15.6.20

Алгоритм оценки необходимости выполнения НПА по ИБ

В последнее время, несмотря на коронавирус и самоизоляцию, наши регуляторы и законодатели не устают выпускать новые нормативные акты, а в различных чатиках, каналах и группах вновь стали подниматься вопросы выполнения нормативных актов, известных уже не первый, и даже не пятый, год (например, ФЗ-152). И часто эти вопросы звучат в контексте, а как выполнять то или иное требование (или весь НПА)? При этом почти никогда не звучит вопрос, а надо ли вообще выполнять это требование или НПА. Я прекрасно понимаю, что для классического, "законопослушного" безопасника это звучит крамольно, но с точки зрения бизнес далеко не вес нормативные акты надо бежать выполнять по мере их выхода. Я для себя сформировал некую процедуру, ответив на вопросы которой, можно понять, насколько стоит вообще задумываться о выполнении тех или иных приказов, постановлений, положений, указаний, информационных сообщений и т.п.

Итак, процедура состоит из ответов всего на 5 вопросов. Первый из них звучит просто - "есть ли данное требование в НПА?". Да-да, очень часто мы спорим о требованиях, которых просто нет в нормативных актах, а он являются скорее примером "испорченного телефона". Набивший оскомину, но при этом оставшийся классическим пример связан с сертификацией средств защиты информации. Такого требования, например, а ФЗ-152 (о персональных данных) или ФЗ-187 (о КИИ) нет, но многие почему-то просто жаждут применения таких средств из все больше и больше сокращающегося списка. Поэтому я рекомендую в таких случаях самостоятельно читать НПА. Или вот вопрос о мифических требованиях ФСБ к средствам ГосСОПКИ. Таких требований нет, но я упорно слышу от заказчиков, которые услышали это ряда отечественных вендоров, что требования якобы есть и их надо выполнять.  

Второй вопрос связан с легитимностью нормативного акта. Да, не каждый выпущенный нормативный акт является легитимным. И хотя число нелигитимных НПА в нашей области постоянно сокращается, все-таки стоит смотреть, насколько требования по принятию и регистрации НПА соблюдены. Третий вопрос касается надзирателей за требованиями. Важно не только иметь легитимные требования, но и орган, который имеет право надзирать за соблюдением этих требований. Например, требования по импортозамещению ПО и железа, включая средства защиты, у коммерческих компаний (с госами ситуация иная). Требования есть, но кто имеет право проверять их соблюдение? Минцифра? Увы, нет. Так стоит ли напрягаться по этому поводу и вкладываться в то, что никто не способен проконтролировать? Или требования по защите ПДн. Проверять их может ФСТЭК и ФСБ, но... только в государственных и муниципальных операторах ПДн. А для проверки коммерческих организаций им нужно отдельное распоряжение Президента страны и я что-то такого не помню за 9 лет существования такого требования.

Четвертый вопрос еще интереснее. Вот есть у вас требование и оно легитимное и даже проверяющие есть, и они даже прийти могут проверить. А наказать они нас могут, если мы что-то не выполняем? Например, по теме КИИ сейчас всего одна статья и она уголовная (ст.274.1). Да, регуляторы внесли законопроект об изменении КоАП и появлении там новых составов правонарушений, но пока их нет. А раз наказать нельзя, то стоит ли так стремиться выполнять требования? С точки зрения бизнеса, который считает свои затраты и не видит рисков, положительный ответ будет не столь очевидным. Понятно, что можно расширить этот вопрос и уточнить масштаб наказания. Например, за невыполнение требований ФЗ-152 размер штрафов незначительный, в отличие от штрафа за нарушение GDPR. 

Наконец, пятый вопрос будет звучать так - "Наказание есть, но его когда-нибудь применяли?" То есть важен не только сам факт наличия наказания за невыполнение требований, но и правоприменительная практика по этому направлению. А том может оказаться, что за нарушение требований никто и никогда не наказывал. Например, есть такое Постановление Правительства №584 о защите информации в платежных системах. Там и требования, и регуляторы, и право проводить надзор, а вот проверок ноль. 


Если следовать этому простому алгоритму, то число требований, который нам надо будет соблюдать с точки зрения кибербезопасности может существенно сократиться и нам не придется тратить много денег своей компании и сидеть и бояться мифических проверок. Повторюсь, что это взгляд с точки зрения бизнеса, который рассматривает любое ограничивающее его законодательство как налог, который надо оптимизировать. И ИБ должна не мешать это делать, запугивая начальство карами небесными, а способствовать разумной трате денег, которые в условиях коронавируса и так сокращаются.


Но нельзя не сказать и об обратной стороне медали. Описанный алгоритм корректен в ситуации, когда мы живем в стране, где верховенствует закон. Но у нас увы, как показывает опыт последних 2-3 месяцев, когда власти принимают нормы, ограничивающие права граждан в нарушение действующего законодательства, существует вероятность, что вас придут проверят независимо от того, есть у проверяющих права на это или нет и накажут вас даже при отсутствии соответствующих статей в КоАП. Как говорится "был бы человек, а статья найдется". И ситуация явно не становится лучше. Поэтому описанный выше алгоритм стоит вписывать в существующую в организации стратегию управления рисками и танцевать уже от нее. Кто-то вполне всерьез рассматривает риски наезда со стороны государства, кто-то нет...

8.6.20

Что больше нужно предприятию - служба ИБ или функция ИБ?

В мире ИБ существует много мифов и заблуждений, часть которых появилось очень давно и тогда они еще были правдой, но со временем ситуация поменялась кардинальным образом, но миф или заблуждение продолжают жить и только укрепляются в умах специалистов, которым не преподавали в ВУЗах критическое мышление и поэтому они часто плывут по течению, скользят по накатанной плоскости вместо того, чтобы остановиться и подумать, туда ли они движутся. Одно из таких заблуждений связано с тем, кто должен обеспечивать информационную безопасность на предприятии.

Пару недель назад я участвовал в закрытой дискуссии по результатам одного опроса, посвященного вопросам ИБ в России после пандемии коронавируса. В нем, среди прочего, возникла тема смены роли ИБ после самоизоляции, и я смог наконец-то сформулировать, пропустив через себя, то, о чем Дима Мананников говорит уже давно на своих выступлениях. Речь идет о том, что ИБ в нормальной жизни давно уже вышла за пределы выделенного подразделения ИБ и рассматривать ее необходимо как самостоятельную функцию в рамках всего предприятия.

Попробую пояснить на простом визуальном примере. Если мы посмотрим на большинство стандартов, best practices, приказов регуляторов и т.п., то мы увидим, что все они исходят из простой парадигмы - кибербезопасностью должна заниматься отдельная служба кибербезопасности (или ИБ, или ЗИ). Это стало "аксиомой" и чем серьезнее защищаемая система, тем больше она, по мнению авторов лучших практик, нуждается в отдельном подразделении. И, как следствие, многие продолжают эту мысль и считают, что вся ИБ должна быть сосредоточена в службе ИБ. Поэтому и тема персональных данных у нас часто попадает в руки безопасников; хотя в Европе, согласно тому же GDPR, этой темой занимаются совсем другие люди, далекие от ИБ и вообще ИТ. Многие ИБшники свою деятельность видят вот так:  


Есть отдельные подразделения, которые занимаются бизнесом, и есть служба ИБ, которая, как шериф на диком Западе, защищает бизнес от плохих парней, покушающихся на него. Как только возникает такая картинка, сразу всплывают вопросы, на которых традиционный безопасник не может дать ответа. Кто должен заниматься борьбой с мошенничеством (часто антифрод находится в руках отдельных людей)? Кто должен мониторить даркнет (часто это вешают на PR-службу)? Кто должен заниматься мониторингом использования ваших доменов (часто это вешают на digital marketing)? Кто должен заниматься повышением осведомленности персонала (часто это вешают на HR)? Кто должен заниматься обеспечением бесперебойной работы сайта (часто это вешают на ИТ)? Кто должен заниматься повышением продуктивности пользователей, тратящих время на чтение спама (часто это вешают на operations)? Кто должен заниматься управлением уязвимостями (часто это вешают на ИТ)? И т.д. По сути, у безопасников в руках остаются только вещи, которые прописаны в нормативных документах, то есть они занимаются так публично нелюбимой ими же (но так желаемой по ночам) бумажной безопасностью. А все потому, что они мыслят в терминах подразделений, отделов, служб, у которых есть свои полномочия, свой бюджет, свои ресурсы...

Но ИБ давно вышла за рамки того, что придумают ФСТЭК, ФСБ или Роскомнадзор, жестко ограниченные рамках положений о них, и определяющих сферы их компетенций. ИБ на современном предприятии - это то, что пронизывает абсолютно все сферы деятельности компании. ИБ превратилась (хотя, наверное, она всегда была такой) из набора задач, выполняемых службой ИБ, в функцию, которая должна быть обеспечена... и не так важно кем обеспечена. Если координацию реализации этой функции не может взять на себя служба ИБ, ее передадут другим подразделениям, а точнее раздербанят между ними, что негативно скажется на общем состоянии ИБ предприятия, которая будет следовать поговорке "у семи нянек дитя без глаза".


В итоге служба ИБ будет прозябать, руководство будут рассматривать службу ИБ как центр затрат и вериги на ногах у бизнеса, безопасники будут все больше требовать от регуляторов усиления контроля, параллельно кляня их за излишний надзор и регуляторику... Вот так и живем :-(

2.6.20

Игра Cybersecurity Alias

Еще до пандемии меня пригласили в один проект, целью которого было создание игр по кибербезопасности, которыми можно было занимать участников различных мероприятий по ИБ, а также использовать их как самостоятельный инструмент для изучения различных аспектов ИБ. То есть проект должен был использовать геймификацию, которая начинает набирать у нас обороты, и как новый формат для мероприятий, и как инструмент обучения. А учитывая, что я про тему геймификации писал уже немало и в моей коллекции есть немало примеров игр по ИБ, мое участие в этом проекте было вполне логичным. На мне лежала часть, связанная с придумыванием игр, а на пригласившем меня в проект человеке - их оформление и издание. Но увы... Проект умер, так и не родившись и все мои идеи и уже почти написанные сценарии и правила канули в Лету.

Но про один из вариантов я все-таки напишу, так как он настолько прост, что его можно сделать в домашних условиях без особых усилий. Эту игру я назвал Cybersecurity Alias. Alias - это такая простая игра на ассоциации - один участник пытается объяснить записанное на карточке слово, а другие игроки пытаются его угадать. Cybersecurity Alias, соответственно, - это игра, в которой надо было объяснять термины и слова, связанные с кибербезопасностью.

За кажущейся простотой этой идеи скрывается, на самом деле, очень много интересного. Во-первых, можно проверять знания сотрудников при приеме их на работе или регулярной аттестации. Во-вторых, эта игра позволяет научить сотрудников объяснять сложные вещи простыми словами, что очень полезно при общении с бизнесом. В-третьих, эта игра позволяет вырабатывать навык общения в условиях цейтнота по времени (в игре на карточку из 8 слов вам дается очень немного времени). И, наконец, эта игра позволяет в игровой форме расширить кругозор собственных сотрудников, которые далеко не всегда знают темы за пределами своей повседневной деятельности.

При этом, как у классического Alias есть разные версии - для взрослых, для детей, для смешанной аудитории, с параллельным выполнением заданий и т.п., так и в ИБ-версии можно сделать схожие  вариации. Например, детей можно заменить бизнесом или рядовыми пользователями, которым вам придется объяснять ваши задачи и инструментарий совсем уж простым языком. И т.д.

Самое главное, что такая игра легка в изготовлении. Достаточно составить словарь из нескольких сотен слов (в оригинальной версии 180 карточек по 8 слов в каждой) и поместить их на шаблон карточки, который легко отрисовать в PowerPoint, Word или ином офисном продукте. В итоге получится что-то вроде таких карт, на которых можно увидеть совершенно разные слова, имеющие отношение к ИБ - от названия технологий до знаковых имен в ИБ, от нормативки до инструментария злоумышленников. Если вдуматься, то словарь современного ИБшника насчитывает не менее пары тысяч специфических слов, которые можно вынести на карты Cybersecurity Alias и долгими и скучными "вечерами" на самоизоляции заняться полезным делом.