Вячеслав Максимов, заместитель генерального директора компании «Андэк», возглавил направление по оптимизации процессов управления информационной безопасностью, в рамках которого оказываются услуги по приведению информационных систем и бизнес-процессов в соответствие требованиям законодательства и стандартов в области ИБ (152-ФЗ, 161-ФЗ, PCI DSS, СТО БР ИББС, ISO 27001, BS 25777, BS 25999 и др.). Его ключевая задача — повышение операционной и стратегической эффективности направления, развитие портфеля услуг, расширение экспертизы сотрудников.
Особое внимание будет уделено наиболее актуальной на настоящий момент тематике — оказанию услуг по реализации требований по защите информации в национальной платежной системе и приведению информационных систем и бизнес-процессов в соответствие изменяющимся требованиям законодательства в области защиты персональных данных. Уже несколько месяцев в Российской Федерации ведутся работы по изменению подхода к определению требований по защите персональных данных, что влечет также изменение Стандарта Банка России по обеспечению ИБ. Не так давно вышел Федеральный закон №161-ФЗ «О национальной платежной системе», было утверждено «Положение о защите информации в платежной системе» (ПП РФ №584), а в конце мая Банк России предложил для рассмотрения проекты документов по защите информации в национальной платежной системе.
В связи с изменением требований Вячеслав Максимов отметил: «Новые правила и требования по защите информации, определяемые законодательством и регуляторами, накладывают новую ответственность на организации в целом, и подразделения ИБ в частности, и помочь справиться с этой ответственностью — задача направления по оптимизации процессов управления ИБ».
Время обеспечения безопасности «для галочки» уже прошло. На текущий момент бизнес готов ставить конкретные цели и задачи подразделениям ИБ. В частности, это обусловлено тем, что в соответствии с частями 12 и 15 статьи 9 ФЗ «О национальной платежной системе», с 1 января 2013 года банки будут обязаны возмещать клиентам денежные средства, утерянные в результате мошеннических операций.
«Поэтому подразделения ИБ и топ-менеджмент должны научиться говорить на одном языке, и крайне важно определить наиболее адекватные метрики оценки эффективности системы обеспечения ИБ и их целевые показатели», — подчеркнул Вячеслав Максимов.
Он рассказал также, что выбранные и реализованные защитные меры должны снижать конкретные актуальные риски безопасности бизнеса до приемлемого уровня, поддерживая непрерывность ключевой деятельности, целостность бизнес-процессов и защищая интересы бизнеса.
«В этом свете становится очевидной неэффективность защитных мер, основанных исключительно на установке «коробочных» решений. Средства защиты информации — лишь инструмент, используемый в процессе обеспечения безопасности. Так, например, внедрение систем класса SIEM не должно ограничиваться лишь установкой и настройкой программно-аппаратного комплекса. Не менее важно определить актуальные угрозы ИБ, «научить» систему выявлять соответствующие инциденты, построить процессы мониторинга событий ИБ, реагирования на инциденты ИБ, обучить администраторов и операторов системы, довести правила ИБ до пользователей информационных систем», — считает Вячеслав Максимов.