Monday, October 27, 2014

Безопасность в контексте

И только более чем через 10 лет практики в области ИБ до меня наконец-то дошла основная причина проблем и заблуждений... - исключение из внимания контекста. Ситуация такова, что для разных предприятий необходимое "количество безопасности" будет сильно различаться. Это связано со множеством специфических моментов, начиная от вида основной деятельности, характера и методов обработки информации, и заканчивая корпоративной культурой, деловой этикой и эмоциональной атмосферой в трудовом коллективе (может, когда-нибудь я постараюсь перечислить некоторые моменты, которые в обязательном порядке следует учитывать при оценке контекста). Однако, к сожалению, на практике, большинство безопасников даже не пытаются разобраться в бизнесе, который они защищают, а тупо берут какие-нибудь каталоги контролей/требований, типа ISO, NIST, РД ГТК и т.п. и начинают их внедрять без какой-либо адаптации под контекст
Такой подход является основной причиной всех "перегибов", "недоработок" и прочих "парадоксов" безопасности, что, в конечном счете, приводит к необоснованно высокой стоимости ИБ при низкой эффективности и результативности.
Что же делать? Прежде всего - разобраться в бизнес-процессах, которые предполагается защищать, понять окружение и среду.... - понять контекст. Далее - стандартно, как учат в любой книжке/курсе по анализу рисков...
А что насчет этих каталогов контролей? Использовать их без доработки нельзя. Ими можно руководствоваться как некоторым справочником того, что в принципе можно делать, но каждый из выбранных контролей - обязательно адаптировать под контекст.
А как же compliance? Я склонен думать, что compliance - побочный продукт безопасности, т.е. если мы сделаем "безопасность", compliance - получится сам собой - это если мы говорим о compliance, который коррелирует с "безопасностью" в принципе. Если compliance нужен исключительно для самого себя и имеет мало общего с "безопасностью", то здесь еще проще: надо формально выполнить требования в объеме достаточном для их подтверждения установленным способом проверки: т.е. если проверка смотрит исключительно наличие сертификата/аттестата, не вникая глубже, - вплоть до приобретения этого сертификата/аттестата "в переходе метро" :)

Сухой остаток: только контекстозависимая ИБ будет наилучшим образом обоснована экономически и, вместе с тем, максимально эффективной и результативной.

1 comment:

Andrey Prozorov said...

Держи еще про контекст http://80na20.blogspot.com/2014/06/blog-post_20.html