Журнал "Information Security/ Информационная безопасность" #4, 2018

модели угроз и т.п.) регуляторов, исходя из них и формирую стратегию и политику ИБ. Еще использую стандарты ГОСТ Р ИСО/МЭК серии 27001. Правда, при их применении нужно учитывать взаимо- связь с принятыми нормативно-правовы- ми актами, чтобы не было расхождений. Лев Палей Не существует стандартов, кото- рые можно взять на вооружение в состоянии "как есть", но вот под каждый подпроцесс можно найти ориентиры для после- дующей детализации и подстройки. Здесь и NIST SP 800-53, и CIS: Метрики безопасности и 27001 (ГОСТ и ISO) – ограничений в том, что использовать для совершенствования, не существует. – Agile в ИБ жив или не очень? Андрей Пряников – ИБ просто обязана ориентироваться на бизнес. И если бизнес меняет требования по принципу Agile, то и ИБ приходится это делать. При этом для развития функции такой вариант, конечно, хуже, так как с изменением переменных меняются и вероятные риски и надо динамически успевать выбирать наиболее опти- мальное изменение. Для ИБ гораздо лучше планомерное стратегическое развитие и наименьшее количество резких изменений как в бизнесе, так и в ИТ-инфраструктуре и процессах. Так что ответ на вопрос: Agile в ИБ жить может, но лучше для нее поболь- ше стабильности. Хотя если такой Agile прилетает извне в виде очеред- ного шифровальщика – тут ИБ надо перестраиваться максимально быстро. Андрей Ревяшко – Так уж сложилось, что современный мир бизнеса все больше и больше наполняется духом Agile. Так что хотим мы этого или нет, но у ИБ одна дорожка – трансформироваться под новые тре- бования. Agile в ИБ будет все больше и больше набирать обороты. Исходя из этого гибкий подход в ИБ живее всех живых. Предоставляя постулатам о гибкости проектов место для маневров, ИБ проникает в жизненные циклы послед- них, дабы не становиться бутылочным горлышком бизнес-задач. Сегодня это видится чуть ли не единственной воз- можностью достойно реагировать на угрозы ИБ. Константин Саматов – Agile – это методо- логия проектного управления, наряду с PM BOK и PRINCE 2, хорошо зарекомендо- вавшая себя при раз- работке программного обеспечения. При этом слабым местом данной методологии с точки зрения ИБ можно считать "пренебре- жение" к документированию процес- сов, что может затруднять процесс сертификации разработанных средств защиты (в случае с разработчиком программного обеспечения) либо обоснование неактуальности угроз, связанных с наличием НДВ (при использовании собственных разрабо- ток организации). Если говорить о проектах, не связанных с разработкой программного обеспечения (создание СЗПДн, КСЗИ, внедрение DLP и т.п.), то для их реализации чаще использу- ется классическое проектное управ- ление (PM BOK). l • 23 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru АНАЛИТИКА МОНИТОРИНГ И РЕАГИРОВАНИЕ БЕЗОПАСНОСТЬ ДАННЫХ ВИРТУАЛИЗАЦИЯ УПРАВЛЕНИЕ ДОСТУПОМ THE FUTURE БЕЗОПАСНЫЙ ИНТЕРНЕТ КРИПТОГРАФИЯ БЕЗОПАСНОСТЬ ПРОМЫШЛЕННЫХ СИСТЕМ АВТОМАТИЗАЦИИ И УПРАВЛЕНИЯ ТЕМАТИЧЕСКИЕ КОНФЕРЕНЦИИ ДЕЛОВАЯ ПРОГРАММА ДЕМО-ЗОНЫ МАСТЕР КЛАССЫ ЭКСПОЗИЦИЯ 21– 23 Ноября 2018 Москва, КВЦ "Сокольники"