PJSC Positvie Technologies 信息安全自动化主管 Mikhail

[tanjimajuha20]

“一般来说，信息安全方面的任何风险都应该被排除在外。但是，对于一家大公司的负责人来说，保证消除此类事件是非常重要的，这是一种不可接受的方法。俄罗斯联邦数字发展、通信和大众传播部副部长表示：“我们已经制定了确定此类事件的方法，现在我们正在对这种方法的应用进行试点测试，并在构建信息安全系统时考虑其结果。”亚历山大·肖伊托夫接受俄新社采访。据数字发展部副部长报告，该部还在制定一份不可接受事件和与个别行业相关事件的总体清单。

Styugin 在“信 厄瓜多尔 手机号码数据库 息安全：从过程到结果”会议上发表讲话，将有效的网络安全简化为从真正复杂且庞大的总体地图中隔离关键风险和不可接受的事件。他引用了 CIPR 2023 会议参与者调查中获得的数据，根据该数据，71% 的受访者表示，他们能够为自己所代表的公司识别出此类不可接受的事件，而一年前，这一数字还不到一半。

RTK-Solar LLC 咨询总监 Roman Chaplygin 指出，实施这种方法的主要障碍是，公司中的信息安全专家很少将自己视为业务职能部门。他还分享了以下个人观察：“在 3000 多名俄罗斯信息安全部门负责人中，只有不到 10 人接受过商业教育，例如 MBA。然而，正如罗曼·查普雷金 (Roman Chaplygin) 指出的那样，商业也倾向于看到这种情况。黑白照片，但情况要复杂得多。”

Roman Chaplygin表示，要几乎完全消除在俄罗斯条件下企业无法接受的事件，需要在三年内将公司总营业额的1-1.5%投资于企业信息安全的发展。正如他特别指出的那样，这些计算适用于大公司，并且不太依赖于行业具体情况。然而，正如专家强调的那样，此类投资的实际水平明显较低。

InfoWatch ARMA 产品开发部门负责人 Alexey Petukhov 预测，俄罗斯企业的 IT 和信息安全服务将向数字化转型理事会汇报。他认为，近期构建抗网络信息系统的主要障碍是信息安全部门负责人对商业利益缺乏了解，而此前的主要障碍是信息安全部门低估信息安全风险。数字化转型中业务部门的职责以及对 IT 和信息安全部门的隶属关系，这种不平衡现象得以消除。

俄罗斯天然气工业银行董事总经理Artem Kalashnikov指出，企业可以独立确定不可接受的风险，但计算其安全阈值通常会带来困难，而且往往是难以克服的，特别是在涉及与信息安全相关的风险时。然而，罗曼·卓别金表示，这并不总是必要的，也不会成为工作的障碍。首先，在他看来，信息安全应该涉及到确保业务连续性，这一点公司管理层也深有体会。

Alexey Petukhov 也认为，俄罗斯信息安全专家和管理人员的商业教育水平较低，企业需要提高水平。阿乔姆·卡拉什尼科夫建议首先学习财务管理或至少会计的基础知识。正如他所强调的那样，信息安全经理的关键技能应该是计算成本并将其与公司能力联系起来的能力。

此外，Alexey Petukhov 表示，企业数字化成熟度不足阻碍了 IT、信息安全和业务之间的对话。因此，他认为，有必要实现简单易懂、易于衡量的结果，包括副作用，例如在实施特定系统后优化设备的使用。 “我们需要证明信息安全可以让你赚钱，而不仅仅是遵守监管标准，”阿列克谢·佩图霍夫敦促道。此外，根据他的评估，随着时间的推移，我们应该期望 IT 和信息安全部门在组织上都隶属于数字化转型理事会，这将消除功能服务与业务交互中的一系列问题。

米哈伊尔·斯图金 (Mikhail Styugin) 对网络风险保险计划的广泛推出寄予厚望。此外，已经有举措在网络攻击和数据泄露造成的损害保险领域引入类似于强制汽车责任保险的举措。 “在俄罗斯建立网络保险市场是一项重要举措，可以显着改善该国的网络安全，就像强制汽车保险在发生事故时为驾车者提供财务保护一样，网络保险也将为公司提供保护。联邦委员会数字经济发展委员会副主席 Artem Sheikin 认为。