Эту статью постигла непростая судьба. Она была отослана в издательство более полугода назад 😉 Но ввиду ее размера с ней была произведена операция обрезания и она сократилась примерно втрое (изначально было около 30-ти страниц). Посвящена она архитектуре информационной безопасности — теме нечастно возникающей в прессе и на конференциях.
"Вот некоторые из следствий отсутствия архитектуры ИБ…"
в добавление…
Основное следствие с которым я сталкиваюсь — это заход в тупик и потери временных и финансовых ресурсов из за отсутствия представлений о жизненном цикле ИБ в связке с бизнес процессами.
Компании решают сиюминутные задачи не представляя с чем придется столкнуться на следующем этапе ЖЦ. Из за этого теряют кучу денег и времени на постановку "вагона опять на рельсы"…
Доходит до того, что на этапе построения системы в целом включаются элементы, которые не позволяют построить целевую систему на последних этапах…
Ну а свойство "адаптивности ИБ" вообще мало где рассматривается…
Ваши слова, да нашему руководству в уши..
В российской действительности для крупных компаний имеет место быть лишь коррупционное "освоение" денег, которые выделяются на ИБ по остаточному принципу.
Статья в целом неплохая. Но за кучей красивых фраз не разглядеть, что же такое "архитектура". Из википедии "Архитекту́ра — структура, наиболее наглядная форма представления объектов реальности (модулей) для субъекта управления" (на мой взгляд примерно подойдет, хотя и необходимо свое определение архитектуры ИБ). А Вы, вместо объяснения людям, что такое архитектура ИБ и как ее правильно построить и что в нее включить (конечно что-то из этого в статье есть), опять про проблемы и что все рушится, гидротурбины и т.д. Не совсем понятно, чем плоха иерархия политик безопасности (или положений по ЗИ), в которых все это можно отлично отобразить. Интересно, что же там было на 30 страницах??? 🙂 В общем статья отличная для запугивания некомпетентных специалистов по ИБ.
Думаю, что в России темы архитектуры ИБ (как и стратегии) являются высокими материями, сферическим конем в вакууме. Реальное предприятие имеет уже сложившуюся ИТ-инфраструктуру, которая может быть какой угодно неадекватной с точки зрения безопасности, но превосходной с точки зрения предоставления ИТ-сервисов. Можно поправить кое-какие детали в локальном масштабе (для чего люди заказывают аудит ИБ), как-то условно увязать их с целями бизнеса (защита интересов компании при широком использовании ИТ), но ни на архитектуру ни на стратегию это не тянет. Красивые слова, конструкции — не более. Стратегия и архитектура ИБ могут быть только там, где ожидается создание с нуля или радикальная перетряска ИТ вслед за автоматизацией/оптимизацией бизнес-процессов.
AndrewZ: А также там, где текущее состояние ИБ не устраивает ни ИТ, ни руководство, ни саму ИБ.
Вот как раз в этих случаях заказывают аудит и выполняют выданные рекомендации в т.ч. по реализации защитных мер. Но это не архитектура (стратегия) ИБ. Последнюю еще могут заказывать в двух случаях:
1) Нужно как то обосновать бюджеты на ИБ в среднесрочной и долгосрочной перспективе, упорядочить работу.
2) Идет перетряска бизнес-процессов/ИТ, нужно не забыть про ИБ, особенно имея горький опыт.
Ни одно руководство не будет заказывать разработку архитектуры (стратегии) ИБ, если огромные деньги вбуханы на реализацию стратегии ИТ. ИБ всегда была в контексте. Если о ней забыли — дальше будут местечковое латание/выполнение отраслевых стандартов. Архитектуры (стратегии)ИБ не потребуется до следующей смены технологий.
Стоп, стоп, стоп… Как вы реализуете стратегию, если у вас нет архитектуры? Архитектура отвечает на вопрос КУДА, а стратегия — КАК. Если вы не знаете КУДА, то как будете реализовывать КАК?
Стоп, стоп, стоп тоже.
Стратегия это куда
Тактика это как
Архитектура = стратегия
Мероприятия = тактика
Это ошибочно 😉 Архитектура и стратегия — это понятия одного порядка. В отличие от тактики.