Вот сижу и смотрю интересное исследование, посвященное анализу стратегий инвестирования в ИБ. Оно конечно проводилось в США, но его выводы можно транслировать и на Россию. Как всем известно, основным драйвером инвестиций в ИБ внутри компаний является регулирование и законодательство. По данным отчета, этот драйвер оценивается в 30% от общего числа.
Второй, уже более интересный аспект касается того, что больше всего влияет на принятие решения об инвестициях в ту или иную технологию и проект ИБ. На первом месте находится мнение квалифицированного персонала, который знает, что лучше для компании. На втором месте — требования федерального или отраслевого законодательства. На третьем месте — результаты внутреннего аудита. Именно внутреннего. Результаты внешнего аудита оказались на одном из последних мест (всего в 12.5% организаций). Четвертое место по праву заняли данные, полученные от уже внедренных в компании систем защиты или от подразделений, ответственных за те или иные решения в данной области. В качестве таких данных могут быть отчеты Help Desk или бухгалтерии по срезу ИБ. Пятерку лидеров замыкают рекомендации и лучшие практики от NIST. На сегодня национальный институт стандартов США (аналог нашего Ростехрегулирования) выпустил свыше сотни документов, аккумулирующих лучшие практики по безопасности тех или иных аспектов. Все остальные аспекты, влияющие на инвестиции, учитываются в менее чем 25% организаций.
К чему это я все веду? Да к тому, что наши регуляторы могли бы пойти по пути NIST и вместо обязательных, но параноидальных требований «для всех» выпустить грамотные и полезные рекомендации. Они пользовались бы куда большей популярностью, да и эффект бы был для ФСТЭК более положительный. И с точки зрения репутации, и с точки зрения роста рынка, и с точки зрения финансовых вливаний в аккредитованные при ней организации 😉
Проверять выполнение требований или следование советам — две большие разницы для проверяющего ;))
На рекомендациях денег не поднять. А NIST и сам по себе очень неплохо финансируется.
Больше всего влияет тот, кто умеет пугать лиц принимающих решения или дружить с ними 🙂
Не знаю…Не думаю, что рекомендации эффективнее требований. Я глубоко ненавижу навязший в зубах "менталитет", но ингда без него не обойтись. В России нужен царь, потому как "русскому свободу только дай — первым делом тещу зарежет"(с)
я думаю происходящее у нас в стране есть издержки менталитета и воспитания en masse. отдельные гласы, вопиющие в пустыне, существуют. но у нас тут считается правильным понастроить заборов и принуждать всех ходить вдоль них строем.
На хороших рекомендациях можно денег поднять больше, чем на тупых требованиях, которые будут обходить стороной.
На эту тему есть замечательная книжка Майстера про доверенных консультантов. Суть идеи проста — не надо тупо впаривать клиенту что-то 😉 Помогай ему бескорыстно и он в благодарность начнет у тебя покупать сам 😉 Тут та же идея.
Есть виды информации, которые подразумевают обязательные требования — гостайна, КСИИ, медицинская тайна, служебная тайна и т.п. А есть КТ, тайна связи, банковская тайна. Сделай для них нормальные, здравые рекомендации и потребитель будет их использовать сам, без давления. А разъяснения по ним или их внедрение можно получить у аккредитованных ФСТЭКом контор 😉 И все будут довольны.
Хотя, конечно, это более длительный путь, чем выпустить параноидальные, а местами тупые, но обязательные к исполнению рекомендации.
> нормальные, здравые рекомендации и потребитель будет их использовать сам
Леш, а зачем ему это, если оно не является обязательным и требует затрат? Если принудить его никто не может, значит у него должна быть внутренняя мотивация — экономическая, репутационная…Ну например есть недополучение прибыли или общественное порицание (анти PR) организации, допустившей утечку информации о клиентах. Все-таки к рекомендациям обращаются тогда, когда действительно ХОТЯТ сделать лучше. Меня не нужно заставлять огладываться при переходе через оживленный перекресток, но не превышать скорость мне лучше все-таки вменить в обязанность.
А это уже вопрос определения value от безопасности. Он не относится к обязательности требований. Две разные задачи. У нас (и у них) поэтому так и развивается ИБ (через обязательные требования), что мало кто может показать value.
2Алексей Лукацкий: Правильней звучит, вроде, врачебная тайна. А есть к ее защите какие то обязательные требования?
Пока нет ;-(
Пример НИСТ ставился и не раз. В принципе они (регуляторы) сами осознают, что так правильно, но кивают на то, что не смогут поднять такой огромный пласт работы. Начинать всегда трудно. Это когда работа сделана, или хотя бы делается, то понятно как это все происходит. А вот начать…
А слабо рекомендации делать на общественных основаниях. Не просто где-то как-то сказать, как бы было лучше, а привести в систематический вид и опубликовать. А к тебе за продуктами придут…
А ко мне и так приходят 😉 У нас же есть SAFE — архитектура построения защищенных сетей. Недавно новую версию анонсировали. Т.е. в той области, где мы чувствуем себя хорошо, мы даем бесплатные рекомендации. Но это рекомендации ввендора; к рекомендациям регулятора прислушивались бы больше. Его труднее обвинить в предвзятости 😉
Ну а что касается "начать"… то кто мешает-то? Объявите открытый бесплатный конкурс и все. Не надо привлекать Воронеж, который сотый раз перепишет свои же документы, которые они суют каждому заказчику. Просто надо определить правила игры и играть по ним. Да и инициатива тут должна исходить со стороны ФСТЭК, а не отдельных лиц или компаний. А то напишу я рекомендации и что? ФСТЭК откажется от них и останутся они только как мои рекомендации, а не регулятора.
Кстати, securitypolicy.ru — яркий пример проекта на общественных началах 😉
На тему "value от безопасности" и влияния:
Было бы неплохо, если регуляторы вместо требований и рекомендаций сделали типовые модели бизнесов, на которых бы компании IT-предложения в области ИБ игрались и доказывали value от использования своих продуктов.
Бизнес бы подбирал соответствующие модели и не тратился на оценку полезности, что и является основным тормозом влияния в случае внутренней мотивации.
Конечно, при этом модели должны быть понятны ЛПР за инвестиции.
Какими они должны быть эти модели.. вот вопрос.
Ну такие модели есть и немало. Только западные ;-(
На самом деле, как показывает практике, даже консалтинг в области ИБ не слишком востребован, а уж чтобы выполнялись РЕКОМЕНДАЦИИ гос. регуляторов… Пользователи больше любят всё из коробки — и антивирус, и DLP, а какие-то ещё рекомендации… Только голова болит лишнее. Кому это надо?.. Только самим безопасникам 🙁