Журнал "Information Security/ Информационная безопасность" #6, 2018

встречал в составе кадровых служб сотрудников с непло- хими знаниями и опытом в ИБ, службы физической без- опасности, службы экономи- ческой безопасности тоже не исключения. Ну и конечно же, ИТ-службы и отделы разра- ботки ИТ-систем и сервисов все чаще держат в штате людей с хорошим опытом в ИБ. Профильные системы Посмотрим на профильные системы. Например, системы, которыми пользуются совре- менные службы экономиче- ской безопасности или служ- бы физической безопасности, уже неразрывно связаны с тем инструментарием, кото- рым пользовались ИБ-сотруд- ники раньше. Люди, которые занимаются конкурентной разведкой, точно так же поль- зуются системами, с которыми работают службы информа- ционной безопасности. И наоборот. То есть мы наблюдаем ситуацию, когда размываются границы между функционала- ми разных служб. Здесь мы приходим к одно- му принципиальному выводу: ИБ перестала быть отдельной компетенцией, информацион- ная безопасность стала функ- цией. Еще пример. Сегодня, когда организация создает или покупает некую информацион- ную систему, она не хочет заниматься обеспечением ее безопасности. Она хочет либо купить безопасную систему, либо же создать безопасную систему. Очень тонкая грань, но она есть. Любой безопасник возра- зит: безопасность – это отно- сительное понятие, где кри- терии безопасности? А кри- терии определяет собственник процесса, т.е. фактически лица, управляющие системой. Для нас, людей, воспитан- ных на комплексном подходе к безопасности, это первый шаг к идеальному шторму. Но бизнес упорно идет на риск, т.к. видит эффективность такой модели. Если мы посмотрим на груп- пы разработки, которые суще- ствуют в крупных компаниях, то увидим, что разработкой продуктов занимаются небольшие команды и в них есть люди, которые отвечают за вопросы информационной безопасности; отдельные сотрудники занимаются вопросами корректности встраивания криптографии; отдельные специалисты могут разбираться в регуляторных вопросах по профилю кон- кретного продукта и т.д. Например, если мы посмот- рим на крупных разработчи- ков программных продуктов – Яндекс или Google, то мы уви- дим, что деление идет по про- дуктовым линейкам. То есть конкретный продукт разраба- тывают не только ИТ-специа- листы, программисты, но и люди, занимающиеся вопро- сами информационной без- опасности в рамках этого про- дукта. Итак, получается, что служ- ба ИБ именно как служба для многих организаций оказа- лась недостаточно эффектив- ной и недостаточной в прин- ципе. Информационная без- опасность превратилась в функцию, которую может выполнять отдельный участ- ник команды. Вернемся к работе служб, таких как СБ, кадры. Часто в них есть человек, который разбирается в вопросах информационной безопасно- сти, и все остальные сотруд- ники службы обращаются к нему по горизонтали за кон- сультациями. Юридические службы точно так же с боль- шим удовольствием набирают людей, которые занимаются или, по крайней мере, на каком-то уровне разбираются в вопросах ИБ и могут про- консультировать по этим вопросам других юристов. Некоторым юридическим службам необходимо, чтобы был специалист по вопросам, например, защиты персональ- ных данных или по вопросам корректности оформления работы с конфиденциальной информацией. Эти люди все чаще работают не в качестве специалистов отдельной службы ИБ, а в качестве спе- циалистов юридической служ- бы. В конечном итоге мы при- ходим к ситуации, когда ИБ из профессии эволюциониру- ет в функцию. l • 43 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 2018 год был богат на раз- личные мероприятия, не обхо- дили стороной и тему управ- ления в ИБ. Особенно ярко звучали тезисы о конвергенции как самой функции ИБ, так и роли CISO, новых технологиях и цифровизации. Создав пер- вым предложением эдакое "облако тегов", можно уже перейти к сути, а именно к тем выводам, которые были сфор- мулированы на таких меро- приятиях и позже в письмен- ном виде на страницах журна- ла. Начнем тезисно: l роль ИБ как функции и роли меняется, появляются новые реинкарнации известных про- цессов, адаптируемые под тре- бования бизнеса, как пример – DevSecOps (подмножество практик защиты разраба- тываемых приложений), специализация по защите платформ блокчейна; l ранее только набиравшие скорость технологии про- ходят процесс внедрения и оказывают свое неизбежное влияние (насколько это возможно) на стратегию и так- тику управления ИБ; l большая (ударение на о) озвученность, приобре- тенная отраслью в 2017 г., конвертируется в инстру- мент геополитического масштаба (при этом совер- шенствуется этот инструмент отнюдь не семимильны- ми шагами); l нехватка кадров превращается в "охоту за головами" со стороны крупных сервисных или околосервисных игроков в отрасли. Никакой революции пока не произошло, но эволю- ционируют подпроцессы, растет уровень зрелости как ИТ, так и ИБ. Вкупе с усилением регуляторных указаний увеличивается разрыв между "средней температурой" и уровнем локальных гигантов. В сфере технологий можно заметить следующие сдвиги: l SOC и TI – все еще модные, но уже понятные темы, изученные с нескольких сторон; l продуктовые корзины российских производителей средств защиты растут как на дрожжах (видимо, ждут, пока их воздушные мечты утрамбует рынок), формируя предложение в нескольких направлениях; l растет количество PAM-решений и их внедрений; l АСУТП и ее защита выделяются в самостоятельную тему и обрастают практикой; l EDR, APT, Sandbox переживают ребрендинг и марке- тинговое переосмысление, но не покидают умы про- изводителей. Остается фактом неизменность основных постулатов (люди – процессы, необходимость для бизнеса, непре- рывное развитие), формирующих подходы к управлению ИБ. Никаких откровений, все больше сближаются ИТ и ИБ, чему способствуют понятные обеим (правда, не всегда с одной стороны) темы DRP и Vulnerability&Patch Management. Кросс-функциональность обеих служб становится очевидной и вызывает все меньше вопросов. Остается только пожелать в 2019 г. всем нам быть открытыми к изменениям, непрерывно развиваться и совершенствоваться, находить новое и учиться работать с укоренившимся. Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС” Колонка редактора