03.07.2009

Архитектура безопасности банка

Совершенно забыл выложить эту презентацию, прочитанную в апреле. Посвящена она понятию "архитектура ИБ" применительно к банку или страховой компании.



ЗЫ. В основу этой презентации лег курс "Архитектура и стратегия информационной безопасности", который я читаю в ИБД АРБ. Правда курс рассматривает эту тему более глубоко и не является вендор-ориентированным.

5 коммент.:

AndrewZ комментирует...

Все это конечно очень мило. Архитектура безопасности - как средство демонстрации связности действий службы ИБ, конечно имеет право на существование. Вот только можно поспорить с тем, что она может иметь под собой ясную концептуальную основу. Контекстную - еще куда ни шло. Суть безопасности (информационной или какой угодно другой) - защита интересов субъекта. Это все происки маркетологов, которые заявляют, что ИБ нужно вписать в высокоуровневые бизнес-цели.
Оно и понятно - лавры ИТ с их космическими бюджетами не дают покоя. А раз ИТ изначально вписан в бизнес-стратегию, то и с ИБ нужно сделать то же самое. Увы, это не выдерживает критики. Взгляните на слайд 30 и скажите, насколько очевидным выглядит там написанное?
Сама суть ИБ не может и не должна вылезать за контекстный уровень информационных технологических процессов, обладающих своими ценностными свойствами для бизнеса. Сохранение этих свойств в заданных параметрах в первом приближении и является основной задачей ИБ.

Алексей Лукацкий комментирует...

Все это очень спорно. ИБ - такой же процесс, как и все остальные. Денег напрямую не приносит - поэтому его сложнее подвязать к бизнес-целям... но можно. Это же нонсенс, когда из процессов деятельности компании не связан с ее бизнесом.

Денис Муравьев комментирует...

Эх Алексей, ели бы вы еще голосовой трек выкладывали - вообще бы цены не было вашим презентациям. Как всегда, поражает количество слайдов :)

Quiet Zone комментирует...

Алексей, не могу полностью согласиться. Рассматривать ИБ как самостоятельный процесс я бы тоже уже не решился. По крайней мере исходя из моего актуального опыта работы в живом и динамичном бизнесе. А опыт этот свидетельствует о том, что бытует отношение к безопасности именно как к сервису, вспомогательной службе, которая принципиально ничем не отличается от любой другой - сантехники, уборки помещений или полива цветов (речь именно о принципиальных отличиях; о различиях в важности их для бизнеса речь не идет). Всем этим службам говорить на языке бизнеса не пристало, они решают свои частные задачи в рамках понятных бизнес-процессов (нет сантехники без водоснабжения, нет ИБ без информационных процессов). И такое отношение очень сложно будет переломить, безопаснискам спорить с зарабатывающими деньги подразделениями практически нереально - они просто игнорируют очевидные требования ИБ когда это мешает им работать (кто знает как построить абсолютно незаметную и не мешающую СИБ - научите;). "Ставить" ИБ как авторитетное направление тоже очень не всегда возможно, потому что владельцы бизнеса хорошо понимают что такое "не можем продавать пока не дадут доступ к базе о клиентах", но слышать не хотят о Segregation of duties или Kneed to know. Хотя в банках позиции ИБ традиционно сильнее, чем в страховых. Банковская сфера гораздо сильнее зарегулирована, а страховые по сути только недавно стали чем-то обязаны с точки зрения ИБ(ФЗ-152). Именно поэтому, совершенно неожиданно для меня, повышение культуры персонала в области ИБ и его обучение оказались способны закрыть 90% проблем ИБ в страховой компании.

Алексей Лукацкий комментирует...

QuietZone: Я не говорю про самостоятельный процесс - речь идет о том, что ИБ связана с бизнесом и бизнес-целями.

Другой комментарий касается ИБ в контексте информационных процессов. Если трактовать это именно как информационные процессы, а не ИТ процессы, то в России вообще нет компаний, которые это понимают и на практике реализуют ;-( По сути CIO - это человек, который должен заниматься не ИТ, а информацией во всех ее представлениях. Он же должен заниматься knowledge management и т.п. А у нас CIO = CITO. Если бы CIO занимался бы информацией, то вопросов подчинения ИБ под CIO не было бы даже. А раз этого нет, то ИБ должна быть вынесена из под него и заниматься и другими аспектами безопасности, несвязанными с ИТ.

Что же касается языка бизнеса, то меня тут сложно переубедить, что ИБ не должна говорить на этом языке. Не должна, так нечего тогда жаловаться на отсутствие финансирования, внимания со стороны топ-менеджмента, сокращения в кризис и т.п.

И спорить ни с кем не надо ;-) Надо идти вместе к одним бизнес-целям. Сотрудничество, а не соперничество - залог успеха.

А повышение культуры и обучение - всегда были лучшей мерой ИБ. Только вот вендорам это не всегда нравится ;-)