Александр Моисеев, ведущий консультант по ИБ AKTIV.CОNSULTING, на мастер-классе «Стандарты по информационной безопасности» рассказал про внедрение требований двух новых стандартов для организаций финансовой отрасли — по управлению рисками реализации информационных угроз (ГОСТ Р 57580.3) и обеспечению операционной надежности (ГОСТ Р 57580.4).
Александр Моисеев
Ведущий консультант по ИБ AKTIV.CОNSULTING
Одна из ключевых проблем, которая возникает при выполнении требований ГОСТов — низкая фактическая вовлеченность топ-менеджмента в процессы управления рисками информационных угроз и обеспечения операционной надежности, что требует от них действующая регуляторика», — отметил Александр Моисеев. «Для преодоления этой проблемы необходимо соблюсти несколько условий: обеспечение ситуационной осведомленности менеджмента, адаптация программ security awareness, выход на открытый диалог с бизнесом и донесение информации о рисках ИБ на понятном ему языке. При этом важно внедрять изменения, руководствуясь проектным подходом, предварительно сформировав картину целевого состояния «как должно быть» по требованиям ЦБ РФ и «как может быть» в наших текущих реалиях.
Анастасия Харыбина, руководитель AKTIV.CОNSULTING и председатель Ассоциации АБИСС провела секцию «Аудит информационной безопасности», на которой участники обсудили существующие проблемы и концепцию совершенствования системы обязательного внешнего аудита ИБ в финансовых организациях.
Анастасия Харыбина
Руководитель AKTIV.CОNSULTING и председатель Ассоциации АБИСС
Внешний аудит информационной безопасности должен стать инструментом обеспечения операционной надежности, а значит необходимо контролировать качество и сопоставимость его результатов. При этом нужно понимать, что при сегодняшних темпах развития, количество обязательных аудитов будет увеличиваться. Все это требует разработки стандартов, регулирующих данную сферу, а также создание системы добровольной сертификации для аудиторских компаний.