Интервью с Андреем Прозоровым о подходе к управлению ИБ

Дата: 15.12.2020. Автор: CISO CLUB. Категории: Главное по информационной безопасности, Интервью с экспертами по информационной безопасности
Интервью с Андреем Прозоровым о подходе к управлению ИБ

Мы пообщались с Андреем Прозоровым о подходе к управлению ИБ, узнали какие стандарты и методологии лучше использовать, как выбрать наиболее подходящую модель менеджмента ИБ и построить эффективную систему управления информационной безопасностью в компании. Андрей работает менеджером по информационной безопасности и защите данных в международной компании, обладает сертификатами CISM, CIPP/E, CDPSE, является экспертом и автором блога «Жизнь 80 на 20», посвященного вопросам управления ИБ, ведет аккаунт на Патреон, где выкладывает свои наработки (рекомендации, презентации, чек-листы, майндкарты и шаблоны документов).

  • Как коронавирус повлиял на отрасль ИБ? Как изменился подход к управлению ИБ?

Коронавирус, конечно, сильно повлиял на отрасль ИБ, размыв периметр безопасности компаний и перераспределив бюджеты ИТ и ИБ. С точки зрения управления ИБ руководителям пришлось сфокусироваться на процессах управления изменениями, управления рисками, управления инцидентами и проблемами, управления непрерывностью и управления доступом. Ну, а также пришлось решать «классические» менеджерские задачи: изменение целей и приоритетов, координация и мотивация удаленных команд, управление взаимоотношениями с заинтересованными лицами. Этот год был не прост, и он хорошо подсветил и сильные и слабые стороны руководителей.

  • Какие стандарты и методологии лучше всего подходят для управления ИБ в России?

Я уже более 12 лет люблю и использую стандарты серии ISO 27k, для меня они являются основными. При необходимости, я их могу дополнять хорошими идеями и моделями из COBIT, ITIL и SoGP (ISF). Их я использую чаще всего. Помимо них, уже пару лет я работаю с финским KATAKRI, это крайне интересное руководство с очень конкретными требованиями по защите информации, его используют государственные органы Финляндии. А вот с известными документами NIST и Critical Security Controls (SANS) у меня как-то не сложилось, пользы для себя я в них нашел не много, их практически не использую. Но, в целом, методологии и стандарты надо выбирать под конкретные задачи, они помогают «не изобретать велосипед» лишний раз. Так, например, когда я разрабатывал первую редакцию стандарта по аутсорсингу ИБ для Банка России, то я черпал вдохновение из ISO 37500, NOA и OPBOK. Наверное, большинство читателей о них даже и не слышали.

Также я рекомендую руководителям ИТ и ИБ изучать методологии по управлению проектами, например, PMBOK и PRINCE2. Эти знания всегда пригодятся!

  • Как построить эффективную систему управления ИБ в компании?

Чтобы построить эффективную систему управления ИБ надо сначала построить результативную систему ИБ. Как вы поймете, что делаете свою работу хорошо? Какой результат ожидают заинтересованные лица от вашей работы? Документированы ли у вас цели ИБ? Выровнены ли они и согласованы ли с целями бизнеса? Какие метрики результативности вы используете? Пока ответы на эти вопросы не найдены, то бросаться громкими лозунгами «эффективная ИБ» не стоит.

  • Нужна ли компаниям система риск-менеджмента?

Управление рисками ИБ – фундамент осознанного подхода к управлению ИБ. Этот процесс позволяет правильно расставлять приоритеты и перераспределять ограниченные ресурсы. Однако, на мой взгляд, это сложнейший процесс управления ИБ и «Святой Грааль», который хотят найти (построить) многие руководители ИБ, но удается это лишь единицам.

  • Как успешно пройти аудит по ISO 27001?

Успешно пройти сертификационный аудит, на мой взгляд, не сложно. Для этого лишь необходимо действительно внедрить все процессы СУИБ, требуемые стандартом, и регулярно их совершенствовать. Но в этом-то и кроется основная сложность: процессы надо именно внедрить, а не просто описать их на бумаге. По моему опыту, на это обычно уходит порядка 1.5-2 лет.

На мой взгляд, важным процессом при внедрении (и дальнейшем совершенствовании) СУИБ является процесс «Анализ СУИБ со стороны руководства», чем раньше вы его построите, тем будет проще внедрять все остальное.

  • Как выбрать наиболее подходящую модель менеджмента ИБ?

Выбирать нужно из своих задач и возможностей. Как уже упоминал, для меня самыми удачными оказались ISO 27001, COBIT и SoGP. Из российских моделей, к сожалению, порекомендовать ничего не могу, хотя в свое время документы СТО БР ИББС были довольно интересными и продуманными.

  • Какие практики лучше всего использовать для защиты персональных данных?

Чаще всего я использую рекомендации официальных надзорных органов Великобритании и Ирландии (ICO и DPC соответственно), а также стандарт ISO 27701, который издан в дополнение к ISO 27001. Зарубежный опыт GDPR хорошо адаптируется и под российские реалии.

  • Почему не рекомендуют совмещать роли CISO и DPO?

У них разные цели и приоритеты, что ведет к конфликту интересов. Также CISO часто уделяет излишнее повышенное внимание мониторингу сотрудников, например, используя DLP и SIEM, и порой грубо нарушает их право на приватность.

  • Как измерить ИБ и оценить ее эффективность?

Измерять стоит по результатам, который она приносит. Полезнее всего измерять в деньгах, это самая понятная шкала для бизнеса.

  • Как эффективно внедрить процесс повышения осведомленности персонала в области ИБ?

Эффективность процесса будет зависеть от многих факторов: вовлеченность подразделения HR и руководства компании; актуальность, регулярность и многоканальность предоставления информации (например, тренинги, рассылки, плакаты и другие форматы); обратная связь со стороны подразделения ИБ (необходимо поощрять сотрудников задавать вопросы ИБ, сообщать об инцидентах и возможных угрозах). Ну, и конечно же, я не могу не вспомнить про цели процесса. Их стоит сформулировать заранее. Например, когда мы запускали этот процесс у себя в организации, нам было важно научить пользователей уведомлять об инцидентах ИБ и подозрительных событиях. Резкий рост количества поступающих уведомлений показал нам, что процесс начал работать.

  • Почему в России так мало сертифицированных специалистов по ISO 27001?

На самом деле хороших специалистов много, они работают в крупных интеграторах и международных компаниях, где их навыки и знания особенно ценятся.

  • Какие курсы нужно пройти, чтобы стать специалистов по управлению ИБ?

К сожалению, каких-то очень полезных курсов по управлению ИБ в России я порекомендовать не могу, но начать можно с базовых «введение/внедрение/внутренний аудит/ведущий аудитор» по ISO 27001. Также будет полезно изучить материалы для подготовки к экзаменам CISM или CISSP.

  • Какие изменения в законодательстве в сфере ИБ ожидаются в 2021 году?

У нас в России 3 пути: импортозамещение, ГосСОПКА и КИИ 🙂

  • Первые 5 шагов для CISO при устройстве на новое место работы.
    • Выявить ожидания и требования заинтересованных стороны
    • Выстроить диалог с бизнесом
    • Оценить текущее состояние ИБ
    • Выявить критичные активы и основные риски
    • Согласовать цели и приоритеты с бизнесом
  • Планы CISO на 2021 год.

Это зависит от целей и приоритетов. Но несколько лет назад я опубликовал в блоге шутливую заметку «План CISO на 2019 год (чек-лист)», можете ориентироваться на этот список, он до сих пор актуален:

Управление ИБ:
1. Создать Комитет по информационной безопасности
2. Составить перечень заинтересованных лиц и определить их требования и ожидания от ИБ
3. Определить и согласовать цели ИБ
4. Составить перечень информационных активов

Реализация ИБ:

5. Разработать Политику допустимого использования активов
6. Разработать Процедуру управления инцидентами
7. Разработать программу обучения и повышения осведомленности сотрудников по вопросам ИБ
8. Пересмотреть и актуализировать права доступа к ИС
9. Провести внутренний аудит ИБ

Личное развитие
CISO:
10. Пройти 1 курс обучения (по ИБ и/или менеджменту)
11. Написать 2 статьи про ИБ
12. Посетить 3 профессиональные конференции по ИБ

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *