Журнал "Information Security/ Информационная безопасность" #4, 2018

– В чьем ведении должны находиться вопросы обеспечения ИБ? Андрей Пряников – В ведении по уров- ням структуры орга- низации. То есть несо- мненно контроль дол- жен быть и со стороны главы компании (генерального дирек- тора/акционера), но при этом на самом минимально необходимом уровне (например, в пятиминутном еженедельном отчете или в виде одностраничного DashBoard). На более глубоком уровне – соответ- ственно, ниже по иерархии структуры компании. Лучшим вариантом является подчинение CISO напрямую генеральному. Если же CISO по какой-то причине не может подчи- няться такому уровню и стоит выбор между топ-менеджментом, то все сильно зависит от человеческого фактора. И ИТ-директор, и финан- совый директор, и директор по без- опасности могут быть хорошими руководителями, если они адекватно понимают возможные риски и более- менее следят за последними трен- дами в ИБ. Константин Саматов – В идеале – само- стоятельное подразде- ление в прямом под- чинении первому лицу организации либо собственнику, как вариант – структурное подразделение в службе безопасно- сти. Именно в службе безопасности, не в ИТ-подразделении, как это часто бывает на практике, т.к. основная функция ИБ – это не настройка тех- нических средств, которую могут делать ИТшники, если им правильно инструкции написать, а как раз конт- роль и управление угрозами и рис- ками. Лев Палей На мой взгляд, тут нет "посто- янного" ответа, потому что стра- тегия компании, ее история ведут к опреде- ленным коррективам, обуслов- ленным требованиям к эффек- тивности основных деловых про- цессов. Вопрос ведения стано- вится второстепенным, а на пер- вый план выходят возможности по включению в базовые дело- вые процессы. – Как процентно соотнести соответствие ЛНА и реальное обеспечение защиты информации компании? Андрей Пряников – В ЛНА нет смысла, если нет реального ИБ. Но без ЛНА невозмож- но скоординировать работу функции. Так что все зависит от уровня развитости процессов в компании и от ее размера. Опять же, ведение вопросов коррект- ной "нормативки" должно быть на руководящем уровне, а реальная ИБ – на уровне инженеров, которые выпол- няют эти ЛНА. Наверное, можно акку- ратно сказать про 20% на 80% (популярное соотношение), где 20% – это грамотная проработка ЛНА и конт- роль ее выполнения, а 80% – это ее исполнение на всех уровнях. То есть инженеров должно быть больше, чем менеджеров. Константин Саматов – В каждой конкретной организации будет разный ответ на дан- ный вопрос. По своему опыту руководства отделом ИБ могу ска- зать, что у меня соот- ветствовали примерно на 80%. Боль- шая часть норм, содержащихся в локальных нормативных актах, опи- сывала реально принятые меры, и примерно 20% было написано для галочки. – Должен ли быть технический бэкграунд у CISO или достаточно быть знакомым с основными технологиями? Андрей Пряников – Должен. При найме в штат технических специалистов это поз- волит оценить их реальный уровень и после этого более- менее спокойно дове- рить работу. При оценке рисков для ИТ-процессов – поможет понять, реально ли надо закрывать их и как это правильнее сделать. При написа- нии ЛНА/регламентов это поможет сделать документы ближе к реальному положению дел в компании. И в конеч- ном итоге (что самое важное) – тех- нические знания помогут контролиро- вать выполнение ЛНА и работу ИТ/ИБ- подразделения. Андрей Ревяшко – У хорошего CISO он однозначно должен быть, а без такового специали- ста не назовешь специа- листом. Речь не идет о том, что человек должен знать все от и до. Это нереально, хотя и исключения есть. Если говорить о багаже технических знаний, то должно быть понимание, что и где искать. Константин Саматов – По моему опыту, для CISO достаточно знаний терминологии и обзор- ного знакомства с основ- ными технологиями. Тех- нический бэкграунд впол- не может быть компен- сирован его подчиненными. К примеру, CISO должен понимать, что межсетевой экран – это устройство фильтрации тра- фика, а вот как его настраивать, CISO знать не обязательно. Для CISO скорее важен юридический или управленческий бэкграунд, так как основные вопросы, которые он решает, – организационно- правовые. Лев Палей Дьявол в деталях. Иногда качествен- ный контроль, при наличии опреде- ленного опыта, позволяет выявить критичные недо- статки процесса, а знание термино- логии "изнутри" – значительно увели- чить динамику применения измене- ний. И если задачи касаются сугубо вопросов соответствия, то основной фокус компетенций должен быть сосредоточен в области законода- тельства, а если в KPI получение максимального эффекта от процесса – тогда необходимо понимать в том числе и технические составляющие. – С кем можно сравнить CISO в современной компании, если брать для аналогий греческую мифологию? Андрей Пряников – Информационная без- опасность – это про "войну в цифровом мире". Если война ведется нечестно и с жестокостью, то к Аресу – это скорее про "хакеров-злоумыш- ленников". Если вспомнить, кто же проти- вопоставлен ему, то это Афина – богиня организованной войны, военной стратегии и мудрости. Именно этим мы и занимаемся, организуем, планируем, готовимся. • 21 УПРАВЛЕНИЕ www.itsec.ru

RkJQdWJsaXNoZXIy Mzk4NzYw