На фоне всеобщей истерии по поводу ФЗ-152 “О персональных данных” ни у заказчиков ни у исполнителей порой не хватает времени, на решение действительно важных вопросов информационной безопасности. Появилось большое количество специалистов – защитников персональных данных и сайтов, посвященных данной тематике. Крупнейшие операторы ПД буквально засыпаны многомиллионными коммерческими предложениями.
Страсти вокруг ФЗ-152 в следующем году постепенно улягуться, а соответствующая правоприменительная практика и нормативная база еще будут формироваться много лет. Многое еще предстоит пересмотреть и переосмыслить, поэтому заказчикам сейчас надо быть особенно осторожными вкладывая деньги “в ФЗ-152”, дабы не оказаться в дураках. Многие это понимают, однако побеждает либо страх, либо здравый смысл, в зависимости от того, чего больше. В любом случае, для обсуждения этих вопросов у нас с вами еще будет достаточно времени. Для тех, кто еще не доконца разобрался в данной проблематике на существующем уровне бестолковщины, мы собрали все более менее пристойные статьи и другие полезные материалы в специальном разделе портала. Если есть на эту тему еще какие интересные сведения или кто-то что-то готов добавить по собственному опыту, то, милости просим, добавляйте все туда, может кому пригодиться.
Одним из основных недостатов государственного регулирования сферы ИБ вообще, является подмена вопроса управления рисками, вопросом управления соответствием. Другими словами, регуляторы всегда пытаются контролировать соответствие своих подопечных определенному произвольному набору требований (обычно берущихся с потолка, либо откуда нибудь еще хуже), не принимая в расчет рисков, свойственных конкретным организациям, и требований, вытекающий из необходимости обработки данных рисков. Существенное расхождение формальных и реальных требований безопасности превращает систему регулирования ИБ в систему косвенного налогообложения для организаций, и никак по другому это не воспринимается. Такая система регулирования неплохо вписывается в существующую бюрократическую систему управления государством.
И все же регуляторы уже постепенно подходят к понятию оценки рисков. АРБ и Банк России может быть пока и не очень внятно, но отразили эти вопросы в своем доморосщеном стандарте, о котором я уже писал с определенным скепсисом. (Мой скепсис вызван главным образом тем обстоятельством, что никто из разработчиков новых стандартов так и не удосужился внятно объяснить, чем их не устроили общепринятые международные стандарты и какую такую особую банковскую специфику они отразили в своем авторском произведении, что было бы логично сделать прежде, чем начинать разработку собственного велосипеда с квадратными колесами). Однако данная разработка все же ушла далеко вперед по-сравнению с нормативными документами, выпущенными регуляторами в связи с ФЗ-152. В этих документах понятие риска вообще не присутствует, однако есть упоминание об актуальной модели угроз, исходя из которой должны рождаться актуальные требования безопасности для операторов ПД. Увы, как известно, для оценки рисков модели угроз, даже актуальных, явно недостаточно. Помимо этого требуется еще научиться оценивать уязвимости, ущербы, ценность активов и определять связи между всеми этими факторами риска, а также объяснить операторам ПД как им это делать.
Моя книга по рискам наконец-то добралась до типографии. Первый блин комом и в моем случае книга выходит на полгода позже, чем планировалось. Будем надеяться, что это время было потрачено не зря. Удалось учесть кое-какие замечания, высказанные умными и знающими людьми, а также немного побороться с собственным косноязычием. В книгу вошло много материала из моих собственных статей и из этого блога. Для того, чтобы потенциальным читателям было проще для себя решить, стоит ли им эту книгу приобретать, я опубликую несколько фрагментов из книги в данном блоге, а также возможно в других СМИ.
Ниже приводиться небольшой отрывок из раздела “Как оценивают риски наши соотечественники?”
“Из общения с экспертами, отвечающими за информационную безопасность в организациях, можно сделать определенные выводы относительно того, с какими трудностями сталкиваются их попытки управлять рисками. По отношению к данному вопросу все специалисты подразделяются на четыре характерные группы.
Математики
Специалисты, имеющие техническое образование и владеющие определенным математическим аппаратом, склонны задействовать этот аппарат для оценки информационных рисков. Подход, в основе которого лежит стремление получить количественные оценки рисков с использованием математических формул и моделей, быстро заводит в тупик наших коллег, которым пока еще не удалось окончательно забыть школьные и университетские курсы точных наук и, видимо, в глубине души немного жаль понапрасну проведенное за партой время, затраченное на изучение вещей, которые не удается приложить к реальной жизни. Углубляясь в математическую статистику, теорию вероятностей, байесовские распределения, теорию нечетких множеств и прочие математические теории, адепты количественного подхода теряют связь с реальной жизнью и бизнес-контекстом, получая ни к чему не приложимые уравнения со множеством неизвестных.
Технари
Технические специалисты, имеющие профильное образование в области ИБ или ИТ, хорошо представляют себе уязвимости, которым подвержены информационные системы и технологии, а также какие меры необходимо предпринимать для их устранения. Однако эти специалисты имеют весьма туманное представление об информационных активах, их ценности и бизнес-процессах организации. Они склонны измерять риск величиной соответствующей уязвимости без учета остальных факторов. Рассуждают эти спецы о рисках на своем птичьем языке, который не доступен для понимания руководству организации и представителям бизнеса. Если технарей попросить оценить риски, то они, скорее всего, представят в качестве отчета о рисках отчет об уязвимостях, полученный при помощи сканера безопасности. Технари идут снизу вверх, концентрируясь на технических деталях реализации тех или иных угроз и совершенно упуская из виду цели бизнеса, для достижения которых необходимо управлять рисками. Им сложно бывает определить, какие угрозы и с какой степенью детализации надо анализировать для принятия решения по рискам.
Аналитики
Аналитики, как правило, владеют подходами и инструментами для управления рисками, но им не хватает практических навыков как в технической сфере, так и в сфере бизнеса. Для адекватной оценки рисков им необходимы как технари с их знанием технологий и сценариев реализации инцидентов, так и представители бизнеса с их знанием бизнес-процессов и способностью выносить суждения относительно ценности тех или иных активов. Для того чтобы сколотить дееспособную команду из столь разнородных и разнонаправленно мыслящих людей, требуется организационный талант и очень сильная заинтересованность со стороны первых лиц организации.
Скептики
Скептики обычно знают обо всем понемногу и не склонны к глубокому анализу. Они считают оценку рисков задачей неосуществимой, в связи с чем для принятия решений в отношении обеспечения безопасности предпочитают опираться исключительно на собственный опыт, здравый смысл, рекомендации стандартов и нормативных документов. Скептиков, как правило, разочаровывает невозможность точной количественной оценки информационных рисков, а также тот факт, что приходится опираться на субъективные мнения экспертов. К их числу относятся многие руководители служб информационной безопасности, с готовностью рассуждающие о преимуществах системного подхода, однако сами предпочитающие руководствоваться при принятии решений в основном интуицией и устоявшимися представлениями”.