Как мне приснился PHD и к каким размышлениям это привело

Когда 5 лет назад я затевал этот блог, я лелеял надежду, что писать я буду о том, как поднять ИБ на уровень бизнеса, об измерениях в ИБ, метриках, психологии ИБ, теории организации в контексте ИБ и многим другим темам, которым место в программе MBA. Но мечте не суждено было сбыться — скатился в банальщину, которая отъедает у российских безопасников излишне много времени. Неоправданно много. Речь идет о compliance — о ФЗ-152, о ФЗ-149, о документах ФСТЭК, ФСБ, РКН, ЦБ и т.д. Слишком уж их много стало появляться в последнее время. А так как я уже начал эту тему вести, то было бы неправильно прекращать ее освещать — очень многие рассматривают этот блог как источник новостей по изменению нашего законодательства в области ИБ.

Не скажу, что в других странах такого нет. Compliance — это один из драйверов ИБ, но именно что «один из». Помимо него безопасники в других государствах активно занимаются реальной безопасностью, направленной на решение реальных, а не мнимых проблем ИБ. В этом плане мне вспомнился на днях PHD, лозунг которого был «Реальная безопасность». И действительно — взломы АСУ ТП, банкоматов, браузеров, обход защитных механизмов, мошенничества с ДБО — вот то, чем должны заниматься службы ИБ. А у них банально на это времени не хватает, т.к. они вынуждены заниматься выполнением многостраничных манускриптов, построенных на уже устаревшей парадигме защищенного периметра, защите гостайны и противодействии иностранным техническим разведкам.

При этом регуляторы, выпускающие свои творения, еще и считают, что современный безопасник, работающий в коммерческой компании, глуп и несведущ в современных угрозах. А посему он не может сам провести анализ рисков и сам же разработать меры по их нейтрализации или управлению ими. А значит надо сделать все за него… Это неплохо, если бы не при разработке таких мер регулятор не исходил из устаревшей парадигмы, как я написал выше. Вот и приходится сначала пытаться выполнить сотни требований от десятка регуляторов, а потом уже заниматься реальной безопасностью. Разумеется, если потребитель изначально не принимает на себя риск несоответствия. Но таких в России немного ;-(

И ведь сам себя загнал в угол. Т.к. текущая ситуация меня не устраивает, то надо что-то в ней менять. Считать, что менять ее должен «вон тот парень», я не могу — приходится самому пытаться что-то делать. Вот и участвую в различных рабочих группах, технических комитетах, провожу экспертизы нормативной базы, пытаясь, как минимум, показать, что мир выглядит не всегда так, как это описывают регуляторы в своих документах. Не все получается, но результаты, безусловно, есть.

К чему я это все?.. Просто поток сознания 😉 Очередную англоязычную книжку по ИБ читаю и понимаю, что интересы специалистов по ИБ ТАМ и ТУТ совершенно разные. Хотя слова и знакомые, но трактуются они по разному. И там гораздо дальше ушли в решении многих именно практических вопросов, о которых у нас просто не говорят или не знают. С точки зрения compliance мы можем дать фору всем странам, в отличии от бизнес-направленности и практической реализуемости этого compliance.

А самое главное, что нельзя сказать, чем это все закончится. Абсолютнейшая неопределенность. Есть как сигналы о том, что ситуация меняется в лучшую сторону, так и сигналы, что все остается как прежде. То приглашают к разработке интересной нормативной базы, то долгое затишье. То принимают твои предложения, то не включают их в финальный вариант документа, признав их нецелесообразными. То один регулятор делает шаг вперед, то второй откатывает ситуацию на 2 назад. Очень непросто в такой ситуации. Но и интересно одновременно.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Ригель

    Знаешь, это еще и наш собственный выбор — картина выглядит так, как мы сами об этом пишем. А пишем мы на тему соответствия требованиям слишком часто, потому что: а) считаем, что это наверняка интересует других, под тех же законодательством ходящих; б) не можем приводить реальные случаи из своей ежедневной практики.
    Мне кажется, это нужно просто рассматривать как этап: государство на какое-то время выпустило эту тему, сейчас усиленно наверстывает разрыв между текущим состоянием проблематики и РД Гостехкомиссии конца 80-ых, потом будет опять нормальное внимание к теме, здоровое.

    Ответить
  2. Unknown

    Алексей, что называется «мысли вслух»! Бывает, захлестывает, … сам такой. Так вот, чуть-чуть маслеца ….. Дело все в том, что если мы сами не можем (или не хотим), что то продумать и решить мы смотрим, как это делается «у них» и криво копируем. Почему криво, да потому, что копируем мы ту часть айсберга, что на поверхности, а в глубину подсмотреть мы или не сообразим, или не пущають! Пустить свежие мозги к рулю? …. О чем это я…….! Дело в том, что ЗИ болеет той же болезнью, что и вся страна, вариантов выздороветь раньше → «0»!

    Ответить
  3. Максим Эмм

    Это было одним из главных аргументов почему я ушел из ИБ…

    Ответить
  4. Алексей Лукацкий

    Я уже старый, чтобы менять профиль деятельности. Все-таки 20 лет в отрасли

    Ответить
  5. Alexey Sintsov

    А главное все знают почему так) Все хотят получать деньги, ни чему не учиться и ничего не делать. ИМХО.

    Ответить
  6. Ronin

    Да, комплайнс отдан ТАМ во многом на усмотрение самих организаций и оценку рисков, а вот кто как это все реализует — другой вопрос, поэтому в книгах и блогах и пишут как нужно. Вот только ведь и там не все так, как они пишут в книжках — у нас в стандартах тоже пишут 🙂
    Ну а по поводу нашей текущей ситуации можно пока развести руками, хотя без них многие бы вообще ничем не занимались

    Ответить
  7. Алексей Т.

    Кстати если бы не было регулирующих воздействий в последние годы, вообще сложно представить в каком месте сейчас была бы отрасль… Хотя с другой стороны там бы не было случайных людей, а было бы больше профессионалов. Если бы да кабы…

    Ответить