Монологи CISO
Специалисты, отвечающие за информационную безопасность (ИБ) предприятий и организаций, называются у нас по-разному – директор по информационной безопасности, руководитель департамента (отдела) по защите информации, менеджер по ИБ.
Независимо от названия должности, эти специалисты отвечают за все, что касается ИБ: соблюдение законодательства по ИБ, доступность ИТ-сервисов, конфиденциальность информации, обученность пользователей и др., и в обиходе их все чаще называют CISO (Chief Information Security Officer).
Мне приходится много общаться с CISO предприятий и организаций различного масштаба, и всякий раз речь заходит о методологии и способах решения многочисленных задач, стоящих перед ними.
Мыслями и идеями, почерпнутыми из этих встреч и обсуждений, я решил поделиться в серии монологов CISO.
Надеюсь, эти краткие монологи подскажут кому-то способ решения сложных задач.
Монологи CISO. Монолог 1
Я – CISO. Моя задача – обеспечить информационную безопасность моего предприятия.
Я знаю, что сколько денег не вбухивай в средства защиты, и какие суперсовременные средства не внедряй, злоумышленники, если захотят, все равно пробьют защиту предприятия.
И поэтому я решаю свою задачу следующим образом.
Действую в соответствии с Приказом ОАЦ № 66. Говорят, что армейские уставы написаны кровью, поэтому их надо выполнять не задумываясь.
Не буду утверждать, что Приказ № 66 написан кровью, но очевидно, что его положения – результат большой аналитической работы. И я выполняю требования этого Приказа.
Но Приказ № 66 указывает какие типы средств защиты необходимы моему предприятию, однако не содержит требований и рекомендаций по выбору конкретного средства.
И тогда мне на помощь приходит риск-ориентированный подход. Я анализирую риски для соответствующего актива и выбираю то средство, которое позволяет довести риски до приемлемых значений. Разумеется, я учитываю и целый ряд других факторов (цена, качество технической поддержки, распространенность решения, необходимые ресурсы, отзывы и др.).
Особенно эффективен риск-ориентированный подход для тех типов средств защиты, которые либо вообще не упоминаются, либо рекомендуются Приказом № 66, но не обязательны к применению. В этом случае оценка рисков – единственный способ убедить руководство предприятия в необходимости инвестиций в выбранные средства защиты.
А еще я провожу киберучения для всех служб, от которых зависит информационная безопасность («тяжело в учении, легко в бою»).
Действуя таким образом, я уверен в безопасности моего предприятия.