Задачи у АРСИБ достаточно амбициозные:
- объединение руководителей ИБ;
- выражение консолидированного мнения и позиций профессионалов в области информационной безопасности;
- взаимодействие с регуляторами по вопросам информационной безопасности;
- воздействие на вопросы законодательного обеспечения ИБ;
- взаимодействие с профильными ассоциациями, такими как АЗИ, ABISS, RISSPA и др.;
- проведение тематических семинаров, тренингов, консультаций, в том числе узкоспециализированных по актуальным вопросам информационной безопасности;
- повышение уровня квалификации и компетенций специалистов и руководителей информационной безопасности;
- создание в интересах членов собственного центра информационной и сетевой безопасности (NSIC) и установление контактов с международными организациями (например: FIRST - Forum of Incident Response and Security Teams). За основу создания и определения полномочий принимаются подходы создания центров типа CSIRT\CERT;
- популяризация идей и профессий в области информационной безопасности.
Мне лично больше всего импонирует 8-я цель создания АРСИБ и я даже знаю, кто был ее инициатором ;-) Только вот в рамках АРСИБ это сделать будет невозможно. В курсе по управлению инцидентами я рассматриваю вопрос создания CSIRT (CERT - это чужая торговая марка). Там видно, что это, как правило, чисто затратное мероприятие, которое требует постоянного и немалого финансирования. На членские взносы это не сделаешь. Именно отсутствие финансирования не позволило реализоваться, как минимум, двум известным мне попыткам (за последние 10 лет) создать российскую группу реагирования на инциденты ИБ. И именно потребность в инвестициях стала основным мотивом вхождения Group-IB в Группу Лета. Популяризация идей и проведение мероприятий - тоже мероприятия не бесплатные (хотя RISSPA и удается проводить семинары бесплатно). Да и вообще клубная (именно клубная) деятельность - это всегда затраты.
Описание преимуществ членства тоже вызывает немало вопросов ;-( Как АРСИБ будет бороться с недобросовестными поставщиками услуг и вендорами? Как АРСИБ будет решать вопросы трудоустройства (и почему нельзя использовать существующую биржу труда по ИБ)? Как участие в АРСИБ поднимет статус руководителя службы ИБ внутри своего работодателя? Ну и т.д.
Вопросов больше чем ответов... Хотя было уже два собрания, на котором решались вопросы по созданию АРСИБ, на мой взгляд эта тема совершенно не проработана ;-( Кроме статусности (и то спорной) я почти не вижу смысла в появление АРСИБ ;-( По крайней мере сейчас. Если она будет похожа на СоДИТ (что можно предположить, исходя из изучения списка инициаторов создания АРСИБ), то может что-то дельное и родится. Но я как-то не верю уже в попытку создания чего-то, действительно помогающего руководителю ИБ. Может просто я скептик?
ЗЫ. О вступлении можно узнать по ссылке выше.
Алексей, Ваш скепсис вполне разделяю.Ну уж коль скоро активисты ИБ проявили обзабоченность ввсиде перечисления неких пунктов, то именно по нему сразу можно увидеть чего же этим профи ИБ не достает - именно п7:-)
ОтветитьУдалитьНа самом деле это не смешно - уровень убогости в основной массе этих наших "гуру" ИБ в понимании канонических задач ИБ поражает, не говоря уже о том, что они совсем плохо понимают, что ИТ стали давно мобильной средой уже на конвергентном транспорте (UMTS/LTE, Wi-Fi, WiMax) со своими инкапсулированными в инфраструктуру атрибутами безопасности.
По п3 - пару слов в защиту ФСБ как регулятора, если вы способны внятно сформулировать задачу и подход к решения ее, то там народ вполне адекватен и идет на нормальное сотрудничество на пользу делу. Примером вполне может служить активность нашего крипто-сообщества по "интернационализации" ГОСТов - RFC, PKCS и пр.
Что касается прочих с претензией на курирование ИБ в родном отечестве, то их роль весьма дискуссионна, а на законодателей не обижайтесь - сами виноваты, что они столь невежественны в предметной части - ликбез там нужен. Ау, Алексей, там реально нужно лечить "экспертов", не то нам потом будет очень накладно избавляться от последствий их законотворчества...
Возвращаясь к идее АРСИБ - пустое это все, очередная бесплодная тусовка, от мнения которой ничего не зависит. Даже схемы типа TK (см, например, TC26.ru) и то идут со скрипом...
А вообще как говорят "флаг в руки":-)
Benevolent