Выступлением с докладом "Как соответствовать и чему?" на секции "Управление информационной безопасностью" на XV Международной выставке ITSEC – Информационная безопасность России / InfoSecurity Russia 2018 закрыл сезон публичных выступлений в 2018 году. На декабрь запланированы выступления только на закрытых мероприятиях.
Участие в секции оставило странное впечатление. Зал был очень активен, но практически все вопросы касались защиты информации, были намеки на обеспечение ИБ. Но никого не интересовало управление ИБ. Картина не новая, с активным проявлением подобного мировозрения у специалистов ИБ столкнулся еще в 2014, при создании отдела СУИБ. Жаль, но за 4 года ничего не поменялось. На мой взгляд, причина такого "тупика мышления" в отсутствии широкого кругозора на работу организации. Возьмем "соответствие требованиям законодательства". По сравнению с налоговыми органами, с рейдерством и банками, регуляторы в области защиты информации - просто милые ягнята. Пугать директора штрафами КоАП при попытке поднять значимость службы ИБ в организации? Получите делегирование ответственности и ничего более, сами штраф и будете платить. Если бизнес созрел к созданию систему управления ИБ, то он уже накопил огромный опыт по противодействию надзорным органам государства и атакам конкурентов, рейдеров и криминала. Будете продолжать считать, что ИБ это эксклюзивная область деятельность в организации, так и будет служба ИБ оставаться на уровне подразделений охраны труда, качества и т.д, с финансированием по остаточному принципу и отсутствием влияния на процесс принятия руководящих решений. Это означает, что задачи ИБ уже в организации решаются (ИТ, юристы, кадры, бухгалтерия, экономическая безопасность) и руководитель ИБ должен стремится стать единой точкой входа для руководства и обеспечить системный подход к управлению ИБ, об этом говорили и другие докладчики на секции. Для того, что бы разговаривать с бизнесом на одном языке, мало изучить все основные процессы в организации. Необходимо понять реализованную логику мер по налоговой и финансовой оптимизации, мер по предотвращению рейдерского захвата и т.д.
Только тогда найдутся общие точки для взаимопонимания бизнеса и ИБ.
Публиковался я в каждом номере журнала за этот год (часть материалов перекликается с заметками в блоге, но часть в блоге не публиковалась):
http://itsec.ru/articles2/byauthor/komarovvdit
Распределение откликов читателей журнала то же показательно. Драйвером для статьи по КИИ послужил ажиотаж вокруг 187-ФЗ, статья про риски для ИБ без соответствующих лицензий привлекла внимание скорее всего новизной темы. Аналогичные заметки в моем блоге особого обсуждения не вызвали. Сейчас А. Лукацкий попробовал привлечь внимание ИБ сообщества к этой проблеме . А вот тема аудита ИБ интереса у читателей профильного журнала не вызвала, хотя без него невозможно управление ИБ (см. выше).
А перед этим принял участие в международной рабочей встрече, посвященной проблематике трансграничного обмена информации между членами ассоциаций из разных стран. (Вена, Австрия).
Вступление в силу GDPR оказала серьезное влияние на уже сложившиеся процессы обмена информации. Было очень интересное обсуждение с DPO из нескольких стран ЕС, а так же изучить опыт Белоруссии и Украины. Я в своем докладе сосредоточился на текущей ситуации с трансграничной передачей ПДн по 152-ФЗ и ограничениям по международному обмену информацией для субъектов КИИ по 187-ФЗ. Отдельно обсуждались перспективы гармонизации законодательства РФ и ЕС.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
