом в кулуарах, не уточнили правильно ли Вы меня поняли. :)

Евгений Климов

Алексей Лукацкий комментирует...

Евгению Климову: Хорошо Евгений, я понял вашу позицию.

Прошу прощения, если мой пост вызвал негативную реакцию.

Анонимный комментирует...

Алексей, спасибо!

С уважением,
Евгений Климов