25.12.19

Стратегия CISO по модели 3-3-4-5

Вот представьте, что сегодня вы едете на работе в лифте, открываются двер, заходит генеральный директор и вдруг, ни с того, ни с сего спрашивает вас: "А какая у вас, мил человек, стратегия по ИБ?" Вы начинаете хватаеть воздух ртом, пытаясь сформулировать за несколько секунд, а какая же у вас стратегия в ИБ и есть ли она вообще? Так вот вам вариант, который я стащил у Рафика Римана и который перевел на русский язык и чуть-чуть подправил.

Рафик назвал ее стратегией 3-3-4-5, так как она состоит из 3 компонентов, каждый из которых состоит из 3, 4 и 5 частей соответственно. Выглядит она следующим образом:


Первый компонент помогает ответить на вопрос: "Чего я хочу достичь?". Вспоминая все, что я уже писал и посмотрев на название блога в шапке, мы ставим на первое место содействие бизнесу, его задачам, целям и приоритетам. На второе место мы ставим более близкое ИБ, но сформулированное на понятном бизнесу языке - управление рисками на приемлемом уровне. Третье место мы отдаем вопросам взаимодействия - справа-налево или с востока на запад, то есть между ИТ, ИБ и бизнесом, и сверху-вниз или с севера на юг, то есть между руководством, CISO и командой ИБ.

Второй компонент помогает вам сформулировать направления ваших инвестиций - как времени, так и денег. Тут работает классическая формула 4П (персонал, процессы, продукты, партнеры), которая и на английском звучит ровно также (people, processes, products, partners). Персонал надо нанимать (если есть ставки) или выбивать новые ставки, удерживать (удержание персонала обходится дешевле его найма) и повышать его компетенции и навыки. Персонал не должен действовать хаотично и неэффективно. Поэтому нужно выстраивать процессы, оптимизировать и упрощать существующие. Вручную ИБ не всегда построишь, поэтому нам нужны продукты, включая технологии, сервисы и консалтинг, которые помогут персоналу достигать поставленных целей с учетом выстроенных процессов. Наконец, так как своими силами ИБ не всегда можно реализовать целиком, нам могут понадобиться помощники или партнеры - внутренние или внешние.

Любая стратегия должна помогать нам ответить не только на вопрос "Что", но и "Как", поэтому третьим компонентом нашей стратегии ИБ будет "Как я хочу это сделать?". Рафик берет за основу фреймворк NIST Cybersecurity Framework и его пять компонентов (Identify, Protect, Detect, Respond, Recovery). Можно наверное использовать и серию стандартов ISO 2700x, и ISF, и CoBIT, но это уж как кому нравится. NIST CSF на мой взгляд более практичный, более простой и более проработанный инструмент, чем остальные. Увы, но в России фреймворков по ИБ так и не появилось. Ни ГОСТы ЦБ, ни серия приказов ФСТЭК не дотягивают до полноценного фреймворка.

Да ну, фигня, какая-то, - скажите вы. Нам что-нибудь попроще и поконкретнее. Да, пожалуйста. Вот вам чеклист CISO, который я презентовал в январе 2019-го года и который ставил 11 задач, которые можно было решать в течение всего года, тратя на них по одному месяцу (один в резерве). Его можно повторить и в 2020-м году - он не теряет своей актуальности.

В любом случае, теперь, если вы вновь столкнетесь с генеральным в лифте, вы знаете, что ему ответить. Знаете же?