Журнал "Information Security/ Информационная безопасность" #4, 2018

Андрей Ревяшко – В древнегреческой мифологии есть Арес – бог несправедливой войны. ИБ вполне можно рассматривать как пол- ноценную и несправедли- вую войну. Безусловно, есть и обратные моменты: к примеру, если ты как специалист по ИБ допустил внедре- ние чего-то опасного для жизнедеятельно- сти компании, то справедливо будет воз- ложить ответственность за это на тебя. Но речь больше про то, что бизнесу в основном угрожают исподтишка – не в честном бою, без объявления войны. Хотя нередки случаи, когда, к примеру, перед DDoS-атакой присылают "письма счастья" с предложением "откупиться" от атаки. Константин Саматов – Арес – бог войны. Должность CISO (впро- чем, как и руководителя СБ) всегда подразуме- вает некое состояние войны (противодей- ствия), причем как с внешним, так и внутренним нарушите- лем, защиту интересов организации от внутренних и внешних угроз. Поэтому хороший CISO – это всегда "свой среди чужих, чужой среди своих". – Эксперт и ИБ-евангелист. В чем разница? Андрей Пряников – Слово эксперт означает "наличие экспертизы", т.е. определенных знаний, скорее полученных через практику. То есть говоря об эксперте в области ИБ, мы точно знаем, что вес его знаний очень значителен, при этом он не стремится ими со всеми делить- ся. Если же говорить про ИБ-евангелиста, то он может и не являться экспертом, а может даже и не обладать какими-то глу- бокими знаниями, но при этом способен очень грамотно донести мысль до других и хочет это делать. Такие люди могут хорошо работать, например, в продажах. Если же эксперт одновременно является и ИБ-евангелистом, то, скорее всего, у него есть твиттер, канал в Телеграме и личный блог, а работать при этом он может, например, в Cisco. Константин Саматов – Эксперт ИБ – это спе- циалист, способный дать квалифицирован- ное заключение по тому или иному вопросу, обладающий, по моему мнению, следующими характеристиками: наличие профиль- ного образования (возможно, в виде профессиональной переподготовки); опыт работы в данной сфере не менее пяти лет; членство в отраслевых обще- ственных организациях. ИБ-евангелист – это человек, занимающийся популя- ризацией информационной безопасно- сти (например, ведущий блог в сети Интернет). В ряде случаев обе роли могут совпадать, однако для ИБ-еван- гелиста не обязательно обладать ква- лифицированными знаниями в области ИБ, достаточно лишь снабжать аудито- рию тематическими материалами (например, вести тематический блог, где репостить публикации других людей). – Психология в ИБ – данность или часть профессии? Андрей Пряников – Это часть профессии, и в ее рамках прихо- дится изучать некото- рые аспекты психоло- гии. Даже если взять такой крупный блок ИБ, как повышение осве- домленности персонала, – его невоз- можно развивать, не обладая понима- нием того, как работает психология. Не зная принципов социальной инже- нерии, можно упустить, пожалуй, самый серьезный блок ИБ, с направленными атаками. Кстати, если вдруг читающие эти строки никогда не знакомились с книгой "Искусство обмана" Кевина Мит- ника, настоятельно рекомендую это сделать и использовать знания в бла- гих целях. Андрей Ревяшко – Уверен, что психоло- гия есть часть профес- сии. Ведь это и хорошее подспорье в расследо- вании инцидентов, и решение ИБ-вопросов на перепутье интересов, к примеру, нескольких департаментов. С одной стороны, можно пустить раз- бор сложных инцидентов на самотек, ввиду несогласованности междепарта- ментных действий, а можно грамотно, с психологией к тому или иному решению спорных моментов, сэкономив время, которое, как правило, играет против ИБ (к примеру, ограниченное время хране- ния логов). Не стоит забывать и о том, что спе- циалист по ИБ, способный грамотно применять на практике методы психо- логии, с большим успехом (по отноше- нию к специалисту без таковых навыков) донесет информацию о возможных угро- зах, к примеру, сотрудникам компании, чем снизит риски последней. Константин Саматов – Скорее, данность, необходимый элемент. Лично я бы не рассмат- ривал ИБ как часть ИТ. ИБ, на мой взгляд, – это составная часть управ- ления безопасностью компании, а не управления информа- ционными технологиями. Первоочеред- ные задачи ИБшника – это не настройка средств защиты (по-хорошему, он может вообще этим не заниматься), а управле- ние процессом минимизации (нейтрали- зации) источников угроз безопасности информации, одним из которых является человек. – На какие стандарты и лучшие практики вы ориентируетесь при реализации стратегии ИБ? Андрей Пряников – Если посмотреть все стандарты по очереди, то можно заметить пере- сечения, но где-то есть конкретика, а где-то тре- бования описаны общи- ми словами, где-то речь про процесс, а где-то про технику. В своей практике я обращаюсь к таким стандартам, как ISO 27001 (упор на "какие процессы нужны") и требования из ФЗ (тот же 21-й приказ про ПДн и 31-й приказ про КИ – тут больше про "а какие виды средств нужны"). И хоть я никогда не работал в банках/кредитных органи- зациях, я иногда обращаюсь к стандарту PCI DSS, так как стандарт защиты для платежных систем в некотором смысле является эталоном ИБ. Базой для инфра- структуры многих организаций сейчас является ПО компании Microsoft – очень часто в качестве стандартов обращаюсь к их Security-стандартам. Андрей Ревяшко – Для нас, в первую оче- редь как для e-com- merce-проекта, ИБ – это прежде всего OWASP, PCIDSS, SDL и посто- янное повышение уров- ня осведомленности как сотрудников, принимающих участие в жизнедеятельности компании, так и наших клиентов. Константин Саматов – В первую очередь я ориентируюсь на норма- тивно-правовые акты (законы, постановления, приказы регуляторов) и методические документы (методики, базовые 22 • УПРАВЛЕНИЕ