4-я Практическая онлайн конференция

"Информационная безопасность: взгляд изнутри компании"

      

10-11 февраля 2021г. провели 4-ю ежегодную конференцию "Информационная безопасность: взгляд изнутри компании"  в формате онлайн. 

  • Данная конференция достаточно молодая. Первый раз проводили ее в 2018г. Решение о проведении такого мероприятия было принято после того, как участники наших мероприятий пожаловались, что на конференциях по информационной безопасности выступают только рекламодатели, нет возможности пообщаться с коллегами для обмена опытом и лучшими практиками. На конференции выступили только практики, работающие внутри компании и отвечающие за самые разные аспекты информационной безопасности. Реклама от продавцов программных обеспечений отсутствовала.

  • По итогам голосования на 1-й конференции было принято решение провести 2-ю
    конференцию в следующем году.
    В качестве спикеров пригласили специалистов по ИБ, сотрудников СЭБ, внутреннего аудита и контроля, которые проверяют и аудируют процессы ИБ. Помимо корпоративных угроз и уязвимостей обсуждали вопросы об обеспечении личной информационной безопасности. Некоторые коллеги поделились опытом анализа
    информационных потоков для вычисления «внутреннего злоумышленника».

  • На 3-ю конференцию приглашали только практиков, которые занимаются обеспечением ИБ в компании, а также проверяют и аудируют процессы в системе ИБ.
    Организовывали круглые столы. У участников была отличная возможность задавать вопросы экспертам и находить ответы на интересующие их вопросы. На мастер-классах под руководством опытных экспертов участники разбирали практические кейсы, разрабатывали план действий и рекомендации по минимизации потерь от угроз и недопущению этих угроз в будущем.

  • 4-я конференция была особенной. В связи с ухудшением эпидемиологической ситуации в стране она прошла в онлайн формате. Спикеры выступали и отвечали на вопросы слушателей на круглых столах в интерактивном режиме. Были организованы мастер-классы: разбирали практические вопросы по проведению расследований инцидентов ИБ, обсуждали варианты решений и давали практические рекомендации.

В мероприятии принимали участие специалисты, отвечающие за обеспечение информационной безопасности внутри компании, специалисты экономической безопасности, внутреннего аудита и контроля. Это была уникальная возможность ознакомиться с особенностями и приемами построения системы обеспечения ИБ, основными и критическими угрозами, организации в компании внутреннего контроля и  аудита ИБ и другими важными вопросами обеспечения ИБ в организации.

Выступали на конференции докладчики, работающие в отделах информационной безопасности,  сотрудники контролирующих служб крупных и средних компаний.

Ключевые темы докладов:

  • Практический опыт внедрения системы информационной безопасности, советы и особенности аудита.

  • Практические кейсы: выявление недостатков, реализация рисков, реагирование, план действий и рекомендации.

  • Средства мониторинга состояния информационной безопасности компании и оценки угроз;

  • Проведение расследований с использованием информации, полученной от систем информационной безопасности. 

  • Внедрение обработки инцидентов информационной безопасности.

  • Как защищать современную информацию. Каналы вывода информации и меры их контроля и противодействия. Защита персональных данных.

  • Аудит функции информационной безопасности. Аудит продаж и маркетинга.

  • Анализ движения криптовалют: возможна ли деанонимизация.

  • Статистический анализ данных.

.

Конференция была полезной для сотрудников служб безопасности и внутренних аудиторов, которые хотят глубже понять и узнать о системе ИБ, современных угрозах, способах защиты; а также для специалистов ИБ для обмена опытом с коллегами.

Участники конференции получили электронные сертификаты международного образца с начислением CPE часов (непрерывное профессиональное образование).

 

НАШИ СПИКЕРЫ

Аксенов.jpg

Дмитрий Аксенов

Специалист по информационной безопасности и консультант в области законодательства по ПДн в  ЗАО «ФармФирма «Сотекс

Мастер-класс "Организация защиты персональных данных Компании"

 

  • Любая российская компания обязана организовать защиту обрабатываемых персональных данных.

  • Но с этим есть свои сложности: требования законодательства в области персональных данных и регуляторов, которые иногда очень расплывчатые,  на рынке очень мало практикующих специалистов, а подрядные организации в ряде случаев не могут предоставить должные решения за адекватную стоимость.

  • Как обеспечить решение этих и других проблем в ходе мастер – класса, Вам расскажет Дмитрий Аксенов - специалист по информационной безопасности и консультант в области законодательства по ПДн в  ЗАО «ФармФирма «Сотекс».

  • В ходе него рассмотрим основной порядок организации мероприятий по защите персональных данных клиентов и персонала в средней российской Компании. Выясним вопросы, на которые обращает внимание Роскомнадзор при проведении проверок и установим критерии по отбору подрядных организаций по проведению аудита и других работ. Раскроем и другие нюансы реализации требований законодательства РФ в области ПДн на практике.

Белов.jpg

Станислав Белов

Менеджер управления внутреннего аудита, Сбербанк.

Безболезненный аудит кибербезопасности внешних ресурсов компании.

  • Аудит Кибербезопасности веб-сервисов организации.

  • Выявление уязвимых компонентов для атак «OWASP TOP-10».

  • Решение на базе бесплатных инструментов.

  • Пассивный анализ веб-компонентов без влияния на бизнес.

  • Использование международных Баз данных об уязвимостях совместно с Базой данных угроз безопасности информации ФСТЭК России.

 

Фото Брянцев.png

Павел Брянцев

Вице-президент по безопасности и внутреннему аудиту компании Глория Джинс.

Цифровизация безопасности и внутреннего аудита.

  • Существующие инструменты цифровизации.

  • Анализ деловых партнеров.

  • GRC.

  • Платформа по исполнению автоматизированных контрольных процедур.

  • Кибербезопасность (опционально).

 

10. Грунтов фото.jpg

Антон Грунтов

Директор по безопасности группы компаний Eqvanta.

Практический опыт обеспечения защиты цифровых активов Компании в период неопределенности и шоковой оптимизации. Почему в результате мы стали еще более защищены и успешны.

В 2020 году Мир столкнулся с новым вызовом – Covid-19. В ситуации пандемии и связанным с ней режимом lockdown был брошен вызов всем без исключения бизнес структурам, а для целых отраслей экономики главной целью стало - выживание. В этих условиях все столкнулись с оптимизацией, которая для многих проходила в шоковом режиме, а для кого-то была заключительной стадией их бизнеса. Вместе с тем, многолетний опыт Eqvanta по вынужденной оптимизации всех без исключения направлений бизнеса, включая информационную безопасность, особенно пригодился в период неопределенности. Когда возникла необходимость в краткий период отказаться в той или иной степени от практически всех затрат, было важно не снизить, а наоборот помочь бизнесу набрать обороты при этом усилив уровень защиты информационных систем, используя уже значительно меньшие ресурсы. В результате поставленная цель командой была достигнута, что положительно повлияло в дальнейшем на значительный рост экономических показателей Компании и, как следствие, на перспективное развитие подразделения информационной безопасности. Историей успеха с вами поделится директор по безопасности группы компаний Eqvanta Грунтов Антон.

 

Гусляев фото.jpeg

Георгий Гусляев

Начальник управления защиты информационных ресурсов, ЧТПЗ.

Автоматизация процессов обеспечения безопасности бизнеса.

  • Бизнес-процессы находящиеся в зоне ответственности службы.

  • Бизнес-процесс управление экономической безопасностью.

  • Управление событиями и инцидентами экономической безопасности.

  • Проведение расследований. Money Loss Prevention (DLP).

  • Выявление отклонений в бизнес-процессах. Антифрод.

  • Противодействие распространению контрафактной продукции.

  • Проверка контрагентов.

  • Бизнес-процесс управление информационной безопасностью.

  • Управление информационными активами.

  • Бизнес-процесс управление событиями и инцидентами информационной безопасности.

  • Бизнес-процесс управление уязвимостями.

  • Бизнес-процесс управление доступом.

  • Бизнес-процесс эксплуатация средств обеспечения информационной безопасности.

  • Бизнес-процесс управление физической безопасностью и режимом

  • Бизнес-процесс организация и контроль пропускного и внутриобъектового режима.

  • Бизнес-процесс управления событиями и инцидентами физической безопасности и режима.

 

Иванов.png

Дмитрий Иванов

Партнер CounterForceGroup

Информационная безопасность – защита и нападение
Дмитрий Иванов, партнер CounterForceGroup, расскажет о корпоративной контрразведке.
• Как организуются управляемые атаки на бизнес? Частные и государственные агрессоры.
• Какие подходы доминируют в программах корпоративной контрразведки западных корпораций? С какими трудностями сталкивается крупный бизнес при консолидации усилий смежных отделов и департаментов, отвечающих за сохранность информации?
• Переходим от защиты к нападению – от honeypots к искусству манипулирования агрессором.
• Небольшой пример из практики.
Интересующимся предлагается предварительно ознакомиться с презентацией по теме доклада (на английском языке): http://www.backgroundscreeninginrussia.com/wp-content/uploads/2019/01/Corporate-Security-Program-Assessment.pdf
 

 

Фото 2 Мартынов.jpg

Сергей Мартынов

Президент российского отделения ACFE

Особенности аудита информационной безопасности в эпоху Big Data
Большие данные, как современная среда обработки информации, обладают особенностями, которые радикально меняют привычные методики исследования и оценки информационной безопасности. Образно говоря, теперь вместо того, чтобы выявить утечку капающей из крана воды и заменить в нём прокладку, нам придётся думать о том, как жить в целом океане этой воды и не быть смытыми сильными течениями и штормами. Современный специалист по инфобезопасности всё меньше похож на сантехника с набором прокладок, он теперь скорее лоцман в океане захлестывающей корабль бизнеса информации. Обсудим, как и что принципиально изменилось в теории информации и информационной безопасности.

 

Пастоев.jpg

Алексей Пастоев

Сертифицированный специалист по безопасности информационных систем.

Как аудитору оценить качество корпоративной нормативной базы по ИБ?

  • Зачем нужны корпоративные нормативные документа по ИБ?

  • Критерии оценки нормативной базы ИБ.

  • Оценка достаточности нормативной базы ИБ.

  • Оценка организации нормативной базы ИБ.

  • Оценка ясности изложения.

  • Оценка своевременности обновления.

 

Рысин.webp

Сергей Рысин

Главный специалист по технической защите Департамента специальных проектов Хедхантер.

Практический опыт по построению SOC (Security Operations Center). 

  • Строим свой SOC. Что он может дать любой компании.                                                       

  • SOC как инструмент расследований кибер инцидентов.

 

Лаврентьев.jpg

Иван Лаврентьев

Ведущий эксперт Департамента финансовых технологий Центрального Банка России.

Анализ финансового потока в сети Bitcoin Кластеризация кошельков обменных операций.

 

Черноусов.jpg

Илья Черноусов

Студент Кафедры информационной безопасности ДВФУ.

Анализ финансового потока в сети Bitcoin Кластеризация кошельков обменных операций.

 

Сальников фото_edited.jpg

Андрей Сальников

Независимый эксперт по информационной безопасности.

Анализ движения криптовалют: возможна ли деанонимизация.

 

Рысин.webp

Сергей Рысин

Главный специалист по технической защите Департамента специальных проектов Хедхантер.

Мастер-класс "Ваш бизнес успешно атаковали! Что делать?"

  • Все российские компании сталкиваются с проблемой защиты от хакерских атак, направленных на саботаж (блокирование путем шифрования) информационных ресурсов. Успешные атаки несут неизбежные расходы, в ряде случаев – огромные. Как избежать подобных негативных сценариев, в ходе мастер – класса расскажет Сергей Рысин.

 

природа

Аркадий Грановский

Главный специалист специальных проектов Хедхантер.

Мастер-класс "Ваш бизнес успешно атаковали! Что делать?"

  • Все российские компании сталкиваются с проблемой защиты от хакерских атак, направленных на саботаж (блокирование путем шифрования) информационных ресурсов. Успешные атаки несут неизбежные расходы, в ряде случаев – огромные. Как избежать подобных негативных сценариев, в ходе мастер – класса расскажет Сергей Рысин.

 

ОТЗЫВЫ

"Исключительно полезное мероприятие, на котором рассматриваются как конкретные вопросы практической реализации процедур внутреннего контроля, так и тенденции и перспективы их дальнейшего развития".

Анатолий Килячков

Замечательная конференция! Спасибо большое организаторам за приглашение, докладчикам - за интересные выступления, участникам – за неожиданные вопросы!)) Все спикеры – молодцы! С одной стороны, опытные и мудрые профессионалы, с другой - молодые и энергичные специалисты. Два мира, два лагеря. Но когда дошло до общего дела, они объединились и стали отличной командой! Каждый из них выложился на все 100. Все доклады -  грамотные, четкие, структурированные. Их подача – живая, смелая, эмоциональная. Для меня многие вещи были сложными для понимания. О некоторых я впервые слышала. Но старательно слушала и пыталась вникнуть. Получается, конференция открыла мне новые границы понимания!)) И это здорово!)) Еще раз огромное спасибо всем!)) 

Лариса Пасяева

Огромное благодарность организаторам мероприятия за возможность принять участие в Конференции. Мероприятие прошло на должном уровне, было очень содержательным, насыщенным событиями, предложениями и обсуждениями!

Сергей Мосяженко

Большое спасибо! В первый раз на таком мероприятии Всё понравилось.
Технически было бы здорово(если эта платформа позволяет) - если можно было бы ставить лайк на вопросы других участников. Так спикеры могут понимать, насколько заданный вопрос актуален для остальной аудитории.

Илья Самсонов