Я уже не раз
писал о попытках объединить безопасников в некое сообщество, которые заканчивались ничем. Одним из немногих исключений является
RISSPA, которая продолжает жить и здравствовать. Но вот на днях было
продекларировано создание АРСИБ - Ассоциации руководителей служб ИБ.
Задачи у АРСИБ достаточно амбициозные:
- объединение руководителей ИБ;
- выражение консолидированного мнения и позиций профессионалов в области информационной безопасности;
- взаимодействие с регуляторами по вопросам информационной безопасности;
- воздействие на вопросы законодательного обеспечения ИБ;
- взаимодействие с профильными ассоциациями, такими как АЗИ, ABISS, RISSPA и др.;
- проведение тематических семинаров, тренингов, консультаций, в том числе узкоспециализированных по актуальным вопросам информационной безопасности;
- повышение уровня квалификации и компетенций специалистов и руководителей информационной безопасности;
- создание в интересах членов собственного центра информационной и сетевой безопасности (NSIC) и установление контактов с международными организациями (например: FIRST - Forum of Incident Response and Security Teams). За основу создания и определения полномочий принимаются подходы создания центров типа CSIRT\CERT;
- популяризация идей и профессий в области информационной безопасности.
Я, если честно, скептически отношусь к этой затее по ряду причин. Во-первых, ничто не мешает руководителям служб ИБ и сейчас общаться между собой. В качестве площадки можно выбрать любую из существующих социальных сетей, предусматривающих закрытые дискуссионные группы (тот же LinkedIn, Facebook или даже "ВКонтакте.ру"). Во-вторых, консолидированного мнения у большого количества людей достичь сложно. Хотя положительные (но непубличные) примеры и тут есть. А главное, что несовсем понятно, куда это мнение транслировать. Как показывает опыт - общение с законодателями возможно организовать и по существующим каналам, а с регуляторами общаться практически бесполезно.
Мне лично больше всего импонирует 8-я цель создания АРСИБ и я даже знаю, кто был ее инициатором ;-) Только вот в рамках АРСИБ это сделать будет невозможно. В
курсе по управлению инцидентами я рассматриваю вопрос создания CSIRT (CERT - это чужая торговая марка). Там видно, что это, как правило, чисто затратное мероприятие, которое требует постоянного и немалого финансирования. На членские взносы это не сделаешь. Именно отсутствие финансирования не позволило реализоваться, как минимум, двум известным мне попыткам (за последние 10 лет) создать российскую группу реагирования на инциденты ИБ. И именно потребность в инвестициях стала основным мотивом
вхождения Group-IB в Группу Лета. Популяризация идей и проведение мероприятий - тоже мероприятия не бесплатные (хотя RISSPA и удается проводить семинары бесплатно). Да и вообще клубная (именно клубная) деятельность - это всегда затраты.
Описание преимуществ членства тоже вызывает немало вопросов ;-( Как АРСИБ будет бороться с недобросовестными поставщиками услуг и вендорами? Как АРСИБ будет решать вопросы трудоустройства (и почему нельзя использовать существующую
биржу труда по ИБ)? Как участие в АРСИБ поднимет статус руководителя службы ИБ внутри своего работодателя? Ну и т.д.
Вопросов больше чем ответов... Хотя было уже два собрания, на котором решались вопросы по созданию АРСИБ, на мой взгляд эта тема совершенно не проработана ;-( Кроме статусности (и то спорной) я почти не вижу смысла в появление АРСИБ ;-( По крайней мере сейчас. Если она будет похожа на СоДИТ (что можно предположить, исходя из изучения списка инициаторов создания АРСИБ), то может что-то дельное и родится. Но я как-то не верю уже в попытку создания чего-то, действительно помогающего руководителю ИБ. Может просто я скептик?
ЗЫ. О вступлении можно узнать по ссылке выше.