УправлениеБезопасность

Сквозь кипы стандартов к реальной безопасности

Илья Борисов | 02.11.2017

Сквозь кипы стандартов к реальной безопасности

Компаниям не выиграть гонку кибервооружений против злоумышленников, используя классические средства и методы защиты

Послушайте!

Ведь, если звезды зажигают —

значит — это кому-нибудь нужно?

Значит — кто-то хочет, чтобы они были?

В. Маяковский         

Как вы думаете, какой вопрос должен задать менеджер по информационной безопасности, устраиваясь на работу и беседуя с руководителем компании? Лично для меня он очевиден: «Зачем вам нужен менеджер по ИБ?»

И честно признаюсь, меньше всего мне бы хотелось услышать, что в качестве основной цели предполагается осуществление контроля за выполнением требований регуляторов и подготовка организации к разного рода аудитам и проверкам. Дело не в том, что «бумажная» безопасность скучна и неинтересна, дело в том, что регулирования стало в буквальном смысле слишком много.

Бумаги и стандарты

Кажется, что за последние пару десятилетий разработчики стандартов устроили соревнование на наибольшее количество страниц, так или иначе регулирующих различные аспекты информационной безопасности. В результате компании буквально задыхаются под кипами требований, нарушение которых чревато серьезными штрафами, потерей репутации или даже полной остановкой бизнеса.

Как следствие, современному руководителю службы ИБ приходится напрямую работать с десятками национальных и отраслевых нормативно-правовых актов, не говоря уже о необходимости придерживаться лучших мировых практик и обязательно иметь представление о ведущих международных стандартах в области ИБ. При этом каждая страница внешнего стандарта удивительным образом превращается в десятки страниц внутренних документов и регламентов компании, и к тому времени, как разработка собственных норм подходит к концу, появляются новые регуляторные требования, и карусель вновь ускоряет бег.

Стандарты становятся все более детальными, стараясь не только охватить весь спектр возможных угроз и соответствующих им мер защиты, но и удовлетворять запросы предприятий всех размеров и форм, начиная от крупных интернациональных корпораций и заканчивая микропредприятиями. Универсализация ведет к избыточности, дублированию и в конечном итоге к росту затрат.

«А что же с практической безопасностью?» — спросите вы. И будете совершенно правы!

Практическая безопасность

Компаниям не выиграть гонку кибервооружений против злоумышленников, используя классические средства и методы защиты. Внедрение новых средств безопасности требует соответствующего расширения штата специалистов по ИБ. Дефицит кадров, особенно заметный за пределами МКАД, и наличие на рынке крупных игроков не оставляют большинству предприятий иного выбора, как инвестировать в технологии Big Data, Machine Learning и Artificial Intelligence и активно прибегать к услугам ИБ-аутсорсинга.

Проблема в том, что новые технологии, как и работа с сервис-провайдерами, требуют иных, зачастую более редких компетенций и опыта. Круг замыкается.

«Так что же, решения нет?» — спросите вы. И будете совершенно неправы!

Стандарты vs реальная безопасность

Драматургия отечественной ИБ-отрасли во многом построена вокруг мнимого противостояния «бумажных» специалистов и технических экспертов. На конференциях и онлайн-площадках споры о правильности того или иного подхода приобретают практически религиозный контекст, однозначно определяя каждого из ИБ-специалистов в одну из вышеперечисленных каст и столь же однозначно доказывая бесполезность подхода оппонентов к обеспечению безопасности. Как водится, под шум спора, лес успешно удается спрятать за парой деревьев и отложить уже давно назревший разговор с бизнесом «на потом».

Бизнесу нужны конкурентоспособность и устойчивость основных бизнес-процессов. И бизнес ожидает, что служба ИБ обеспечит экономическую эффективность в ходе снижения рисков ИБ, проактивный контроль за ключевыми показателями основных процессов, а также гарантирует возможность продолжать деятельность с минимальными простоями, даже под атаками злоумышленников и в период проверок регулирующих органов.

Именно при такой постановке вопроса стандарты в области ИБ становятся по-настоящему важным и практически полезным инструментом, позволяя выстроить комплексную систему защиты предприятия в кратчайшие сроки, комбинируя требования регуляторов, лучшие практики, современные технологии и практическую безопасность.

Регуляторная и практическая безопасности отнюдь не соперники и антагонисты, они партнеры и члены одной команды, разделяющей единые принципы работы и стремящейся к достижению общих бизнес-целей. Только такой подход обеспечивает будущее для ИБ.

Per aspera ad astra

Отправная точка — это четкое понимание потребностей бизнеса. Простая, но очень важная мысль заключается в том, что существование отдела ИБ, его руководителя и даже выделяемый бюджет имеют причину. И если менеджер, отвечающий за безопасность, не может назвать эту причину, то основная проблема очевидна.

Знание и понимание бизнеса своей компании важнее технических навыков, сертификаций и глубокого погружения в стандарты.

С практической точки зрения следующим шагом является выбор базового стандарта организации в области ИБ. В первую очередь имеет смысл рассматривать хорошо известные высокоуровневые ISO 27001, NIST Cybersecurity Framework и ISACA Cobit — помимо отточенных за годы существования формулировок, процессов и защитных мер, для этих стандартов характерно наличие перекрестных ссылок не только между собой, но со многими существующими регуляторными документами. Именно этот аспект позволяет исключать дублирование и избыточность отраслевых и национальных требований, сохраняя полноту и комплексность процессов обеспечения ИБ на предприятии.

В выборе и внедрении базового стандарта должны принимать активное участие технические специалисты в области ИТ и ИБ, команда юристов, а также опционально представители внешних сервис-провайдеров.

В результате организация получает платформу, которая:

  • обладает огромным запасом вариативности, соизмеримым с конструктором Lego;

  • позволяет быстро и с разумными финансовыми затратами адаптироваться к новым регуляторным требованиям за счет применения базового набора мер и перекрестных ссылок;

  • опционально, при необходимости, использовать методологию Agile, а также процедуры оценки и управления рисками для снижения бюрократической нагрузки и уменьшения сроков внедрения новых решений;

  • эффективно интегрировать системы бизнес-аналитики, машинного обучения и больших данных в существующий технологический ландшафт предприятия;

  • устраняет противоречия между «бумажным» и практическим подходами к обеспечению безопасности;

  •  и возможно, самое главное — трансформирует ИБ в бизнес-функцию и бизнес-партнера.

Сквозь Вселенную

Написанное выше выглядит слишком хорошо, чтобы быть правдой. Просто, быстро и почти бесплатно. Разве такое возможно?

Правда же заключается в том, что результат — это всегда производная от затраченных усилий, ресурсов и времени, а безопасность — это не достижение определенного состояния, а процесс. Настоящее диктует новые правила, и времени на перестройку уже почти не осталось.

Вот почему современный CISO должен использовать все доступные ему инструменты, такие как стандарты, технические средства защиты, квалификацию сотрудников и внешние сервисы, отбросив предрассудки и эмоциональные оценки. Стандарты из врага, отнимающего время, должны превратиться в союзника. Предотвращение инцидентов должно быть важнее их расследования. А информационная безопасность должна стать неотъемлемой частью каждого бизнес-процесса компании.

Кто-то скажет, что это лишь мечты, но я вижу, как день за днем эти мечты воплощаются в реальность усилиями сообщества ИБ-профессионалов! Присоединяйтесь, и вместе мы сделаем мир безопаснее.

Безопасность Внешние угрозы Киберугрозы

Темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 10/2017], Подписка на журналы

Об авторах

Илья Борисов

Илья Борисов

Директор по ИБ «Thyssenkrupp Industrial Solutions»


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Мы много и часто говорим о том, что "ИТ меняют наш мир". Посмотрим, как это происходит в Китае с применением конкретных инструментов и затрагивает сотни миллионов человек.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

Митап про DataScience
ОНЛАЙН
29.07.2021
15:00
ТехноКлуб «Дефицит чипов: как выжить в новой реальности?»
Зеленоград, конгресс-центр ОЭЗ «Технополис Москва»
Бесплатно
04.08.2021
10:30
Международная конференция по информационной безопасности ZeroNights
Санкт-Петербург, Кожевенная линия, 40, «Севкабель Порт»
3 490 руб
25.08.2021
09:00–23:00
Конференция «Кадровый ЭДО: цифровизация на практике»
Москва, отель Метрополь, Театральный проезд, 2
25.08.2021
09:30–17:00