Когда 5 лет назад я затевал этот блог, я лелеял надежду, что писать я буду о том, как поднять ИБ на уровень бизнеса, об измерениях в ИБ, метриках, психологии ИБ, теории организации в контексте ИБ и многим другим темам, которым место в программе MBA. Но мечте не суждено было сбыться - скатился в банальщину, которая отъедает у российских безопасников излишне много времени. Неоправданно много. Речь идет о compliance - о ФЗ-152, о ФЗ-149, о документах ФСТЭК, ФСБ, РКН, ЦБ и т.д. Слишком уж их много стало появляться в последнее время. А так как я уже начал эту тему вести, то было бы неправильно прекращать ее освещать - очень многие рассматривают этот блог как источник новостей по изменению нашего законодательства в области ИБ.
Не скажу, что в других странах такого нет. Compliance - это один из драйверов ИБ, но именно что "один из". Помимо него безопасники в других государствах активно занимаются реальной безопасностью, направленной на решение реальных, а не мнимых проблем ИБ. В этом плане мне вспомнился на днях PHD, лозунг которого был "Реальная безопасность". И действительно - взломы АСУ ТП, банкоматов, браузеров, обход защитных механизмов, мошенничества с ДБО - вот то, чем должны заниматься службы ИБ. А у них банально на это времени не хватает, т.к. они вынуждены заниматься выполнением многостраничных манускриптов, построенных на уже устаревшей парадигме защищенного периметра, защите гостайны и противодействии иностранным техническим разведкам.
При этом регуляторы, выпускающие свои творения, еще и считают, что современный безопасник, работающий в коммерческой компании, глуп и несведущ в современных угрозах. А посему он не может сам провести анализ рисков и сам же разработать меры по их нейтрализации или управлению ими. А значит надо сделать все за него... Это неплохо, если бы не при разработке таких мер регулятор не исходил из устаревшей парадигмы, как я написал выше. Вот и приходится сначала пытаться выполнить сотни требований от десятка регуляторов, а потом уже заниматься реальной безопасностью. Разумеется, если потребитель изначально не принимает на себя риск несоответствия. Но таких в России немного ;-(
И ведь сам себя загнал в угол. Т.к. текущая ситуация меня не устраивает, то надо что-то в ней менять. Считать, что менять ее должен "вон тот парень", я не могу - приходится самому пытаться что-то делать. Вот и участвую в различных рабочих группах, технических комитетах, провожу экспертизы нормативной базы, пытаясь, как минимум, показать, что мир выглядит не всегда так, как это описывают регуляторы в своих документах. Не все получается, но результаты, безусловно, есть.
К чему я это все?.. Просто поток сознания ;-) Очередную англоязычную книжку по ИБ читаю и понимаю, что интересы специалистов по ИБ ТАМ и ТУТ совершенно разные. Хотя слова и знакомые, но трактуются они по разному. И там гораздо дальше ушли в решении многих именно практических вопросов, о которых у нас просто не говорят или не знают. С точки зрения compliance мы можем дать фору всем странам, в отличии от бизнес-направленности и практической реализуемости этого compliance.
А самое главное, что нельзя сказать, чем это все закончится. Абсолютнейшая неопределенность. Есть как сигналы о том, что ситуация меняется в лучшую сторону, так и сигналы, что все остается как прежде. То приглашают к разработке интересной нормативной базы, то долгое затишье. То принимают твои предложения, то не включают их в финальный вариант документа, признав их нецелесообразными. То один регулятор делает шаг вперед, то второй откатывает ситуацию на 2 назад. Очень непросто в такой ситуации. Но и интересно одновременно.
Не скажу, что в других странах такого нет. Compliance - это один из драйверов ИБ, но именно что "один из". Помимо него безопасники в других государствах активно занимаются реальной безопасностью, направленной на решение реальных, а не мнимых проблем ИБ. В этом плане мне вспомнился на днях PHD, лозунг которого был "Реальная безопасность". И действительно - взломы АСУ ТП, банкоматов, браузеров, обход защитных механизмов, мошенничества с ДБО - вот то, чем должны заниматься службы ИБ. А у них банально на это времени не хватает, т.к. они вынуждены заниматься выполнением многостраничных манускриптов, построенных на уже устаревшей парадигме защищенного периметра, защите гостайны и противодействии иностранным техническим разведкам.
При этом регуляторы, выпускающие свои творения, еще и считают, что современный безопасник, работающий в коммерческой компании, глуп и несведущ в современных угрозах. А посему он не может сам провести анализ рисков и сам же разработать меры по их нейтрализации или управлению ими. А значит надо сделать все за него... Это неплохо, если бы не при разработке таких мер регулятор не исходил из устаревшей парадигмы, как я написал выше. Вот и приходится сначала пытаться выполнить сотни требований от десятка регуляторов, а потом уже заниматься реальной безопасностью. Разумеется, если потребитель изначально не принимает на себя риск несоответствия. Но таких в России немного ;-(
И ведь сам себя загнал в угол. Т.к. текущая ситуация меня не устраивает, то надо что-то в ней менять. Считать, что менять ее должен "вон тот парень", я не могу - приходится самому пытаться что-то делать. Вот и участвую в различных рабочих группах, технических комитетах, провожу экспертизы нормативной базы, пытаясь, как минимум, показать, что мир выглядит не всегда так, как это описывают регуляторы в своих документах. Не все получается, но результаты, безусловно, есть.
К чему я это все?.. Просто поток сознания ;-) Очередную англоязычную книжку по ИБ читаю и понимаю, что интересы специалистов по ИБ ТАМ и ТУТ совершенно разные. Хотя слова и знакомые, но трактуются они по разному. И там гораздо дальше ушли в решении многих именно практических вопросов, о которых у нас просто не говорят или не знают. С точки зрения compliance мы можем дать фору всем странам, в отличии от бизнес-направленности и практической реализуемости этого compliance.
А самое главное, что нельзя сказать, чем это все закончится. Абсолютнейшая неопределенность. Есть как сигналы о том, что ситуация меняется в лучшую сторону, так и сигналы, что все остается как прежде. То приглашают к разработке интересной нормативной базы, то долгое затишье. То принимают твои предложения, то не включают их в финальный вариант документа, признав их нецелесообразными. То один регулятор делает шаг вперед, то второй откатывает ситуацию на 2 назад. Очень непросто в такой ситуации. Но и интересно одновременно.
Знаешь, это еще и наш собственный выбор - картина выглядит так, как мы сами об этом пишем. А пишем мы на тему соответствия требованиям слишком часто, потому что: а) считаем, что это наверняка интересует других, под тех же законодательством ходящих; б) не можем приводить реальные случаи из своей ежедневной практики.
ОтветитьУдалитьМне кажется, это нужно просто рассматривать как этап: государство на какое-то время выпустило эту тему, сейчас усиленно наверстывает разрыв между текущим состоянием проблематики и РД Гостехкомиссии конца 80-ых, потом будет опять нормальное внимание к теме, здоровое.
Алексей, что называется «мысли вслух»! Бывает, захлестывает, … сам такой. Так вот, чуть-чуть маслеца ….. Дело все в том, что если мы сами не можем (или не хотим), что то продумать и решить мы смотрим, как это делается «у них» и криво копируем. Почему криво, да потому, что копируем мы ту часть айсберга, что на поверхности, а в глубину подсмотреть мы или не сообразим, или не пущають! Пустить свежие мозги к рулю? …. О чем это я…….! Дело в том, что ЗИ болеет той же болезнью, что и вся страна, вариантов выздороветь раньше → «0»!
ОтветитьУдалитьЭто было одним из главных аргументов почему я ушел из ИБ...
ОтветитьУдалитьЯ уже старый, чтобы менять профиль деятельности. Все-таки 20 лет в отрасли
ОтветитьУдалитьА главное все знают почему так) Все хотят получать деньги, ни чему не учиться и ничего не делать. ИМХО.
ОтветитьУдалитьДа, комплайнс отдан ТАМ во многом на усмотрение самих организаций и оценку рисков, а вот кто как это все реализует - другой вопрос, поэтому в книгах и блогах и пишут как нужно. Вот только ведь и там не все так, как они пишут в книжках - у нас в стандартах тоже пишут :)
ОтветитьУдалитьНу а по поводу нашей текущей ситуации можно пока развести руками, хотя без них многие бы вообще ничем не занимались
Кстати если бы не было регулирующих воздействий в последние годы, вообще сложно представить в каком месте сейчас была бы отрасль... Хотя с другой стороны там бы не было случайных людей, а было бы больше профессионалов. Если бы да кабы...
ОтветитьУдалить