Rambler's Top100
Выставки, семинары, конференции Анонсы

Круглый стол "Затраты на информационную безопасность. Много? Мало? Сколько надо?"

Дата проведения: 23 ноября 2012
Тип мероприятия: Круглый стол
Место проведения: Москва, Марриотт Грандъ-Отель
Организатор: Журнал "ИКС"
Сайт мероприятия

Рубрики: ИТ

Цель круглого стола «ИКС» –  выявить в дискуссии особенности современного этапа информационной безопасности с точки зрения ее влияния на бизнес, агрегировать опыт оценки эффективности существующей или планируемой корпоративной системы ИБ и достигаемого при этом эффекта; определить угрозы ИБ, на которые следует в первую очередь обратить внимание, а также "матрицы" ИБ-эффективности для компаний разных отраслей и различного размера. 

Партнеры круглого стола

       


Анонс. Все компании периодически реализуют различные проекты в области информационной безопасности. Руководители ИТ-направлений (CIO) и служб информационной безопасности (CISO) планируют бюджеты, защищают их перед руководством. При этом все понимают, что ИБ – это, по сути, страховка от проблем и потерь, которые могут возникнуть у компании, если нет противодействия угрозам безопасности информации. Какой должна быть цена этой страховки и каковы критерии ее определения, как правильно обосновать затраты на информационную безопасность и как сформулировать понятные для бизнеса аргументы обоснования – эти вопросы обостряются в связи с растущим числом и многообразием угроз, а также возрастающими объемами утечек данных.


«ИКС» приглашает к дискуссии: компании разных рынков, являющиеся владельцами систем ИБ, планирующими их модернизацию или расширение; поставщиков решений для информационной безопасности, а также интеграторов и консультантов в области систем информационной безопасности.


Модератор круглого стола - Михаил Емельянников, консалтинговое агентство «Емельянников, Попова и партнеры».


«ИКС» предлагает обсудить:

  • У информационной безопасности сложился стойкий имидж источника затрат, не связанных с интересами бизнеса, к тому же приводящих к заметному усложнению работы и созданию помех тем, кто зарабатываем деньги для компании. Связано это с тем, что исторически бизнес и ИБ в России развивались в разных «системах координат». Как перевести на язык бизнеса терминологию безопасности (криптография, межсетевые экраны, антивирусы, резервное копирование и восстановление данных, защита от DDoS-атак и др.) и нужно ли это делать? Как доказать бизнес-выгоду ИБ? В какие проекты ИБ бизнес готов инвестировать в первую очередь и есть ли смысл искать прямую финансовую выгоду в проектах по ИБ? Какова роль ИБ-образования персонала всей компании?
  • В обосновании затрат на ИБ существует два основных подхода – методический и практический. В первом случае используются методики и показатели эффективности (используются показатели ТСО, BCP, ROI и др.), во втором оценка делается без детальных расчетов на основе best practice (стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС). От каких факторов зависит выбор подхода (степень зрелости организации, отраслевая принадлежность, др.)? В чем преимущества и недостатки каждого из них?
  • Нередко даже в случае утверждения бюджета на ИБ-проект «неожиданно» возникает необходимость в существенных дополнительных трудозатратах, которые изначально не планировались и на которые нет ресурсов. Почему это происходит (ошибки в планировании проекта, не учтены «скрытые» расходы на услуги сторонних компаний и собственного персонала, неправильно выбрано решение или поставщик, др.) и что следует делать, чтобы проект был завершен? Какие расходы в области информационной безопасности часто недооценивают или вообще забывают про них? (дополнительные прямые финансовые затраты на продукты или услуги, дополнительный объем работы сотрудников, др.) Скрытые затраты: где «подводные камни»?
  • Какие структурно-функциональные элементы автоматизированных систем наиболее уязвимы для внешних и внутренних угроз (рабочие станции, серверы или Host -машины, межсетевые мосты или центры коммутации, каналы связи)? Как обеспечить комплексное противодействие угрозам информационной системе со стороны внешней среды? Как конкретной компании оптимизировать затраты на средства защиты и правильно их выбрать применительно к своим условиям?
  • Аудит существующей системы ИБ, разработка регламентов и политик безопасности, проектирование комплексной защиты от внешних угроз и защита отдельных сегментов, внедрение и настройка необходимого для защиты инструментария: когда имеет смысл решать эти вопросы собственными силами, когда - привлекать внешних консультантов? Как правильно оценить аутсортинговые услуги по сопровождению корпоративной системы защиты информации?
  • Сегодня ИТ-угрозы находятся в состоянии перманентного изменения. В частности, в 2011 г. число мобильных уязвимостей выросло на 93% и мобильные вирусы впервые представили реальную угрозу для бизнеса. Какие новые требования в этой связи возникают к инфобезопасности предприятия? Можно ли вообще создать сегодня действительно эффективную систему ИБ?
  • Анализ рисков ИБ – основа для построения системы ИБ, зафиксированная в международных (ISO)? американских и британских стандартах. Какие методы анализа рисков (качественная оценка рисков; количественная оценка рисков; методики и коммерческие программные продукты, в которых может быть реализована количественная либо качественная оценка рисков) наиболее часто используются в отечественных компаниях и почему? Существует ли тяготение по отраслевому признаку? Как правильно построить "модель нарушителя" и «модель угроз», в которых отражаются его практические и теоретические возможности, априорные знания, время и место действия и др. характеристики?

По вопросам спонсорского и делегатского участия обращаться:

Дмитрий Жаров

Тел.: +7 (495) 785-14-90, 502-50-80, 229-49-78

E-mail: dim@iksmedia.ru