Монологи CISO

Специалисты, отвечающие за информационную безопасность (ИБ) предприятий и организаций, называются у нас по-разному – директор по информационной безопасности, руководитель департамента (отдела) по защите информации, менеджер по ИБ.

Независимо от названия должности, эти специалисты отвечают за все, что касается ИБ: соблюдение законодательства по ИБ, доступность ИТ-сервисов, конфиденциальность информации, обученность пользователей и др., и в обиходе их все чаще называют CISO (Chief Information Security Officer).

Мне приходится много общаться с CISO предприятий и организаций различного масштаба, и всякий раз речь заходит о методологии и способах решения многочисленных задач, стоящих перед ними.

Мыслями и идеями, почерпнутыми из этих встреч и обсуждений, я решил поделиться в серии монологов CISO.

Надеюсь, эти краткие монологи подскажут кому-то способ решения сложных задач.

Монологи CISO. Монолог 1

Я – CISO. Моя задача –  обеспечить информационную безопасность моего предприятия.

Я знаю, что сколько денег не вбухивай в средства защиты, и какие суперсовременные средства не внедряй, злоумышленники, если захотят, все равно пробьют защиту предприятия.

И поэтому я решаю свою задачу следующим образом.

Действую в соответствии с Приказом ОАЦ № 66. Говорят, что армейские уставы написаны кровью, поэтому их надо выполнять не задумываясь.

Не буду утверждать, что Приказ № 66 написан кровью, но очевидно, что его положения – результат большой аналитической работы. И я выполняю требования этого Приказа.

Но Приказ № 66 указывает какие типы средств защиты необходимы моему предприятию, однако не содержит требований и рекомендаций по выбору конкретного средства.

И тогда мне на помощь приходит риск-ориентированный подход. Я анализирую риски для соответствующего актива и выбираю то средство, которое позволяет довести риски до приемлемых значений. Разумеется, я учитываю и целый ряд других факторов (цена, качество технической поддержки, распространенность решения, необходимые ресурсы, отзывы и др.).

Особенно эффективен риск-ориентированный подход для тех типов средств защиты, которые либо вообще не упоминаются, либо рекомендуются Приказом № 66, но не обязательны к применению. В этом случае оценка рисков – единственный способ убедить руководство предприятия в необходимости инвестиций в выбранные средства защиты.

А еще я провожу киберучения для всех служб, от которых зависит информационная безопасность («тяжело в учении, легко в бою»).

Действуя таким образом, я уверен в безопасности моего предприятия.