23.9.10

АРСИБ - новая ассоциация руководителей служб ИБ

Я уже не раз писал о попытках объединить безопасников в некое сообщество, которые заканчивались ничем. Одним из немногих исключений является RISSPA, которая продолжает жить и здравствовать. Но вот на днях было продекларировано создание АРСИБ - Ассоциации руководителей служб ИБ.

Задачи у АРСИБ достаточно амбициозные:
  1. объединение руководителей ИБ;
  2. выражение консолидированного мнения и позиций профессионалов в области информационной безопасности;
  3. взаимодействие с регуляторами по вопросам информационной безопасности;
  4. воздействие на вопросы законодательного обеспечения ИБ;
  5. взаимодействие с профильными ассоциациями, такими как АЗИ, ABISS, RISSPA и др.;
  6. проведение тематических семинаров, тренингов, консультаций, в том числе узкоспециализированных по актуальным вопросам информационной безопасности;
  7. повышение уровня квалификации и компетенций специалистов и руководителей информационной безопасности;
  8. создание в интересах членов собственного центра информационной и сетевой безопасности (NSIC) и установление контактов с международными организациями (например: FIRST - Forum of Incident Response and Security Teams). За основу создания и определения полномочий принимаются подходы создания центров типа CSIRT\CERT;
  9. популяризация идей и профессий в области информационной безопасности.
Я, если честно, скептически отношусь к этой затее по ряду причин. Во-первых, ничто не мешает руководителям служб ИБ и сейчас общаться между собой. В качестве площадки можно выбрать любую из существующих социальных сетей, предусматривающих закрытые дискуссионные группы (тот же LinkedIn, Facebook или даже "ВКонтакте.ру"). Во-вторых, консолидированного мнения у большого количества людей достичь сложно. Хотя положительные (но непубличные) примеры и тут есть. А главное, что несовсем понятно, куда это мнение транслировать. Как показывает опыт - общение с законодателями возможно организовать и по существующим каналам, а с регуляторами общаться практически бесполезно.

Мне лично больше всего импонирует 8-я цель создания АРСИБ и я даже знаю, кто был ее инициатором ;-) Только вот в рамках АРСИБ это сделать будет невозможно. В курсе по управлению инцидентами я рассматриваю вопрос создания CSIRT (CERT - это чужая торговая марка). Там видно, что это, как правило, чисто затратное мероприятие, которое требует постоянного и немалого финансирования. На членские взносы это не сделаешь. Именно отсутствие финансирования не позволило реализоваться, как минимум, двум известным мне попыткам (за последние 10 лет) создать российскую группу реагирования на инциденты ИБ. И именно потребность в инвестициях стала основным мотивом вхождения Group-IB в Группу Лета. Популяризация идей и проведение мероприятий - тоже мероприятия не бесплатные (хотя RISSPA и удается проводить семинары бесплатно). Да и вообще клубная (именно клубная) деятельность - это всегда затраты.

Описание преимуществ членства тоже вызывает немало вопросов ;-( Как АРСИБ будет бороться с недобросовестными поставщиками услуг и вендорами? Как АРСИБ будет решать вопросы трудоустройства (и почему нельзя использовать существующую биржу труда по ИБ)? Как участие в АРСИБ поднимет статус руководителя службы ИБ внутри своего работодателя? Ну и т.д.

Вопросов больше чем ответов... Хотя было уже два собрания, на котором решались вопросы по созданию АРСИБ, на мой взгляд эта тема совершенно не проработана ;-(  Кроме статусности (и то спорной) я почти не вижу смысла в появление АРСИБ ;-( По крайней мере сейчас. Если она будет похожа на СоДИТ (что можно предположить, исходя из изучения списка инициаторов создания АРСИБ), то может что-то дельное и родится. Но я как-то не верю уже в попытку создания чего-то, действительно помогающего руководителю ИБ. Может просто я скептик?

ЗЫ. О вступлении можно узнать по ссылке выше.

1 коммент.:

СВП комментирует...

Алексей, Ваш скепсис вполне разделяю.Ну уж коль скоро активисты ИБ проявили обзабоченность ввсиде перечисления неких пунктов, то именно по нему сразу можно увидеть чего же этим профи ИБ не достает - именно п7:-)

На самом деле это не смешно - уровень убогости в основной массе этих наших "гуру" ИБ в понимании канонических задач ИБ поражает, не говоря уже о том, что они совсем плохо понимают, что ИТ стали давно мобильной средой уже на конвергентном транспорте (UMTS/LTE, Wi-Fi, WiMax) со своими инкапсулированными в инфраструктуру атрибутами безопасности.

По п3 - пару слов в защиту ФСБ как регулятора, если вы способны внятно сформулировать задачу и подход к решения ее, то там народ вполне адекватен и идет на нормальное сотрудничество на пользу делу. Примером вполне может служить активность нашего крипто-сообщества по "интернационализации" ГОСТов - RFC, PKCS и пр.

Что касается прочих с претензией на курирование ИБ в родном отечестве, то их роль весьма дискуссионна, а на законодателей не обижайтесь - сами виноваты, что они столь невежественны в предметной части - ликбез там нужен. Ау, Алексей, там реально нужно лечить "экспертов", не то нам потом будет очень накладно избавляться от последствий их законотворчества...

Возвращаясь к идее АРСИБ - пустое это все, очередная бесплодная тусовка, от мнения которой ничего не зависит. Даже схемы типа TK (см, например, TC26.ru) и то идут со скрипом...

А вообще как говорят "флаг в руки":-)

Benevolent