Выставки, семинары, конференции | Анонсы |
Круглый стол "Затраты на информационную безопасность. Много? Мало? Сколько надо?"
Дата проведения:
23 ноября 2012
Тип мероприятия: Круглый стол
Место проведения: Москва, Марриотт Грандъ-Отель
Организатор: Журнал "ИКС"
Сайт мероприятия
Рубрики: ИТ
Цель круглого стола «ИКС» – выявить в дискуссии особенности современного этапа информационной безопасности с точки зрения ее влияния на бизнес, агрегировать опыт оценки эффективности существующей или планируемой корпоративной системы ИБ и достигаемого при этом эффекта; определить угрозы ИБ, на которые следует в первую очередь обратить внимание, а также "матрицы" ИБ-эффективности для компаний разных отраслей и различного размера.
Партнеры круглого стола
Анонс.
«ИКС» приглашает к дискуссии:
Модератор круглого стола - Михаил Емельянников, консалтинговое агентство «Емельянников, Попова и партнеры».
«ИКС» предлагает обсудить:
- У информационной безопасности сложился стойкий имидж источника затрат, не связанных с интересами бизнеса, к тому же приводящих к заметному усложнению работы и созданию помех тем, кто зарабатываем деньги для компании. Связано это с тем, что исторически бизнес и ИБ в России развивались в разных «системах координат». Как перевести на язык бизнеса терминологию безопасности (криптография, межсетевые экраны, антивирусы, резервное копирование и восстановление данных, защита от DDoS-атак и др.) и нужно ли это делать? Как доказать бизнес-выгоду ИБ? В какие проекты ИБ бизнес готов инвестировать в первую очередь и есть ли смысл искать прямую финансовую выгоду в проектах по ИБ? Какова роль ИБ-образования персонала всей компании?
- В обосновании затрат на ИБ существует два основных подхода – методический и практический. В первом случае используются методики и показатели эффективности (используются показатели ТСО, BCP, ROI и др.), во втором оценка делается без детальных расчетов на основе best practice (стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС). От каких факторов зависит выбор подхода (степень зрелости организации, отраслевая принадлежность, др.)? В чем преимущества и недостатки каждого из них?
- Нередко даже в случае утверждения бюджета на ИБ-проект «неожиданно» возникает необходимость в существенных дополнительных трудозатратах, которые изначально не планировались и на которые нет ресурсов. Почему это происходит (ошибки в планировании проекта, не учтены «скрытые» расходы на услуги сторонних компаний и собственного персонала, неправильно выбрано решение или поставщик, др.) и что следует делать, чтобы проект был завершен? Какие расходы в области информационной безопасности часто недооценивают или вообще забывают про них? (дополнительные прямые финансовые затраты на продукты или услуги, дополнительный объем работы сотрудников, др.) Скрытые затраты: где «подводные камни»?
- Какие структурно-функциональные элементы автоматизированных систем наиболее уязвимы для внешних и внутренних угроз (рабочие станции, серверы или Host -машины, межсетевые мосты или центры коммутации, каналы связи)? Как обеспечить комплексное противодействие угрозам информационной системе со стороны внешней среды? Как конкретной компании оптимизировать затраты на средства защиты и правильно их выбрать применительно к своим условиям?
- Аудит существующей системы ИБ, разработка регламентов и политик безопасности, проектирование комплексной защиты от внешних угроз и защита отдельных сегментов, внедрение и настройка необходимого для защиты инструментария: когда имеет смысл решать эти вопросы собственными силами, когда - привлекать внешних консультантов? Как правильно оценить аутсортинговые услуги по сопровождению корпоративной системы защиты информации?
- Сегодня ИТ-угрозы находятся в состоянии перманентного изменения. В частности, в 2011 г. число мобильных уязвимостей выросло на 93% и мобильные вирусы впервые представили реальную угрозу для бизнеса. Какие новые требования в этой связи возникают к инфобезопасности предприятия? Можно ли вообще создать сегодня действительно эффективную систему ИБ?
- Анализ рисков ИБ – основа для построения системы ИБ, зафиксированная в международных (ISO)? американских и британских стандартах. Какие методы анализа рисков (качественная оценка рисков; количественная оценка рисков; методики и коммерческие программные продукты, в которых может быть реализована количественная либо качественная оценка рисков) наиболее часто используются в отечественных компаниях и почему? Существует ли тяготение по отраслевому признаку? Как правильно построить "модель нарушителя" и «модель угроз», в которых отражаются его практические и теоретические возможности, априорные знания, время и место действия и др. характеристики?
По вопросам спонсорского и делегатского участия обращаться:
Дмитрий Жаров
Тел.: +7 (495) 785-14-90, 502-50-80, 229-49-78
E-mail: dim@iksmedia.ru