Продолжение (ИБ)⁠⁠

Кратенько о рисках

Методов оценки рисков множество множеств, а потому рассматривать все их я разумеется не буду. Но рассмотрю метод, который прекрасно укладывается в мою стройную картину видения ИБ - метод контрольных листов. Если помните, то пилоты перед взлетом читают контрольную карту. Ну вот что-то вроде. Документация предприятия, как я уже отмечал, имеет функции интегрирования ИБ, представление множества процессов в виде целого и непротиворечивого. Регламентирует действия сотрудников, предъявляет требования к средствам защиты информации и т.д. Но помимо этого она так же выполняет функцию накопления знания в виде отчетов, аналитических материалов по проектам, извлеченных уроках, которые учитываются и вносятся в документацию предприятия. Организация накапливает опыт, знания, аккумулирует их в базах данных или знаний. Учитывая, что наибольшие информационные риски присущи проектным процессам ввиду плохой прогнозируемости и значительной доли неизвестности, то в первую очередь опыт должен накапливаться за счет них. Проект должен заканчиваться не в момент достижения поставленной цели, а в момент сдачи документации по проекту и отчетов участвовавших руководителей в архив. Если Вася Пупкин за время проекта постоянно косячил и срывал сроки, то это будет подшито в папочку и в следующий раз его или не привлекут к проекту, или за ним будет строгий надзор. Это зрелый подход, обеспечивающий совершенствование процессов ИБ, позволяющий накапливать СОБСТВЕННЫЙ опыт и знания. Если следовать стандартам (когда они не являются обязательными), то мы попадем в каменный век. Да, если говорить о стандартах, то это лучший опыт, но это лучший опыт почти двадцатилетней давности. Взять для примера стандарт "ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности", который издан был в 2008 (в 2010 переведен на русский) или "ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности". Получается, что изданы они были 10 лет назад. Но опыт, который был в них использован должен был быть получен из компаний, проанализирован, утвержден и т.д. Можно прибавить еще лет 10. Если компания будет опираться на стандарты, то в лидеры она никогда не выбьется. Для лидерства стандарты надо писать самим, а для этого нужен свой опыт и свои знания.

Ну и конечно хочу отметить совсем простые вещи, как наличие риска явки аудиторов для проверки документации и снижение рисков вследствие наличия грамотной документации и её соблюдения.

Эх, раз уж начал про сферических коней, то гулять так гулять.

Закон что дышло... А потому основная правовая нагрузка по защите информации ложится на плечи компании. Писали мне про ФЗ-98 "О коммерческой тайне" мол вот закон и там все написано. Но все меры в этом законе уместили в 5 пунктов и почти все отдано на откуп компаний. Есть проблемы и в образовании, и в законодательстве. Но мне кажется, что такие проблемы есть везде и ИБ не исключение. Есть проблема обеспечения исполнения документации. Но тут важно понять, что совсем исключить риск нарушения регламентов и инструкций полностью довольно проблематично, а вот снизить до приемлемого уровня можно. Конечно приемлемый уровень у каждого свой, но не будем отвлекаться) Ну штрафы это само собой, еще можно внедрять разделение обязанностей (один делает, другой контролирует), внедрять какие-то технические средства контроля, облегчать выполнение требований, проводить тренинги. Ну для примера о паролях: можно внедрить SSO (сложно и не всегда возможно), можно рекомендовать использовать не пароли, а парольные фразы вроде "синийконьнакухнесзеленымиобоямиипаркетом", можно внедрить средства аутентификации по ключу, ну и разумеется поставить галочку на запрет слабых паролей)

Еще есть такой принцип необходимости знания. Если необходимости нет, то и знать ты этого не должен. Реализуется как правило через руководителей отделов, которые указывают для каких должностей какой доступ должен быть предоставлен.Отдел ИБ здесь выступает в качестве надзорно-утверждающего.