Вячеслав Максимов займется оптимизацией процессов управления ИБ "Андэк"
Заместитель гендиректора компании "Андэк" Вячеслав Максимов возглавил направление по оптимизации процессов управления информационной безопасностью, в рамках которого оказываются услуги по приведению информационных систем и бизнес-процессов в соответствие требованиям законодательства и стандартов в области ИБ (152-ФЗ, 161-ФЗ, PCI DSS, СТО БР ИББС, ISO 27001, BS 25777, BS 25999 и другие). Его ключевая задача - повышение операционной и стратегической эффективности направления, развитие портфеля услуг, расширение экспертизы сотрудников.
Особое внимание в его работе будет уделено оказанию услуг по реализации требований по защите информации в национальной платежной системе и приведению информационных систем и бизнес-процессов в соответствие изменяющимся требованиям законодательства в области защиты персональных данных. Уже несколько месяцев в России ведутся работы по изменению подхода к определению требований по защите персональных данных, что влечет также изменение стандарта Банка России по обеспечению ИБ.
"Новые правила и требования по защите информации, определяемые законодательством и регуляторами, накладывают новую ответственность на организации в целом, и подразделения ИБ в частности, и помочь справиться с этой ответственностью - задача направления по оптимизации процессов управления ИБ, - отметил Вячеслав Максимов. - Время обеспечения безопасности "для галочки" уже прошло. На текущий момент бизнес готов ставить конкретные цели и задачи подразделениям ИБ. В частности, это обусловлено тем, что в соответствии с частями 12 и 15 статьи 9 ФЗ "О национальной платежной системе", с 1 января 2013 года банки будут обязаны возмещать клиентам денежные средства, утерянные в результате мошеннических операций. Поэтому подразделения ИБ и топ-менеджмент должны научиться говорить на одном языке, и крайне важно определить наиболее адекватные метрики оценки эффективности системы обеспечения ИБ и их целевые показатели".
Вячеслав Максимов рассказал также, что выбранные и реализованные защитные меры должны снижать конкретные актуальные риски безопасности бизнеса до приемлемого уровня, поддерживая непрерывность ключевой деятельности, целостность бизнес-процессов и защищая интересы бизнеса.
"В этом свете становится очевидной неэффективность защитных мер, основанных исключительно на установке "коробочных" решений. Средства защиты информации - лишь инструмент, используемый в процессе обеспечения безопасности. Так, например, внедрение систем класса SIEM не должно ограничиваться лишь установкой и настройкой программно-аппаратного комплекса. Не менее важно определить актуальные угрозы ИБ, "научить" систему выявлять соответствующие инциденты, построить процессы мониторинга событий ИБ, реагирования на инциденты ИБ, обучить администраторов и операторов системы, довести правила ИБ до пользователей информационных систем", - добавил он.
© @Astera
