В области применения современных подходов к обеспечению ИБ в России наметилась интересная особенность: все стремятся перенимать международный опыт, переводятся и утверждаются в качестве наших ГОСТов и руководящих документов многие международные стандарты... Только почему-то зачастую получается, что не все способны не то чтобы применить их на практике, но даже иногда и принципе не могут понять подход, пропагандируемый в них. В чем же дело?

Международные стандарты опираются на процессный подход в управлении ИБ, как на подход, позволяющий четко прослеживать все этапы построения комплексной системы обеспечения ИБ. В свою очередь данный подход должен базироваться на аналогичном подходе в управлении самим бизнесом, тогда он прекрасно "накладывается" поверх и позволяет построить эффективную систему защиты. Суть проблемы получается в том, что управление бизнесом в России осуществляется по совершенно другой схеме, а значит и внедрение международного опыта в области ИБ в том виде, в каком он отражается в различных стандартах, по сути деле неприемлемо для нас. Здесь же кроется причина отличий в "их" документах по обеспечению ИБ от документов в области ИБ, которые разрабатываются у нас: у "них" во главу угла давно ставится эффективность и оптимальность, у нас до сих пор мы защищаемся от мифических "ПЭМИНов", не задумываясь стоит ли оно того. У "них" система обеспечения ИБ интегрируется в общую систему работы предприятия, у нас - приставляется сбоку. У нас зачастую просто отсутствует понимание того, с какой целью принимаются те или иные меры по защите....

К чему это все было сказано? ИМХО студент, будущий специалист по защите информации, должен понимать разницу в подходах, а также то, каким образом можно пытаться увязать воедино два разных подхода (кстати, зачастую наибольшие сложности возникают в тех организациях, которые в по той или иной причине должны выполнять международные требования в области ИБ наряду в выполнением требований российского законодательства, как, например, кредитные организации, которым одновременно необходимо реализовывать требования стандарта по безопасности банковских карточных систем PCI DSS и российских требований по защите персональных данных). А для того, чтобы увидеть и понять ситуацию целиком, необходимо подняться на уровень выше - на уровень управления бизнесом в целом, поэтому было бы хорошо, если бы студенты дополнительно получали еще хоть какие-то минимальные знания о разных подходах к управлению.

Для тех, кому интересно подробнее понять что представляет собой процессный подход и почему он так популярен, предлагаю почитать небольшую статью: "Процессный подход - революция в управлении?"

Бытует мнение, что управление рисками — удел топ-менеджеров либо сотрудников специализированных подразделений, риск-менеджеров, аналитиков. Однако на деле все обстоит по-иному. Регулирование, а тем более оценка рисков являются прикладными задачами. И сфера информационной безопасности (ИБ) не исключение. Специалисты в области ИБ должны скрупулезно отслеживать возникающие угрозы, анализировать связанные с ними риски и представлять руководству уже готовый отчет-план, какими средствами бороться за сохранность корпоративных данных.

Анализ рисков в области ИБ может быть качественным и количественным. Количественный анализ точнее, он позволяет получить конкретные значения рисков, но он отнимает заметно больше времени, что не всегда оправданно. Чаще всего бывает достаточно быстрого качественного анализа, задача которого — распределение факторов риска по группам. Шкала качественного анализа может различаться в разных методах оценки, но всё сводится к тому, чтобы выявить самые серьезные угрозы.

Важно различать понятия единичного и приведенного убытков. Единичный убыток — это расходы на один инцидент. Приведенный убыток учитывает количество конкретных инцидентов безопасности за некоторый промежуток времени, обычно за год. Если единичные и приведенные убытки путать, полученные результаты будут иметь мало общего с действительностью.

В задачи сотрудников подразделений ИБ входит оповещение руководства предприятий о существующих и потенциальных угрозах. Отчеты должны сопровождаться фактами, цифрами, аналитическими выкладками. Это наиболее эффективный способ довести информацию до глав организаций.

Топ-менеджеры гораздо лучше понимают бизнес-язык, поэтому сотрудникам подразделений ИБ надо научиться составлять элементарный бизнес-план. На основе данных количественного анализа рисков следует определять возможные финансовые потери, расходы на приобретение и эксплуатацию системы безопасности, а затем рассчитывать экономический эффект мероприятий. Лучше предоставлять несколько вариантов решений и составлять смету для каждого.

Часто сотрудники, которые отвечают за ИБ, жалуются, что руководство их плохо финансирует. Однако на деле выясняется, что в большинстве таких случаев диалог сводится к простому обмену репликами, исполнитель просит столько-то денег, начальство отказывает. Оперируя цифрами, легко показать, сколько можно сэкономить и на чем выиграть от дополнительных инвестиций в безопасность. Если много говорить о проблемах и угрозах, не опираясь на факты, очень скоро на это перестанут обращать внимание. Многие сотрудники подразделений ИБ не готовы или просто не умеют подготовить экономическое обоснование затрат. Когда сотрудники ИБ и бизнес-управленцы смогут говорить на одном языке, сотрудничество получится более продуктивным. Если собрать свидетельства, подкрепить их отчетами аналитиков и представить четкий бизнес-план, как устранить угрозу, тогда будет легче убедить руководство в необходимости принять соответствующие меры.

Сотрудники ИБ, которые могут общаться с топ-менеджерами на равных, через неделю становятся топ-менеджерами. Каждый останавливается в своем развитии на уровне "некомпетентности". Если вы не растете на производстве, значит вы идиот.

Я думаю, работникам ИБ проще дурачить топ-менеджеров и ничего не делать, по легкому рубить капусту, что в данный момент и происходит. Последнее верно, если исходить из принципов либеральной экономики Милтона Фридмана. Ну а если исходить из Марксизма, тогда да, работники ИБ должны быть сознательными и гореть на производстве.)))) Так в каком мире мы живем? Либертанство и каждый сам за себя, или Коммунизм каждый шестерёнка в системе?