Не латайте тонущее судно::БИТ 02.2019
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
Новости партнеров

16.08.2019

III Федеральный форум «Smart Cars & Roads – цифровая трансформация экосистемы «автомобиль-дорога» в Российской Федерации»

Читать далее 

16.08.2019

Бизнес-гостиную MBM.RU и «Академии Личного Бренда» 22 августа посетит основатель компании Zenden Андрей Павлов

Читать далее 

16.08.2019

«В своей работе мы всегда ориентируемся на качество услуг»: MBM.RU провёл масштабный срез знаний консультантов Центров услуг для бизнеса

Читать далее 

16.08.2019

Топовые спикеры и актуальные доклады: чего ждать от лектория на 3D Print Expo?

Читать далее 

показать все 

Статьи

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

04.06.2019

Бонусы за лояльность

Читать далее 

04.06.2019

Прощайте, доктора?

Читать далее 

04.06.2019

Между В2В и В2С – сплошная двойная

Читать далее 

04.06.2019

Компьютеры + медицина = синергия

Читать далее 

22.03.2019

5 вопросов о «цифре»

Читать далее 

21.03.2019

Все под контролем

Читать далее 

12.03.2019

Тренды по UC

Читать далее 

21.04.2017

Язык цифр или внутренний голос?

Читать далее 

16.04.2017

Планы – ничто, планирование – все. Только 22% компаний довольны своими инструментами для бизнес-планирования

Читать далее 

показать все 

Не латайте тонущее судно

Главная / Архив номеров / 2019 / Выпуск №02 (85) / Не латайте тонущее судно

Рубрика: Информационная безопасность


Алексей Трипкошруководитель отдела консалтинга по информационной безопасности компании «ЛАНИТ-Интеграция» (группа компаний ЛАНИТ)

Не латайте тонущее судно

Новая роль консалтинга в проектах информационной безопасности

Формалистика и погоня за прибылью в прошлом

Долгое время информационные системы развивались «сами в себе»: бизнес ставил задачу автоматизировать тот или иной бизнес-процесс, формировались технические требования, далее следовало проектирование и реализация. При этом проект включал в себя все уровни: инфраструктуру, программное обеспечение и безопасность. При таком подходе задачи консультантов по информационной безопасности (ИБ) сводились к формулированию требований по ИБ, и это было достаточно просто: необходимо было определить тип защищаемой информации, чтобы правильно классифицировать систему, выявить актуальные угрозы для выбранной архитектуры и сформировать требования к составу и структуре подсистемы ИБ.

Этот подход и сейчас применяется для организаций, где ИТ решают локальные задачи, хотя, по правде говоря, встречаются и компании с крупной инфраструктурой, живущие по этой архаичной идеологии.

С ростом компаний и усложнением их инфраструктуры появлялись новые технологии, а вместе с ними возникали новые уязвимости и методы атак. Производители решений в сфере информационной безопасности не отставали. На рынке преобладали продукты иностранных производителей, и интеграторы старались набирать специалистов со знанием английского языка. Таким образом сформировался класс высококомпетентных инженеров по информационной безопасности. При этом вопрос консалтинга оставался на прежнем, достаточно низком уровне. Консалтинг того времени разве что приобрел новую функцию экспресс-обследования по так называемым чек-листам, предоставляемым вендорами.

Тем временем развивались мировые практики информационной безопасности, появились изменения и в российском законодательстве. Под новые комплексные требования вендоры стали «подгонять» существующие решения или вообще разрабатывать новые. В этом переходном периоде не все компании, как это обычно бывает, успели перестроиться.

Роль современного консалтинга ИБ заключается во взаимодействии с бизнесом, определении решений, которые помогут и не будут связаны с ограничениями

Свою роль сыграли отсутствие класса «архитекторов» и формальное выполнение требований, навязываемое сейлс-сектором, преследующим прибыль. Так, до недавнего времени поставка и проектирование были отделены друг от друга. Консалтинговые услуги некоторым компаниям-заказчикам оказывались почти даром, чтобы заработать на поставке. Нередкими для рынка были истории, когда для блейд-серверов закупали аппаратно-программные модули доверенной загрузки, которые выполняли требования «на бумаге», но не могли быть адекватно установлены.

Сейчас компании развили такой объем информационной инфраструктуры, что прежние подходы к построению систем просто не жизнеспособны: они приведут к «зоопарку» технологий и решений, которые либо невозможно, либо слишком дорого обслуживать, ведь каждый производитель в основном оптимизирует свой продукт под определенную платформу и редко предоставляет возможность выбора.

Унификация процессов

Зрелый бизнес стал настолько зависим от автоматизированных процессов, что развитие информационных систем теперь требует определенных правил и унификации.

Так, одна крупная производственная компания со сложной, распределенной структурой понесла серьезные убытки из-за остановки производства в результате инцидента информационной безопасности. На заводах и в управляющих компаниях, входящих в этот холдинг, не было единой политики по ИБ, все процессы формировались «на местах» и по-разному финансировались (иногда и вовсе нет). Кроме того, не во всех городах удалось найти нужные компетенции.

Наши специалисты изучили и описали все ключевые бизнес-процессы, обследовали инфраструктуру, информационные системы и системы безопасности. После оценки текущего состояния определили с заказчиком основные ИБ-риски, смоделировали систему информационной безопасности и сформировали портфель проектов с бюджетами, сроками и т.д., выполнение которых позволит выстроить эту систему.

Важно, что правила, заложенные в целевой модели, позволяют быстро адаптироваться к случающимся изменениям, поскольку информационные системы – это бесконечно развивающийся организм. Конечно, такие проекты затратные, но их результаты позволяют сократить расходы на дальнейшую операционную деятельность подразделений информационной безопасности и избежать соответствующих рисков.

Этот проект иллюстрирует тренд последних лет – заказчики перестраиваются под платформенную историю и требуют решения «под ключ». Платформенный подход определяет единые условия модернизации и масштабирования инфраструктуры, четко определенные применяемые технологии, общесистемное ПО. Платформу принято делить на контуры, в каждом из которых определены требования к информационной безопасности исходя из класса защиты размещаемых систем. И именно здесь роль консалтинга сильно возросла.

Теперь стало важно продумывать, как вся система будет работать в комплексе. Важно понимать потребности бизнеса и отталкиваться от рисков. Важно правильно продумать общие «правила игры». Прошло время формального выполнения требований, да и требования уже позволяют использовать гибкие подходы к их реализации. Например, нормативно-правовые акты регулирующих органов стали оперировать понятиями «компенсирующих мер», да и в условиях кризиса и общего понимания функций информационной безопасности бизнес научился считать деньги.

Обновленные требования, понимание лучших практик и их широкий ассортимент на рынке породили новый класс специалистов. Их по-прежнему называют консультантами, но в это слово вкладывают новый смысл. Консультанты по информационной безопасности теперь должны не только уметь применять тот или иной нормативно-правовой акт, но и разбираться в современных технологиях и методах их защиты. Консультантам необходимо из всего спектра организационных и технических мер уметь выбирать именно те, которые подходят под существующую структуру организации бизнеса заказчика, учитывая его сложность и особенности.

Например, консультанты ведущих интеграторов, в том числе и нашей компании, провели множество аудитов процессов информационной безопасности – они включают в себя, в том числе, и изучение бизнес-процессов, в ходе которых обрабатывается так называемая чувствительная информация. Такого рода аудиты связаны прежде всего с необходимостью сохранения требуемых атрибутов: конфиденциальности, целостности, доступности, авторства и т.д.

Аудиты проводились, например, для реализации проектов по внедрению Data Loss Prevention (программного решения для предотвращения утечек конфиденциальной информации за пределы корпоративной сети) или пресловутых проектов по организации режима коммерческой тайны и соответствия 152-ФЗ. Дополнительным результатом таких аудитов стало понимание консультантами основ функционирования бизнеса. В результате на рынке появились новые продукты для построения стратегий развития процессов ИБ, завязанных на стратегию развития организации в целом.

Таким образом, роль современного консалтинга ИБ теперь заключается во взаимодействии с бизнесом, определении решений, которые помогут бизнесу и не будут связаны с какими-либо неудобствами и ограничениями.

Если работа с ИБ в вашей компании все еще ради галочки

Вынужден признать, что в России до сих пор существуют организации, в том числе и государственные, в которых информационные системы развиваются в отрыве от стратегических задач. Причиной являются забюрократизированные процессы или же просто так складывается исторически. Единственная возможность что-то изменить в этом случае – полностью пересмотреть подходы начиная с топ-менеджмента. Ведь не зря в одном из самых распространенных стандартов менеджмента информационной безопасности ISO/IEC 27001:2013 особая роль уделяется так называемому Leadership – лидерству, которое выделено в особый домен (суть домена заключается в том, чтобы руководство компании было напрямую заинтересовано и контролировало процессы реализации и развития менеджмента информационной безопасности). К сожалению, ни один из процессов не может быть запущен, если руководство не видит его вклада в реализацию ключевых задач компании.

CISO (chief information security officer, директору по информационной безопасности), начальникам подразделений и просто рядовым специалистам при этом надо набраться терпения, не замыкаться на развитии своих навыков в профессиональной сфере, а тренировать умение обосновывать свои предложения, акцентируя их вклад в бизнес (что невозможно без полного погружения в бизнес-процессы).

В свою очередь, представители современного консалтинга с удовольствием помогут поменять мировоззрение. Важно выбрать правильную команду, чьи результаты работы лягут в основу долгосрочного развития бизнеса. Если консультант начинает разговор с перечисления нормативно-правовых актов, которые распространяются на ваш бизнес, и последствий их невыполнения, задумайтесь, стоит ли с ним сотрудничать. Время, когда информационную безопасность «продавали» через так называемые пугалки, к счастью, прошло. Грамотный консультант понимает, как функционирует бизнес, и будет разговаривать с вами на одном языке.

Вывод из всего вышесказанного может быть только один: лучше сразу закладывать в систему базовые принципы процессов информационной безопасности и их развития, чем бесконечно латать тонущее судно.

Ключевые слова: консалтинг, информационная безопасность.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №05 (88) 2019г.
Выпуск №05 (88) 2019г. Выпуск №04 (87) 2019г. Выпуск №03 (86) 2019г. Выпуск №02 (85) 2019г. Выпуск №01 (84) 2019г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика