April 15, 2019
О необходимости регламентации процессов вообще и обеспечения ИБ в частности
Практика обеспечения информационной безопасности показывает, что уровень информационной безопасности в компании больше зависит от организационных мероприятий а не от технических.
Так покупая все новые и новые средства обеспечения ИБ организации наталкиваются на их не эффективность. В большинстве случаев это вызвано не готовностью процессов организации принять новые технические средства обеспечения ИБ. Приведу пример, нет смысла приобретать DLP (Data Leak Prevention)-систему если в Вашей компании нет понимания, что является конфиденциальной информацией и какой порядок обращения с такой информацией.
Таким образом главным направлением обеспечения информационной безопасности является организационное в рамках которого осуществляется регламентация процессов обеспечения ИБ.
Проблемы с ИБ также часто возникают у организаций, в которых обеспечение ИБ отдано на откуп в ИТ подразделение. По выше обозначенным причинам технические средства ИБ не являются основными. ИТ подразделение обычно понимает задачу обеспечения ИБ с технической точки зрения просит все новые межсетевые экраны, IPS, DLP, SIEM и пр. При грамотном подходе обеспечивается защита сетевого периметра и организуется защита основных информационных систем компании, на этом обычно силы заканчиваются.
ИТ подразделение не любит (может быть и не должно любить) работать по вопросам обеспечения конфиденциальности(не имеют квалификации), расследования инцидентов ИБ(конфликт интересов), установкой и проверкой требований к своей деятельности(также конфликт интересов).
С другой стороны в современном мире практически невозможно обеспечить информационную безопасность в компании в которой процессы ИТ не налажены, управление ИТ осуществляется хаотично. Обычно в данном случае хороший безопасник вынужден переключаться и помогать работать ИТ блоку, забирая часть функций на себя.