АРСИБ: цели глобальны, задачи локальны

Виктор Минин
председатель правления АРСИБ,
руководитель комитета по созданию системы сертификации

– Виктор Владимирович, зачем России еще одна ассоциация, если есть и комитет по ИБ в СоДИТе (с тем же руководителем, что и здесь), и RISSPA, и множество других объединений специалистов и руководителей в области ИБ?
– Все существующие ассоциации решают локальные задачи (ПДн, популяризация идей ИБ, повышение уровня знаний специалистов и т.д.), носят объединяющий локальный характер, в том числе и ИБ в СоДИТ. И несмотря на важность их деятельности, АРСИБ готова совместно работать с этими ассоциациями на общий результат, на благо безопасного информационного сообщества. Надо отметить, что АРСИБ создавалась совместно с СоДИТ, который стал ее соучредителем. В состав ассоциации также вошли представители некоммерческих партнерств операторов ПДн и специалистов ИБ. А ведь до недавнего времени в большой информационной стране не было единого органа, объединяющего специалистов, менеджеров, директоров ИБ и представителей общественности, властных структур и граждан, заинтересованных в обеспечении и усилении безопасности.

Но АРСИБ – не только объединяющий орган, но и коллективный центр по реагированию на инциденты ИБ. Бешеный темп развития информационных технологий и их усложнение приносят, с одной стороны, много удобств, с другой – много рисков. Рынок средств защиты не успевает за этой гонкой, чем, собственно, и пользуются злоумышленники. В одиночку сегодня эту проблему не решить.

АРСИБ – это центр консолидированного мнения, направленного на совершенство законодательства в области ИБ. Недостатки в этой сфере как в России, так и за рубежом создают условия для объединения усилий профессионалов по созданию стандартов и технических регламентов. Государство тоже это понимает, потому и появился закон о СРО.

Помимо этого, АРСИБ – это надежный источник актуальной информации, которому доверяют. В наше время любая информация живет всего 48 часов. И самое важное при этом – желание за короткий срок получить истинную информацию, которая поможет решить текущие проблемы.

Новая ассоциация предназначена стать единой базой знаний в сфере ИБ для специалистов в этой области, государственных структур и простых граждан.

– Основная цель ассоциации – защита интересов своих членов. Расскажите, пожалуйста, об интересах и о том, как их собирается защищать новое объединение. Нет ли здесь скрытого желания сформировать "профсоюз директоров ИБ"?
– Нет. Это назревшее пассионарное решение, которое вызвано развитием информационных технологий и проникновением их в нашу повседневную жизнь. Интересы – информированность об угрозах и решениях через накопление актуальной информации об инцидентах и формирование центра по реагированию. Это взаимодействие с государством и обществом через разработку предложений государственным органам по совершенствованию законодательной и нормативно-правовой базы в области ИБ, выработке государственной политики в области развития ИБ в России, содействие в разработке и внедрении национальных и отраслевых стандартов в области ИБ. Это формирование кадровой политики обеспеченности служб ИБ через работу с вузами, молодыми специалистами, кадровыми агентствами, создание внутренней информационной среды по обмену информацией по кадровому вопросу и поиску вакансий, создание школы молодого руководителя. Это создание отечественной системы обучения через формирование программ обучения, учебных планов с учетом текущего опыта работы специалистов ИБ, координация работ по повышению компетенций специалистов посредством взаимодействия с ведущими обучающими центрами страны, с профильными учебными заведениями. На данный момент мы сформировали комитеты по направлениям вышеназванных интересов руководителей служб ИБ, сформировали команду, которая продвигает эти интересы в жизнь.

– Задачи, прописанные в декларации, отражают специфику российского рынка ИБ и соответственно граничные условия деятельности директора по ИБ или сформулированы общо, чтобы привлечь в ассоциацию максимальное количество директоров ИБ?
– Конечно, отражают специфику ИБ-сообщества. Кому, как не нам – руководителям подразделений ИБ, – знать наши наболевшие проблемы и кому, как не нам, решать их сообща. Надо отметить, что в формировании наших целей и задач, о которых мы заявили, участвовало сообщество экспертов из различных отраслей экономики. Кроме того, большинство из них взялись за выполнение и реализацию этих задач. Да, цели поставлены грандиозные, и мы будем стремиться их реализовывать. У топ-менеджмента есть тезис: "Думай глобально, делай локально". Я бы в нашем случае перефразировал его так: "Цели глобальны, задачи локальны". А членство – это одна из задач по достижению амбициозных целей. Ассоциация строится по таким принципам, что любому директору будет полезно, а главное – выгодно вступить в нее. Уверен, через сильное и адекватно реагирующее на реалии жизни ИБ-сообщество уровень информационной безопасности государства и граждан будет расти.

– Основными задачами ассоциаций потребителей во всем мире являются создание общенациональных требований к поставщикам продукции/услуг и ведение черных/белых списков поставщиков. Ваша ассоциация такой задачи не ставит. Рынок не дорос или боязно испортить отношения с основными игроками рынка?
– Мы ставим задачу ознакомить с лучшими практиками и решениями, а также с клиенто-ориентированными компаниями. А негативные компании не смогут конкурировать с позитивными, которые рекомендует АРСИБ. Рынок только формируется, поэтому рекомендация АР-СИБ будет значимой, так как она будет отражать и уровень компетенции, и уровень зрелости, и уровень правильности применимых решений, согласованных с регуляторами. Создание национальных требований к поставщикам – не основная задача ассоциации, но актуальна и будет реализована в рамках работы и взаимодействия Комитета по экспертизам и Комитета по сервисам и услугам ИБ.

– Среди выгод членства в ассоциации – получение консультаций по вопросам ИБ, поиск специалистов и содействие карьерному росту членов ассоциации. Не превратится ли при такой постановке вопроса ассоциация в очередной "малый бизнес аппарата" в ущерб общим интересам членов?
– Нет, не превратится! Уверенность основана на явных факторах, лежащих на поверхности работы АРСИБ и отраженных в документах и структуре ассоциации. Во-первых, в Управление выдвинуты профессионалы, которые не дадут ассоциации "испортиться". Во-вторых, существует комитет по этике, который призван сформировать единый Кодекс этических норм руководителя ИБ, в том числе и члена АРСИБ, и который впоследствии будет отслеживать соответствие и давать оценку, в том числе и публичную. В-третьих, в структуре ассоциации предусмотрен контрольно-ревизионный орган – ревизионная комиссия, которая и призвана следить за деятельностью руководящего аппарата и которая напрямую не подотчетна правлению, а подотчетна только конференции АРСИБ, как высшему руководящему органу ассоциации.

Работа ассоциации построена так, чтобы обеспечить прозрачность во всех гранях действий АРСИБ.

Комментарий эксперта

Дмитрий Терентьев

исполнительный директор АРСИБ, член правления, руководитель комитета по кадровой политике

Работая ранее руководителем службы ИБ крупного регионального холдинга, я, как и многие мои коллеги в регионах, столкнулся с кадровым вакуумом, с проблемой обмена опытом из-за специфики работы и удаленности, с невозможностью быстро получать в достаточном объеме надежную и адекватную информацию об угрозах, процедурах минимизации рисков именно в тот момент, когда она нужна. Поэтому считаю, что появление ассоциации особенно важно для региональных директоров ИБ. Предпосылки для совместной и продуктивной работы и дальнейшего развития ИБ-сообщества существуют – нужно просто закатать рукава.

Комментарий эксперта

Евгений Мальцев

член правления регионального отделения по Москве АРСИБ, руководитель ИБ-службы ООО "Миле СНГ'

Я пришел в ассоциацию, чтобы на примере построения информационной безопасности в Германии постараться построить и у нас прозрачность требований и решений.

Все существующие ассоциации рассматривают специализированные грани общей сферой ИБ, которая ставится перед обществом и государством. А гуманитарные аспекты информационной безопасности вообще исследуются практически в инициативном порядке отдельными авторами и их никто не поднимает. АРСИБ поднимает этот вопрос.

АРСИБ должна стать объединяющим центром между регуляторами, законодателями, бизнесом, специалистами и гражданами.

Комментарий эксперта

Михаил Левашов

член правления АРСИБ, к.ф.-м.н., директор по методологии "Инфосекьюрити Сервис"

До сего дня не хватало объединяющего общества (союза), которое в режиме on-line могло оказать помощь и поддержку при решении весьма разнообразных и неожиданных практических задач. АРСИБ взяла на себя, в частности, и эту весьма важную функцию. Кроме того, ассоциация – это очень хорошая площадка для решения и оказания помощи в решении конкретных задач.

Для меня ассоциация – это возможность обсудить со специалистами, быстро и грамотно решить конкретные актуальные задачи обеспечения ИБ, получить и оказать другим реальную помощь и поддержку. В этом смысле появление ассоциации трудно переоценить.

Комментарий эксперта

Дмитрий Костров

член правления АРСИБ, директор по проектам ОАО "МТС"

Интерес участия в профессиональной ассоциации вызван большей возможностью обмениваться опытом со специалистами информационной безопасности, реально работающими "в полях". Работа в рамках сообщества – создание различных документов и помощь в создании собственных (корпоративных) SOC на рынке России – позволит реально повысить уровень защищенности не только отдельных продвинутых компаний, но и рынка в общем. Создание собственного центра безопасности CSIRT с базой знаний по решению вопросов кибербезопасности поможет ассоциации занять достойное место среди профессиональных сообществ.