Рафик назвал ее стратегией 3-3-4-5, так как она состоит из 3 компонентов, каждый из которых состоит из 3, 4 и 5 частей соответственно. Выглядит она следующим образом:
Первый компонент помогает ответить на вопрос: «Чего я хочу достичь?». Вспоминая все, что я уже писал и посмотрев на название блога в шапке, мы ставим на первое место содействие бизнесу, его задачам, целям и приоритетам. На второе место мы ставим более близкое ИБ, но сформулированное на понятном бизнесу языке — управление рисками на приемлемом уровне. Третье место мы отдаем вопросам взаимодействия — справа-налево или с востока на запад, то есть между ИТ, ИБ и бизнесом, и сверху-вниз или с севера на юг, то есть между руководством, CISO и командой ИБ.
Второй компонент помогает вам сформулировать направления ваших инвестиций — как времени, так и денег. Тут работает классическая формула 4П (персонал, процессы, продукты, партнеры), которая и на английском звучит ровно также (people, processes, products, partners). Персонал надо нанимать (если есть ставки) или выбивать новые ставки, удерживать (удержание персонала обходится дешевле его найма) и повышать его компетенции и навыки. Персонал не должен действовать хаотично и неэффективно. Поэтому нужно выстраивать процессы, оптимизировать и упрощать существующие. Вручную ИБ не всегда построишь, поэтому нам нужны продукты, включая технологии, сервисы и консалтинг, которые помогут персоналу достигать поставленных целей с учетом выстроенных процессов. Наконец, так как своими силами ИБ не всегда можно реализовать целиком, нам могут понадобиться помощники или партнеры — внутренние или внешние.
Любая стратегия должна помогать нам ответить не только на вопрос «Что», но и «Как», поэтому третьим компонентом нашей стратегии ИБ будет «Как я хочу это сделать?». Рафик берет за основу фреймворк NIST Cybersecurity Framework и его пять компонентов (Identify, Protect, Detect, Respond, Recovery). Можно наверное использовать и серию стандартов ISO 2700x, и ISF, и CoBIT, но это уж как кому нравится. NIST CSF на мой взгляд более практичный, более простой и более проработанный инструмент, чем остальные. Увы, но в России фреймворков по ИБ так и не появилось. Ни ГОСТы ЦБ, ни серия приказов ФСТЭК не дотягивают до полноценного фреймворка.
Да ну, фигня, какая-то, — скажите вы. Нам что-нибудь попроще и поконкретнее. Да, пожалуйста. Вот вам чеклист CISO, который я презентовал в январе 2019-го года и который ставил 11 задач, которые можно было решать в течение всего года, тратя на них по одному месяцу (один в резерве). Его можно повторить и в 2020-м году — он не теряет своей актуальности.
В любом случае, теперь, если вы вновь столкнетесь с генеральным в лифте, вы знаете, что ему ответить. Знаете же?