8 октября в Москве состоялась четвертая межотраслевая конференция АБИСС, посвященная регуляторике в сфере информационной безопасности. РАД КОП, будучи членом ассоциации, вновь выступила одним из соорганизаторов мероприятия и представила экспертов, способных раскрыть самые важные темы отрасли. В этом году наши специалисты поделились опытом и видением развития информационной безопасности в двух ключевых сессиях.
Владимир Алферов, руководитель направления безопасности приложений РАД КОП, модерировал сессию «Разработка безопасного ПО», где управляющие и технические специалисты обсудили лучшие практики внедрения безопасных разработок и актуальные нормативные требования.
Александр Осипов, руководитель направления комплаенса и методологии, выступил с докладом в сессии «Информационная безопасность финансовых организаций», где рассказал о том, как превратить функцию информационной безопасности из статьи расходов в фактор добавленной бизнес-ценности.
После мероприятия мы обсудили с Владимиром и Александром ключевые моменты и сформулировали практические рекомендации для руководителей и экспертов.
Трансформация ИБ — императив, а не бюрократия
Владимир подчеркнул, что новые требования регуляторов, например ФСТЭК, формируют не просто дополнительную нагрузку, а задают вектор развития зрелых, четко структурированных процессов безопасности. Это — возможность избавиться от «ручного», реактивного управления и перейти к проактивному и системному подходу.
Ключевая мысль: люди — главный актив любой системы безопасности. Без инвестиций в обучение, формирование культуры и понимания корпоративных целей никакие технологии и процессы не будут работать эффективно.
Технологии же превращаются в мощный рычаг управления — практики DevSecOps, автоматизация метрик, интеграция процессов разработки и безопасности становятся обязательными, чтобы не терять скорости и качества.
Как понять, что безопасная разработка действительно эффективна?
Одна из дискуссий вызвала живой интерес: насколько целесообразен запуск запуск Bug Bounty (премия за обнаруженные ошибки в ПО) на ранних этапах внедрения безопасной разработки? Владимир отметил, что «место» Bug Bounty есть, но только при наличии достаточно зрелой внутренней культуры и процессов безопасности. Иначе есть риск получить лавину низкокачественных уязвимостей, что только демотивирует команду и отвлекает ресурсы.
Первым шагом должно стать внедрение инструментов статического анализа кода (SAST), формирование культуры быстрого реагирования и профилактики, а лишь потом — приглашение внешних исследователей и хакеров. В некоторых случаях имеет смысл даже формировать закрытые списки проверенных специалистов для оценки безопасности.
Системный подход «Люди-Процессы-Технологии» — обязательство, а не тренд
Александр Осипов отметил, что большое количество компаний до сих пор находится на низком уровне зрелости. Их команды тонут в рутине, не видят связи между операциями и стратегией, не способны эффективно управлять изменениями.
Системный подход дает возможность разработать прозрачную дорожную карту развития информационной безопасности. Основа — регулярное вовлечение всех заинтересованных лиц и баланс между бизнес-целями и техническими решениями.
Это подход, который помогает строить управляемую, масштабируемую систему защиты, позволяющую быстро адаптироваться к изменениям и сохранять контроль над рисками.
Новые регуляторные требования — что поменяется?
На конференции подробно обсудили изменения в ГОСТ 57580.1 и 57580.2, предъявляющие более строгие требования к мерам защиты информации и оценке их эффективности. Формально выполнять установленные Банком России меры стало сложнее — потребуется более продуманный и зрелый подход к их реализации.
Также прозвучали детали скорого вступления в силу нового Приказа ФСТЭК 117, который расширяет обязанности по защите государственных информационных систем и затрагивает организации, взаимодействующие через систему межведомственного электронного взаимодействия (СМЭВ).
Основные ошибки при реализации и практические рекомендации
Типичные проблемы связаны с реактивным подходом — «тушением пожаров» вместо системного управления безопасностью и отсутствием реальных планов развития, согласованных с бизнес-целями. Это приводит к стагнации и снижению эффективности ИБ в организации.
Что делать:
- Подходить к реализации мер системно, с четким планированием и вовлечением всей команды;
- Формулировать релевантные и измеримые цели, ориентированные на снижение рисков, а не просто выполнение формальных требований;
- Инвестировать в обучение и поддержку культуры безопасности;
- Акцентировать внимание на прозрачности и бизнес-ценности безопасности.
Конференция АБИСС подтвердила, что информационная безопасность — это не только технические решения, но и комплексное управление, формирование организационной культуры и подготовка специалистов. В RAD COP мы последовательно реализуем именно такой системный подход — «Люди-Процессы-Технологии» — который позволяет нашим клиентам повышать киберустойчивость и создавать конкурентные преимущества.
Для тех, кто хочет ознакомиться с полными докладами, доступны материалы сессий:
- Внедрение РБПО в соответствии с новым Приказом ФСТЭК №117 — презентация Екатерины Башариной (Swordfish Security)
- Обучение специалистов на реальных задачах — презентация Виталия Насонова (СИГМА)
- Построение DevSecOps в финансовой организации — презентация Александра Васина (МКБ)>
- Превращение безопасности в измеримый продукт — презентация Дениса Султанова (БКС)
- Системный подход к ИБ в финансовом секторе — презентация Александра Осипова (RAD COP)
Видеозапись выступлений и дискуссий планируется опубликовать в течение двух недель. Следите за новостями.
Если нужна помощь с внедрением системного подхода и подготовкой команды — специалисты РАД КОП готовы оказать профессиональную поддержку и консультации.
