Сквозь кипы стандартов к реальной безопасности. Управление информационной безопасностью
Авторы Наши партнёры Наши проекты: IT WorldIT-Weekly
IT-Manager Allcio Manager allCIO.ru
Вход
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Сквозь кипы стандартов к реальной безопасности

Лента новостейБезопасностьУправление ИБ

Сквозь кипы стандартов к реальной безопасности

Илья Борисов | 02.11.2017

Послушайте!

Ведь, если звезды зажигают —

значит — это кому-нибудь нужно?

Значит — кто-то хочет, чтобы они были?

В. Маяковский         

Как вы думаете, какой вопрос должен задать менеджер по информационной безопасности, устраиваясь на работу и беседуя с руководителем компании? Лично для меня он очевиден: «Зачем вам нужен менеджер по ИБ?»

И честно признаюсь, меньше всего мне бы хотелось услышать, что в качестве основной цели предполагается осуществление контроля за выполнением требований регуляторов и подготовка организации к разного рода аудитам и проверкам. Дело не в том, что «бумажная» безопасность скучна и неинтересна, дело в том, что регулирования стало в буквальном смысле слишком много.

Бумаги и стандарты

Кажется, что за последние пару десятилетий разработчики стандартов устроили соревнование на наибольшее количество страниц, так или иначе регулирующих различные аспекты информационной безопасности. В результате компании буквально задыхаются под кипами требований, нарушение которых чревато серьезными штрафами, потерей репутации или даже полной остановкой бизнеса.

Как следствие, современному руководителю службы ИБ приходится напрямую работать с десятками национальных и отраслевых нормативно-правовых актов, не говоря уже о необходимости придерживаться лучших мировых практик и обязательно иметь представление о ведущих международных стандартах в области ИБ. При этом каждая страница внешнего стандарта удивительным образом превращается в десятки страниц внутренних документов и регламентов компании, и к тому времени, как разработка собственных норм подходит к концу, появляются новые регуляторные требования, и карусель вновь ускоряет бег.

Стандарты становятся все более детальными, стараясь не только охватить весь спектр возможных угроз и соответствующих им мер защиты, но и удовлетворять запросы предприятий всех размеров и форм, начиная от крупных интернациональных корпораций и заканчивая микропредприятиями. Универсализация ведет к избыточности, дублированию и в конечном итоге к росту затрат.

«А что же с практической безопасностью?» — спросите вы. И будете совершенно правы!

Практическая безопасность

Компаниям не выиграть гонку кибервооружений против злоумышленников, используя классические средства и методы защиты. Внедрение новых средств безопасности требует соответствующего расширения штата специалистов по ИБ. Дефицит кадров, особенно заметный за пределами МКАД, и наличие на рынке крупных игроков не оставляют большинству предприятий иного выбора, как инвестировать в технологии Big Data, Machine Learning и Artificial Intelligence и активно прибегать к услугам ИБ-аутсорсинга.

Проблема в том, что новые технологии, как и работа с сервис-провайдерами, требуют иных, зачастую более редких компетенций и опыта. Круг замыкается.

«Так что же, решения нет?» — спросите вы. И будете совершенно неправы!

Стандарты vs реальная безопасность

Драматургия отечественной ИБ-отрасли во многом построена вокруг мнимого противостояния «бумажных» специалистов и технических экспертов. На конференциях и онлайн-площадках споры о правильности того или иного подхода приобретают практически религиозный контекст, однозначно определяя каждого из ИБ-специалистов в одну из вышеперечисленных каст и столь же однозначно доказывая бесполезность подхода оппонентов к обеспечению безопасности. Как водится, под шум спора, лес успешно удается спрятать за парой деревьев и отложить уже давно назревший разговор с бизнесом «на потом».

Бизнесу нужны конкурентоспособность и устойчивость основных бизнес-процессов. И бизнес ожидает, что служба ИБ обеспечит экономическую эффективность в ходе снижения рисков ИБ, проактивный контроль за ключевыми показателями основных процессов, а также гарантирует возможность продолжать деятельность с минимальными простоями, даже под атаками злоумышленников и в период проверок регулирующих органов.

Именно при такой постановке вопроса стандарты в области ИБ становятся по-настоящему важным и практически полезным инструментом, позволяя выстроить комплексную систему защиты предприятия в кратчайшие сроки, комбинируя требования регуляторов, лучшие практики, современные технологии и практическую безопасность.

Регуляторная и практическая безопасности отнюдь не соперники и антагонисты, они партнеры и члены одной команды, разделяющей единые принципы работы и стремящейся к достижению общих бизнес-целей. Только такой подход обеспечивает будущее для ИБ.

Per aspera ad astra

Отправная точка — это четкое понимание потребностей бизнеса. Простая, но очень важная мысль заключается в том, что существование отдела ИБ, его руководителя и даже выделяемый бюджет имеют причину. И если менеджер, отвечающий за безопасность, не может назвать эту причину, то основная проблема очевидна.

Знание и понимание бизнеса своей компании важнее технических навыков, сертификаций и глубокого погружения в стандарты.

С практической точки зрения следующим шагом является выбор базового стандарта организации в области ИБ. В первую очередь имеет смысл рассматривать хорошо известные высокоуровневые ISO 27001, NIST Cybersecurity Framework и ISACA Cobit — помимо отточенных за годы существования формулировок, процессов и защитных мер, для этих стандартов характерно наличие перекрестных ссылок не только между собой, но со многими существующими регуляторными документами. Именно этот аспект позволяет исключать дублирование и избыточность отраслевых и национальных требований, сохраняя полноту и комплексность процессов обеспечения ИБ на предприятии.

В выборе и внедрении базового стандарта должны принимать активное участие технические специалисты в области ИТ и ИБ, команда юристов, а также опционально представители внешних сервис-провайдеров.

В результате организация получает платформу, которая:

  • обладает огромным запасом вариативности, соизмеримым с конструктором Lego;

  • позволяет быстро и с разумными финансовыми затратами адаптироваться к новым регуляторным требованиям за счет применения базового набора мер и перекрестных ссылок;

  • опционально, при необходимости, использовать методологию Agile, а также процедуры оценки и управления рисками для снижения бюрократической нагрузки и уменьшения сроков внедрения новых решений;

  • эффективно интегрировать системы бизнес-аналитики, машинного обучения и больших данных в существующий технологический ландшафт предприятия;

  • устраняет противоречия между «бумажным» и практическим подходами к обеспечению безопасности;

  •  и возможно, самое главное — трансформирует ИБ в бизнес-функцию и бизнес-партнера.

Сквозь Вселенную

Написанное выше выглядит слишком хорошо, чтобы быть правдой. Просто, быстро и почти бесплатно. Разве такое возможно?

Правда же заключается в том, что результат — это всегда производная от затраченных усилий, ресурсов и времени, а безопасность — это не достижение определенного состояния, а процесс. Настоящее диктует новые правила, и времени на перестройку уже почти не осталось.

Вот почему современный CISO должен использовать все доступные ему инструменты, такие как стандарты, технические средства защиты, квалификацию сотрудников и внешние сервисы, отбросив предрассудки и эмоциональные оценки. Стандарты из врага, отнимающего время, должны превратиться в союзника. Предотвращение инцидентов должно быть важнее их расследования. А информационная безопасность должна стать неотъемлемой частью каждого бизнес-процесса компании.

Кто-то скажет, что это лишь мечты, но я вижу, как день за днем эти мечты воплощаются в реальность усилиями сообщества ИБ-профессионалов! Присоединяйтесь, и вместе мы сделаем мир безопаснее.

Теги: безопасность, CISO, внешние угрозы, киберугрозы

Горячие темы: Угрозы и риски ИБ

Журнал IT-Manager № 10/2017    [ PDF ]    [ Подписка на журнал ]

Об авторе

Илья Борисов

Илья Борисов

Директор по ИБ «Thyssenkrupp Industrial Solutions»


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме
Другие материалы рубрики

Компании сообщают

мероприятия

| 14.02.2018 — 28.02.2018
23-й HR-Форум

«Шератон Палас» (Ул. 1-ая Тверская-Ямская 19)

| 01.03.2018
20-я Конференция «IT в страховании».

«Шератон Палас» (Ул. 1-ая Тверская-Ямская 19)

| 01.03.2018
Quantum Technology Conference 2018

Москва, Конференц-центр Newsroom

| 17.04.2018
FUTURE BUSINESS: Digital Transformation Day 2018

Москва, Digital October, Берсеневская Hабережная, 6, стр. 3

Также смотрите

Журнал IT-Manager: № 01/2018

Последние новости

Компании сообщают

Фоторепортажи

Мероприятия

<<<< Февраль >>>>
Пн Вт Ср Чт Пт Сб Вс
2930311234
567891011
12131415161718
19202122232425
2627281234