среда, 11 июля 2012 г.

НП "АБИСС" - Практика применения Комплекса документов Банка России по обеспечению информационной безопасности

На днях наткнулся на исследование НП "АБИСС" по практике применения документов Комплекса БР ИББС в кредитных организациях. 
Исследование проведено в первом квартале 2012 года и основано на опросе 50 кредитных организаций различного масштаба и территориальной распределенности, что на мой взгляд не совсем репрезентативная выборка, учитывая общее количество кредитных организаций в РФ - могли бы и пошире копнуть =) 
Рис. 1. Выборка респондентов для исследования
Итак, в исследовании представлены результаты в разбивке по следующим направлениям: 
  • Бюджет и присоединение к Стандарту
  • Кадровый вопрос
  • Выполнение работы и планы по внедрению Стандарта
По первым двум разделам для меня наиболее интересными показались следующие результаты: 
  • 52% опрошенных высказались за обязательный статус Стандарта;
  • по сравнению с результатами предыдущих исследований количество кредитных организаций без выделенного подразделения ИБ сократилось с 30% до 2%;
  • 45 % банков имеют в штате как минимум одного сотрудника, прошедшего курсы по СТО БР ИББС;
  • основная проблема кредитных организаций при поиске специалистов по ИБ (38 % опрошенных) связана с низким уровнем предлагаемой заработной платы.
Интересные цифры получены по заработной плате сотрудников ИБ: 
Рис. 2. Заработная плана сотрудников ИБ кредитных организаций
По своему опыту могу сказать, что с одной стороны маленькие ЗП зачастую свойственны маленьким и средним кредитным организациям, а вот работа в крупном банке далеко не всегда гарантирует высокую ЗП. Кроме того, поскольку опрос проводился как по Москве, так и по регионам, то тут наверное надо учитывать значительно меньшие ЗП в регионах, где специалисты по ИБ по большей части получают ЗП менее 1000 $. 

В части выполнения работ по внедрению Стандарта (3-ая часть) в исследовании приведены следующие интересные и наверное закономерные результаты: 
  • только 6 % опрошенных ни разу не проводили оценку соответствия Стандарту;
  • в 70 % оценка соответствия проведена собственными силами (самооценка), столько же организаций планируют продолжать эту работу своими силами;
  • 52 % не планируют привлекать консультантов к дальнейшим работам по внедрению стандарта;
  • 42 % организаций на текущий момент ни разу не проводили анализ рисков ИБ. 
В части планов по продолжению работ по внедрению Стандарта в исследовании получены следующие результаты: 
Рис. 3. Планы по проведению работ
С самим исследованием можно ознакомиться тут.

Комментариев нет:

Отправить комментарий