Журнал "Information Security/ Информационная безопасность" #3, 2021

Мое понимание разумной достаточности -- когда и "гайки не закручены", и люди могут работать, и при этом все четко ощу- щают безопасность процес- сов. Информационная без- опасность должна быть в штате безопасности. Она не должна быть в ИТ и не должна быть выделена в отдельное подразделе- ние. Я придерживаюсь в своей работе принципа разумной достаточности. У нас "безопасность для бизнеса", а не "бизнес для безопасности". – Вопрос очень серьезный. Назову главным принципом разумную необходимость. Можно вспомнить про клас- сическую триаду "целостность – доступность – конфиденциаль- ность". Но если мы все эти три составляющие поставим на условные весы, то станет понят- но, что соблюсти паритет, когда и бизнесу будет комфортно, и защищенность обеспечена, крайне сложно. И в этом заключено мое пони- мание разумной достаточности, когда и гайки не закручены, и люди могут работать, и при этом все четко ощущают без- опасность процессов. – Многие говорят о том, что бизнес должен под- страиваться под инфор- мационную безопасность. – Не согласен. Давайте попробую пояснить. Я придер- живаюсь мнения, что инфор- мационная безопасность долж- на быть в штате безопасности. Она не должна быть в ИТ, она не должна быть выделена в отдельное подразделение, хотя иногда это возможно. Вспом- ните, лет 10–15 назад на перед- нем крае актуальности находи- лась экономическая безопас- ность. Все понимали, что без- опасность – это защита денег и материальных ценностей, кото- рые злоумышленник может украсть, продать, повредить. Сейчас же концепция сдви- нулась в сторону "цифры", а деньги и процессы существуют преимущественно в электрон- ном виде. Вектор начинает сме- щаться, и если сейчас инфор- мационная безопасность не нач- нет участвовать во всех про- цессах с самого начала, то потом мы получим ситуацию "Вот вам вещь – обеспечьте безопасность". Но это крайне неэффективно, ведь нужно было просто в определенный момент сделать небольшую кор- ректировку со стороны ИБ, и все стало бы нормально! Вот это в моем понимании правиль- но, вот к этому мы сейчас идем. Если раньше проведение тен- дера было отдельной историей с конвертами, то теперь все происходит на электронной пло- щадке. А для того, чтобы нор- мально на ней работать, нужны информационные силы, сред- ства и ресурсы. Я сам придерживаюсь в своей работе принципа разумной достаточности. Я всегда помню, что ИТ готовы освоить любые финансовые вложения, но исхо- жу из того, что у нас "безопас- ность для бизнеса", а не "бизнес для безопасности". То есть если я могу сделать что-то с помо- щью недорогих решений, я так и стану делать. Можно, конечно, "уйти в бренды" и крупные информационные системы, но нужно четко понимать, что в довесок появляется потреб- ность в дорогих кадрах, техни- ческих средствах защиты, сред- ствах поддержки и многом дру- гом. И в этом случае информа- ционная безопасность начинает стоить существенных денег. В моем понимании все должно быть разумно и достаточно. Если мы в состоянии обеспе- чить необходимый уровень защищенности минимальными средствами, то нужно его обес- печивать этими средствами. – Чего не хватает совре- менному бизнесу для более эффективного раз- вития импортозамещения? – Тяжело признавать, но если не принимать законодательных ограничений поставок импортных продуктов информационной без- опасности, то произвести россий- ские будет очень сложно. Чтобы мы начали использовать что-то отечественное, нас надо заста- вить не покупать импортное. Приведу абстрактный пример: одна компания приобрела ино- странные средства защиты, потратив определенную сумму денег на покупку и ежегодное обслуживание. Но позже обна- ружилось, что на рынке есть решение с аналогичным функ- ционалом, но отечественное, да и стоимость которого меньше, чем год обслуживания у импорт- ного. Да, аналогия в функциях не на 100%, но давайте говорить 12 • В ФОКУСЕ