Безопасность бумажная VS безопасность практическая, - управление ИБ в современных реалиях
На прошедшем с 25 по 28 июля в Сочи Коде ИБ ПРОФИ тема управления безопасностью звучала на каждом мастер-классе. Но подход к этой теме у каждого из экспертов свой: кто-то призывает придерживаться международных регламентов и стандартов, а кто-то заявляет, что они бессмысленны при реальной кибератаке. Попробуем разобраться в доводах.
Бумажная безопасность представлена в России регламентами и стандартами, которые носят общее название «фрэймворки». Основаны они на требованиях регуляторов. Фрэймворки позволяют совместить в себе обеспечения соблюдения норм законодательства, экономику и потребности бизнеса в одном документе.
Один из самых распространенных в России документов по обеспечению безопасности – ISO27001. Он позволяет встраиваться даже в стандарты безопасности других стран, поэтому,
«если ваш бизнес планирует выходить на международные рынки, то стоит реализовать у себя стандарт ISO27001», - комментирует Андрей Прозоров.
Также, по мнению эксперта, этот документ может пригодиться при составлении должностных инструкций или методик оценки эффективности ИБ. Его дополнила Наталья Гуляева (Hogan Lovells):
“Стандарты пригодятся вам при аудите, проводимом ФСТЭК или прокуратурой. С чего-то вам надо начинать, дать какие-то документы проверяющим, и тут вам на помощь придут эти регламенты».
Ряд экспертов на конференции выразил скепсис по отношению к составлению регламентов и бумаг в сфере управления информационной безопасностью. В их числе Евгений Волошин (BI.Zone):
«Когда в компании назревает необходимость во фрэймворке, надо понимать, для чего в конечном счете это делается. Введя в работу какой-то стандарт в форме документа, вы «просто причесались», но должны быть какие-то внешние меры, которые актуализируются согласно внешним угрозам».
Антон Карпов (Яндекс) уверен, что «безопасность – это не про фрэймворки, безопасность в первую очередь, про людей». Любой внедренный стандарт, по убеждению спикера, не вреден, но при внедрении очень важно не перегнуть палку, чтобы оставить место для маневра в условиях динамично меняющейся киберсреды.
«С другой стороны, - подытожил эксперт, - если вы у себя в компании защитили все бизнес-процессы, то, наверное, нет смысла делать под этого специальный регламент. Если все работает хорошо, значит, вы добились конечной цели».
Комментирует директор по развитию бизнеса Thycotic по России и СНГ Илья Горюнов:
«Безусловно, информационная безопасность компании начинается с формирования политики и регламентов, которые должны соответствовать определенным стандартам. Конечно, эту задачу упрощают различные фреймворки. Но изложенное на бумаге нужно эффективно воплотить в жизнь, при этом минимально повлияв на бизнес. Стремительно набирающие популярность решения класса PAM (Privileged Account Management) закрывают большое количество требований различных стандартов и политик, поскольку получение доступа к учетным данным привилегированных пользователей является главным направлением любых атак. Ценность Thycotic в быстром внедрении и простоте использования, что, несомненно, упрощает достижение бумажного идеала».
Свое мнение относительно бумажной безопасности выразил программный директор конференции Алексей Лукацкий:
«Злоумышленнику все равно, какой стандарт вы внедряли, он вас ломает не по стандарту».
Для того, чтобы обезопасить бизнес в практическом смысле существует множество вендорских решений. Однако, по опыту экспертов Кода ИБ ПРОФИ, часто бюджеты на ИБ осваиваются эффективно, а на практике купленные решения не внедряются, а «лежат на полках» или остаются интегрированными в лучшем случае лишь на половину. Такую безопасность спикеры называют бессмысленной тратой денег.
Мастер-классы и практикумы, прозвучавшие на конференции охватили как вопросы, связанные с обеспечением бумажной безопасности, так и чисто технические вопросы ИБ. Участники Кода ИБ ПРОФИ отметили практическую значимость ворк-шопа Льва Палея, на котором отрабатывались навыки выбора и обоснования средств защиты.
Конференция продлилась 4 дня, два из которых профессионалы ИБ провели, погрузившись в освоение знаний и навыков, и еще два дня – в приключения в горах и на море.
Впечатления участников
Богданов Артемий, технический директор «Антифишинг»:
«Деловая часть мероприятия была особенно крутая. И мне она понравилась, честно говоря, даже больше, чем в прошлом году, потому что в этом году было больше тем по техническим вопросам. Все прозвучавшие доклады применимы на практике, очень понравился доклад Антона Карпова».
Павел Зимарев, СКБ Контур:
«Если говорить об организации конференции, то все на уровне, хотя я избалован «контуровскими» мероприятиями. Если судить о содержательной части, то доклады все очень информативные. Стоить ли ехать в следующий раз? Конечно стоит, потому что доклады можно и в записи посмотреть, но кулуарное общение, какие-то инсайты, разговоры в неформальной обстановке – это немного другое. Тут больше откровенности, практики, смысла».
Опарин Олег, Сбербанк:
«Мне очень нравится эта камерность мероприятия, когда есть возможность пообщаться со спикером тет-а-тет, задать ему свои вопросы. Достаточно много нового опыта и новых идей было получено на конференции, и я надеюсь, будет применено в реальной жизни».
Луганский Александр, МедЛинкс:
«Я на Код ИБ ПРОФИ уже в третий раз. Два раз из них в Сочи. Здесь в Сочи в отличие от Москвы более кулуарная атмосфера, можно пообщаться ос всеми спикерами, никто никуда не разбегается, все на расстоянии вытянутой руки. Что касается контента, есть очень интересные доклады, есть просто интересные. Думаю, что в следующий я тоже сюда приеду».
Благодарности партнерам мероприятия:
Netwrix, ESET, MONT, Microsoft, IBM Capital Corporation, Genesis Technology, Thycotic, Школе ИТ-менеджмента РАХиГС.
Медиа-партнерам:
Anti-Malware.ru (Стратегический медиа-партнер), порталу ISO27000.ru, порталу GlobalCIO, Information Security, Единому порталу электронной подписи, порталу банковской безопасности BIS Journal, Dom.ru, журналам “Системный администратор”, порталу IT-EVENTS, EXPOMAP, Jobsora, клубам ИТ-директоров: IТюмень, ОрбИТа, яИТы, Санкт-Петербуржскому CIO клубу, АРСИБ, учебному центру Эшелон/
Пресс-релиз Код ИБ в Сочи