Насколько современная ИБ совпадает с изначальными стандартами ?
Информационная безопасность Информационная безопасность

Информационная безопасность – одна из самых обсуждаемых тем в ИТ

Главная>Информационная безопасность>Не совсем информационная безопасность
Информационная безопасность Тема номера

Не совсем информационная безопасность

Дата публикации:
22.09.2015
Посетителей:
112
Просмотров:
102
Время просмотра:
2.3

Авторы

Автор
Евгений Акимов В прошлом - эксперт Центра информационной безопасности компании "Инфосистемы Джет"
Информационная безопасность – одна из самых обсуждаемых тем в ИТ. Если посмотреть различные материалы, статьи, доклады на мероприятиях, форумы и блоги по ИБ, выяснится, что в течение последних 10 лет ИБ-сообщество бурлило многочисленными трендами. Все то учились управлять информационной безопасностью (вспомним те надежды, которые были вокруг стандартов 2700х серии), то защищали персональные данные (о существовании № 152-ФЗ, похоже, знает каждая домохозяйка), то строили «настоящие SOC’и», то расследовали киберпреступления.

 

 

Мы будем жить теперь по-новому!
Группа "Любэ"

 

Но насколько то, чем мы стали заниматься, – действительно информационная безопасность? Т.е. действительно ли наша деятельность направлена на достижение состояния защищенности исключительно информационных ресурсов? Разобраться в этом не столько интересно, сколько полезно – правильное понимание цели даёт возможность достигать её быстрее и проще.

 Если не забираться в совсем исторические дебри (10 и более лет назад – уже позавчерашний день), можно уверенно говорить о нескольких сменах ориентиров в области нашей деятельности (аббревиатуру «ИБ» специально не применяем, она же поставлена под сомнение).

 

Как раз 10 лет назад лучшие практики в области ИБ были собраны в британских стандартах серии BS 7799 (контрольные механизмы – часть 1, система управления – часть 2, управление рисками – часть 3). Достаточно быстро стандарты получили международное признание: они легли в основу ISO 27001, и именно под этим названием практики выбора механизмов защиты на основе управления рисками ИБ получили повсеместное распространение.

 

Около 3 лет назад мы говорили о переходе от рисковой модели управления ИБ к снижению реальных потерь. Действительно, риски как вероятностная величина не настолько точно и (что немаловажно для отечественных реалий, в которых принцип «пока гром не грянет, мужик не перекрестится» закреплён на уровне поговорки) ярко характеризуют наличие или отсутствие проблем, требующих решения. Почему такая миграция стала возможна? Просто инциденты стали настолько частыми, что за обычный для оценки эффективности период времени (чаще всего год) в компании наверняка что-то происходило, и далеко не раз. Наглядно это демонстрировали, например, DLP-системы: даже в ходе пилота за пару недель обнаруживались 2–3 инцидента, потери от них сравнительно просто пересчитывались в деньги. Экстраполяция на год, и – вуаля! – срок окупаемости посчитан. Причем частенько в этот год и укладывались, а сложная и непоказательная математика с вероятностью, рисками и т.п. для принятия решения не применялась.

 

Вооружившись до зубов, мир все ещё информационной безопасности начал подобные системы эксплуатировать. И тут выяснилось, что результаты работы DLP-системы (не будем менять пример, он очень удачный) используются отнюдь не внутри подразделения ИБ. Чаще всего служба экономической безопасности инициирует расследование и делает запрос ИБэшникам для анализа коммуникаций попавших под подозрение сотрудников (пассивный вариант). Реже DLP-система сама что-то находит, и для принятия конкретных шагов эта информация передаётся в экономическую безопасность (активный вариант). Мы сталкивались с ситуациями, когда внутри холдинга одним из KPI службы экономической безопасности было количество уголовных дел, заведенных на собственных сотрудников. На добрую половину он выполнялся на DLP-системе.

 

Насколько эта система стоит на страже информационных ресурсов, если типовой инцидент – это сговор в мессенджере соцсети между сотрудником, отвечающим за закупки, и поставщиком? Очевидно, что в небольшой степени. Но подобные не ИТ-деяния оставляют ИТ-след, который и был обнаружен, а затем использован в целях обеспечения корпоративной/экономической безопасности.

 

Во всё большем количестве компаний службы «всё еще информационной» безопасности пошли дальше: ведь массовая автоматизация бизнес-процессов позволяет с помощью ИТ-средств обнаруживать не только такие аномалии. В этом смысле уместно привести ещё одно устоявшееся выражение – на этот раз цитату «Как дела в России? – Воруют». Существует множество мошеннических схем, использование которых достаточно просто детектируется с помощью информационных технологий. Например, нечестный кассир, недодавший в течение смены сдачу, очень часто открывает кассу, чтобы достать «лишние деньги», и проводит операцию по фиктивной продаже нескольких грамм картошки. Такая аномалия служит сигналом службе безопасности. Или (если воруют по-крупному) погрузчик на складе загружает паллету с товаром не в тот грузовик – это отслеживается либо по Wi-Fi-метке на погрузчике, либо за счёт анализа видео.

 

За последнее время в нашей стране стартовало значительное количество проектов по противодействию мошенничеству и воровству в различных отраслях – в ритейле, на транспорте, в логистических компаниях, нефтянке. Большинство таких внедрений ведутся подразделениями информационной безопасности в сотрудничестве с внутренним контролем и экономической безопасностью, во многом потому что последние с информационными технологиями, скорее, «на Вы, чем на ты». По сути, безопасность информационных ресурсов в этом случае вообще остаётся в стороне, и уровень информационной безопасности никак не меняется.

 

Однако именно такие проекты часто обозначаются руководством компаний как стратегические, на них делается ставка в развитии бизнеса. Мы сталкивались с ситуациями, когда ROI от таких проектов превышает ROI от традиционных бизнес-проектов – развития филиальной сети, диверсификации бизнеса и пр. Действительно, в текущих экономических условиях во многих отраслях практически нереально хоть сколько-нибудь увеличить объем бизнеса, и ставка на сокращение издержек – основной вектор развития. С учётом того, что от воровства и мошенничества компании теряют 1–4% от своего оборота (и это не сокращение оборота, а недополученная чистая прибыль!), а антифрод-проекты сокращают потери на 30–50% при сроке окупаемости от полугода, давнее стремление ИБэшников приносить деньги в компанию наконец-то начинает реализовываться.

 

Вхождение традиционной информационной безопасности в подобные «не ИБ»-проекты, с одной стороны, можно воспринимать как данность. С другой – это даёт руководителям более глубокое понимание бизнеса, которое начинает распространяться и на всю остальную деятельность ИБ-подразделения. Меняются и цели проектов. Например, происходит миграция от «надо мониторить инциденты ИБ в соответствии с лучшими практиками» к «управление инцидентами дает возможность оперативно реагировать и сокращать ущерб». При этом естественное желание выбрать лучший в своем классе продукт для решения каждой частной задачи сменяется выбором технологий, имеющих оптимальное сочетание функциональности и совокупной стоимости владения.

 

Именно такой обновленный взгляд, с одной стороны, более критический, с другой – более широкий, рассматривающий все возможности, предоставляемые ИТ для обеспечения безопасности бизнеса, является характерной чертой сегодняшнего дня. Конечно, это не отменяет, а, скорее, дополняет традиционные практики – управление рисками. Но то, что мы перестали быть только ИБэшниками и существенно лучше разбираемся в том, на чем компания зарабатывает, а на чем теряет, и как мы можем в этом помочь, даёт возможность сделать существенно больше, чем мы могли ещё вчера.

Уведомления об обновлении тем – в вашей почте

DLP 2.0. Комплексная защита активов

Системы DLP (Data Leak Prevention) на протяжении многих лет являются лидирующим классом продуктов по защите от утечек конфиденциальных данных в России.

"По сути дела, мы не банк в чистом виде"

По сути дела, мы не банк в чистом виде. Мы – ИТ-компания с банковской лицензией, и это накладывает свою специфику на процессы обеспечения ИБ

«Если ваш безопасник не умеет программировать, увольте его и наймите нормального»

Кирилл Ермаков, СТО компании QIWI, — личность известная. Кто-то знает Кирилла как жесткого спикера, способного озвучивать «неудобную» правду о рынке ИБ, кто-то — как создателя Vulners, яркого приверженца Bug Bounty и топового багхантера.

Прогулка по граблям, или Почему ИБ не обеспечивает ожидаемого эффекта?

«Внедрили SIEM. Обеспокоенность выросла, безопасность – пока нет». Кулуарный разговор на ИБ-конференции

О построении ИБ-процессов, или Как комфортно выйти из зоны комфорта

Почему выстраивание процессов обеспечения информационной безопасности первично по сравнению с внедрением технических средств – ответ дают наши эксперты

Комплекс защиты от утечек информации «Дозор-Джет»: общая архитектура и функциональные возможности

Комплекс защиты от утечек информации «Дозор-Джет» представляет собой DLP-систему, ядром которой является «Система архивирования и анализа «Дозор-Джет», вот уже более 10 лет развиваемая компанией «Инфосистемы Джет».

Контроль контролирующих, или Расширение возможностей DLP-систем

Если ваши сервисы работают без сбоев, можете смело их продавать. Эту несложную аксиому понимают владельцы любого бизнеса, вне зависимости от его масштаба или сферы деятельности.

DLP как сервис - маленькие радости реализации

Тематика контроля утечек конфиденциальной информации является одной из самых популярных в сфере ИБ

Инструментальный анализ уязвимости бизнес-процессов

Когда речь заходит о применении DLP-систем, воображение сразу рисует картины противостояния специалистов службы ИБ и инсайдеров, передающих за охраняемый периметр конфиденциальную информацию.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня