Сквозь кипы стандартов к реальной безопасности. Управление информационной безопасностью
Авторы Наши партнёры Наши проекты: IT WorldIT-WeeklyIT Contact
IT-Manager Allcio Manager
Вход
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Сквозь кипы стандартов к реальной безопасности

Лента новостейБезопасностьУправление ИБ

Сквозь кипы стандартов к реальной безопасности

Илья Борисов | 02.11.2017

Послушайте!

Ведь, если звезды зажигают —

значит — это кому-нибудь нужно?

Значит — кто-то хочет, чтобы они были?

В. Маяковский         

Как вы думаете, какой вопрос должен задать менеджер по информационной безопасности, устраиваясь на работу и беседуя с руководителем компании? Лично для меня он очевиден: «Зачем вам нужен менеджер по ИБ?»

И честно признаюсь, меньше всего мне бы хотелось услышать, что в качестве основной цели предполагается осуществление контроля за выполнением требований регуляторов и подготовка организации к разного рода аудитам и проверкам. Дело не в том, что «бумажная» безопасность скучна и неинтересна, дело в том, что регулирования стало в буквальном смысле слишком много.

Бумаги и стандарты

Кажется, что за последние пару десятилетий разработчики стандартов устроили соревнование на наибольшее количество страниц, так или иначе регулирующих различные аспекты информационной безопасности. В результате компании буквально задыхаются под кипами требований, нарушение которых чревато серьезными штрафами, потерей репутации или даже полной остановкой бизнеса.

Как следствие, современному руководителю службы ИБ приходится напрямую работать с десятками национальных и отраслевых нормативно-правовых актов, не говоря уже о необходимости придерживаться лучших мировых практик и обязательно иметь представление о ведущих международных стандартах в области ИБ. При этом каждая страница внешнего стандарта удивительным образом превращается в десятки страниц внутренних документов и регламентов компании, и к тому времени, как разработка собственных норм подходит к концу, появляются новые регуляторные требования, и карусель вновь ускоряет бег.

Стандарты становятся все более детальными, стараясь не только охватить весь спектр возможных угроз и соответствующих им мер защиты, но и удовлетворять запросы предприятий всех размеров и форм, начиная от крупных интернациональных корпораций и заканчивая микропредприятиями. Универсализация ведет к избыточности, дублированию и в конечном итоге к росту затрат.

«А что же с практической безопасностью?» — спросите вы. И будете совершенно правы!

Практическая безопасность

Компаниям не выиграть гонку кибервооружений против злоумышленников, используя классические средства и методы защиты. Внедрение новых средств безопасности требует соответствующего расширения штата специалистов по ИБ. Дефицит кадров, особенно заметный за пределами МКАД, и наличие на рынке крупных игроков не оставляют большинству предприятий иного выбора, как инвестировать в технологии Big Data, Machine Learning и Artificial Intelligence и активно прибегать к услугам ИБ-аутсорсинга.

Проблема в том, что новые технологии, как и работа с сервис-провайдерами, требуют иных, зачастую более редких компетенций и опыта. Круг замыкается.

«Так что же, решения нет?» — спросите вы. И будете совершенно неправы!

Стандарты vs реальная безопасность

Драматургия отечественной ИБ-отрасли во многом построена вокруг мнимого противостояния «бумажных» специалистов и технических экспертов. На конференциях и онлайн-площадках споры о правильности того или иного подхода приобретают практически религиозный контекст, однозначно определяя каждого из ИБ-специалистов в одну из вышеперечисленных каст и столь же однозначно доказывая бесполезность подхода оппонентов к обеспечению безопасности. Как водится, под шум спора, лес успешно удается спрятать за парой деревьев и отложить уже давно назревший разговор с бизнесом «на потом».

Бизнесу нужны конкурентоспособность и устойчивость основных бизнес-процессов. И бизнес ожидает, что служба ИБ обеспечит экономическую эффективность в ходе снижения рисков ИБ, проактивный контроль за ключевыми показателями основных процессов, а также гарантирует возможность продолжать деятельность с минимальными простоями, даже под атаками злоумышленников и в период проверок регулирующих органов.

Именно при такой постановке вопроса стандарты в области ИБ становятся по-настоящему важным и практически полезным инструментом, позволяя выстроить комплексную систему защиты предприятия в кратчайшие сроки, комбинируя требования регуляторов, лучшие практики, современные технологии и практическую безопасность.

Регуляторная и практическая безопасности отнюдь не соперники и антагонисты, они партнеры и члены одной команды, разделяющей единые принципы работы и стремящейся к достижению общих бизнес-целей. Только такой подход обеспечивает будущее для ИБ.

Per aspera ad astra

Отправная точка — это четкое понимание потребностей бизнеса. Простая, но очень важная мысль заключается в том, что существование отдела ИБ, его руководителя и даже выделяемый бюджет имеют причину. И если менеджер, отвечающий за безопасность, не может назвать эту причину, то основная проблема очевидна.

Знание и понимание бизнеса своей компании важнее технических навыков, сертификаций и глубокого погружения в стандарты.

С практической точки зрения следующим шагом является выбор базового стандарта организации в области ИБ. В первую очередь имеет смысл рассматривать хорошо известные высокоуровневые ISO 27001, NIST Cybersecurity Framework и ISACA Cobit — помимо отточенных за годы существования формулировок, процессов и защитных мер, для этих стандартов характерно наличие перекрестных ссылок не только между собой, но со многими существующими регуляторными документами. Именно этот аспект позволяет исключать дублирование и избыточность отраслевых и национальных требований, сохраняя полноту и комплексность процессов обеспечения ИБ на предприятии.

В выборе и внедрении базового стандарта должны принимать активное участие технические специалисты в области ИТ и ИБ, команда юристов, а также опционально представители внешних сервис-провайдеров.

В результате организация получает платформу, которая:

  • обладает огромным запасом вариативности, соизмеримым с конструктором Lego;

  • позволяет быстро и с разумными финансовыми затратами адаптироваться к новым регуляторным требованиям за счет применения базового набора мер и перекрестных ссылок;

  • опционально, при необходимости, использовать методологию Agile, а также процедуры оценки и управления рисками для снижения бюрократической нагрузки и уменьшения сроков внедрения новых решений;

  • эффективно интегрировать системы бизнес-аналитики, машинного обучения и больших данных в существующий технологический ландшафт предприятия;

  • устраняет противоречия между «бумажным» и практическим подходами к обеспечению безопасности;

  •  и возможно, самое главное — трансформирует ИБ в бизнес-функцию и бизнес-партнера.

Сквозь Вселенную

Написанное выше выглядит слишком хорошо, чтобы быть правдой. Просто, быстро и почти бесплатно. Разве такое возможно?

Правда же заключается в том, что результат — это всегда производная от затраченных усилий, ресурсов и времени, а безопасность — это не достижение определенного состояния, а процесс. Настоящее диктует новые правила, и времени на перестройку уже почти не осталось.

Вот почему современный CISO должен использовать все доступные ему инструменты, такие как стандарты, технические средства защиты, квалификацию сотрудников и внешние сервисы, отбросив предрассудки и эмоциональные оценки. Стандарты из врага, отнимающего время, должны превратиться в союзника. Предотвращение инцидентов должно быть важнее их расследования. А информационная безопасность должна стать неотъемлемой частью каждого бизнес-процесса компании.

Кто-то скажет, что это лишь мечты, но я вижу, как день за днем эти мечты воплощаются в реальность усилиями сообщества ИБ-профессионалов! Присоединяйтесь, и вместе мы сделаем мир безопаснее.

Теги: безопасность, CISO, внешние угрозы, киберугрозы

Горячие темы: Угрозы и риски информационной безопасности

Журнал IT-Manager № 10/2017    [ PDF ]    [ Подписка на журнал ]

Об авторе

Илья Борисов

Илья Борисов

Директор по ИБ «Thyssenkrupp Industrial Solutions»


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме
Другие материалы рубрики

мероприятия

| 07.12.2017
XIII Пиринговый форум

Краснопресненская наб.,12.

Также смотрите

Избавиться от хлама всегда полезно. Тем более что иногда уборка дает такой впечатляющий результат, который превосходит любые ожидания
Сегодня не просто дать краткий ответ на этот вопрос, не упустив те или иные важные моменты

Журнал IT-Manager: № 10/2017

Последние новости

Фоторепортажи

Мероприятия

<<<< Ноябрь >>>>
Пн Вт Ср Чт Пт Сб Вс
303112345
6789101112
13141516171819
20212223242526
27282930123