Пресса о страховании, страховых компаниях и страховом рынке

ComNews.ru, 4 июля 2023 г.

ИБ должна стремиться к бизнесу

126 просмотров

Минцифры разработало методику определения недопустимых событий в сфере информационной безопасности и начало ее тестирование. Частью данной методики станет находящийся в стадии разработки перечень недопустимых событий, в том числе ориентированный на отдельные отрасли.

«Вообще любые риски в информационной безопасности должны быть исключены. Но все-таки, например, для руководителя крупной компании должно быть драматически важно, что он гарантировано исключит наиболее значимые риски. Такие события называются недопустимыми. Разработана методика определения таких событий. И сейчас мы занимаемся пилотной апробацией применения этой методики и учета ее результатов при построении систем информационной безопасности», - заявил заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов в интервью «РИА Новости». Минцифры также, как сообщил заместитель руководителя ведомства, работает как над общим перечнем недопустимых событий, так и относящимся к отдельным отраслям.

Руководитель направления автоматизации информационной безопасности ПАО «Группа Позитив» (Positvie Technologies) Михаил Стюгин, выступая на конференции «Информационная безопасность: от процесса к результату», свел результативную кибербезопасность к вычленению ключевых рисков и недопустимых событий из действительно сложной и необъятной общей карты. Он привел данные, полученные в ходе опроса участников конференции ЦИПР 2023, согласно которым 71% респондентов заявили, что могут определить такие недопустимые события для компаний, которые представляют, тогда как годом раньше их количество не превышало половины.

Основным препятствием для внедрения такого подхода, как отметил директор по консалтингу ООО «РТК-Солар» Роман Чаплыгин, является то, что ИБ-специалисты в компаниях очень редко воспринимают себя как бизнес-функцию. Также он поделился таким личным наблюдением: «Из более чем 3000 российских руководителей ИБ-подразделений бизнес-образование, например MBA, есть не более чем у 10 человек. Однако и бизнес, как отметил Роман Чаплыгин, тоже склонен видеть картину в черно-белых тонах, но она намного сложнее».

По оценке Романа Чаплыгина, для практически полного исключения неприемлемых для бизнеса инцидентов в российских условиях необходимо инвестировать в развитие корпоративной ИБ 1-1,5% от общего оборота компании в течение трех лет. Эти расчеты, как он особо отметил, относятся к крупным компаниям и не слишком зависят от отраслевой специфики. Однако, как подчеркнул эксперт, реальный уровень таких инвестиций заметно ниже.

Руководитель отдела по развитию продуктов InfoWatch ARMA Алексей Петухов дал прогноз, что ИТ- и ИБ-службы в российских компаниях будут подчиняться дирекциям по цифровой трансформации. По его оценке, главным препятствием для построения киберустойчивых информационных систем в последнее время стало непонимание интересов бизнеса со стороны руководителей ИБ-подразделений, тогда как раньше основным препятствием была недооценка ИБ-рисков со стороны бизнеса, и подчинение ИТ- и ИБ-дирекциям по цифровой трансформации данный дисбаланс устраняет.

Управляющий директор Газпромбанка Артем Калашников обратил внимание, что бизнес может самостоятельно определить неприемлемые риски, но уже вычислить безопасный их порог, как правило, вызывает сложности, часто непреодолимые, особенно если речь идет о рисках, связанных с ИБ. Роман Чаплыгин, однако, заявил, что это не всегда нужно и не является препятствием для работы. Прежде всего, по его мнению, ИБ должна участвовать в обеспечении непрерывности бизнеса, что руководству компании хорошо понятно.

Алексей Петухов согласился, что уровень бизнес-образования у российских ИБ-специалистов и руководителей низок и бизнесу необходимо его повышать. Артем Калашников посоветовал для начала изучить основы финансового менеджмента или хотя бы учета. Ключевым навыком ИБ-руководителя, как он подчеркнул, должно стать умение рассчитать затраты и соотносить их с возможностями компании.

Также, по оценке Алексея Петухова, мешает диалогу ИТ, ИБ и бизнеса недостаточный уровень цифровой зрелости компаний. Поэтому, по его мнению, необходимо добиваться простых и понятных, при этом легко измеряемых результатов, в том числе побочных, - например, оптимизации использования оборудования после внедрения той или иной системы. «Надо показывать, что ИБ позволяет приносить деньги, а не только соответствовать нормам регуляторов», - призвал Алексей Петухов. Также, по его оценке, со временем стоит ожидать, что и ИТ-, и ИБ-подразделения будут организационно подчиняться дирекции цифровой трансформации, что позволит устранить целый комплекс проблем взаимодействия функциональных служб с бизнесом.

Михаил Стюгин возлагает большие надежды на широкое внедрение программ страхования киберрисков. Тем более что уже появляются инициативы ввести аналог ОСАГО в сфере страхования ущерба от кибератак и утечек данных. «Создание рынка страхования от киберугроз в России - важная инициатива, которая может существенно улучшить кибербезопасность в стране. Подобно тому, как ОСАГО обеспечивает финансовую защиту автомобилистов в случае ДТП, страхование от киберугроз будет обеспечивать защиту компаний в случае кибератак и утечек данных», - считает заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин.

Яков ШПУНТ

В материале упоминаются: Компании, организации: Совет Федерации Федерального Собрания РФ 2632

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »