Практика управления рисками кибербезопасности

Практика и риски информационная безопасность.

Сочетаются ли эти понятия? Можно ли оценивать риски в нашей области и не лукавят ли вендора, интеграторы и консультация, к месту и не к месту вплетая слово «риски» в свои питчи, выступления и презентации? Не подменяют ли они понятия – «риски» и «угрозы», которые так похожи? Можно ли вообще измерять риски в ИБ или это не более чем очередной элемент булшит-бинго, наряду с «искусственным интеллектом», «блокчейном», «threat intelligence», «SOC» и т.п.? И если можно, то как?

Модератор — Алексей Лукацкий, бизнес-консультант по безопасности Cisco

Вопросы для обсуждения:

  1. Как оценивать ущерб от реализации рисков, если мы не знаем стоимости информационных активов?
  2. Можно ли применять теорию вероятностей к анализу рисков?
  3. Как оценивать стоимость информационного актива в условиях ее динамического изменения?
  4. ФСТЭК считает, что в России риск-ориентированный подход не работает, а Банк России выпускает нормативку по управлению рисками ИБ? Кто из регуляторов прав и как подход ЦБ работает на практике?
  5. Как уйти от качественной оценки рисков (низкий/средний/высокий уровень) к их количественному измерению (если вообще это возможно)?
  6. Возможно ли все-таки выстроить реально работающую систему управления рисками ИБ на предприятии или это так и останется элементов булшит-бинго?

УЧАСТНИКИ:

  • Денис Горчаков, директор департамента развития ИБ, ПАО «Ростелеком»
  • Константин Коротнев, Data Protection Leader, PwC Russia
  • Евгений Волошин, директор блока экспертных Сервисов, BI.ZONE
  • Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)
  • Андрей Ерин, директор департамента собственной безопасности, Carcade, Группа Газпромбанк Лизинг
  • Александр Луганцев, начальник отдела информационной безопасности, АО ВТБ Специализированный депозитарий
  • Лев Палей, начальник Службы информационной безопасности АО «СО ЕЭС»

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.