Практика и риски информационная безопасность.
Сочетаются ли эти понятия? Можно ли оценивать риски в нашей области и не лукавят ли вендора, интеграторы и консультация, к месту и не к месту вплетая слово «риски» в свои питчи, выступления и презентации? Не подменяют ли они понятия – «риски» и «угрозы», которые так похожи? Можно ли вообще измерять риски в ИБ или это не более чем очередной элемент булшит-бинго, наряду с «искусственным интеллектом», «блокчейном», «threat intelligence», «SOC» и т.п.? И если можно, то как?
Модератор — Алексей Лукацкий, бизнес-консультант по безопасности Cisco
Вопросы для обсуждения:
- Как оценивать ущерб от реализации рисков, если мы не знаем стоимости информационных активов?
- Можно ли применять теорию вероятностей к анализу рисков?
- Как оценивать стоимость информационного актива в условиях ее динамического изменения?
- ФСТЭК считает, что в России риск-ориентированный подход не работает, а Банк России выпускает нормативку по управлению рисками ИБ? Кто из регуляторов прав и как подход ЦБ работает на практике?
- Как уйти от качественной оценки рисков (низкий/средний/высокий уровень) к их количественному измерению (если вообще это возможно)?
- Возможно ли все-таки выстроить реально работающую систему управления рисками ИБ на предприятии или это так и останется элементов булшит-бинго?
УЧАСТНИКИ:
- Денис Горчаков, директор департамента развития ИБ, ПАО «Ростелеком»
- Константин Коротнев, Data Protection Leader, PwC Russia
- Евгений Волошин, директор блока экспертных Сервисов, BI.ZONE
- Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)
- Андрей Ерин, директор департамента собственной безопасности, Carcade, Группа Газпромбанк Лизинг
- Александр Луганцев, начальник отдела информационной безопасности, АО ВТБ Специализированный депозитарий
- Лев Палей, начальник Службы информационной безопасности АО «СО ЕЭС»
