Стратегия CISO по модели 3-3-4-5

Стратегия
Вот представьте, что сегодня вы едете на работе в лифте, открываются двер, заходит генеральный директор и вдруг, ни с того, ни с сего спрашивает вас: «А какая у вас, мил человек, стратегия по ИБ?» Вы начинаете хватаеть воздух ртом, пытаясь сформулировать за несколько секунд, а какая же у вас стратегия в ИБ и есть ли она вообще? Так вот вам вариант, который я стащил у Рафика Римана и который перевел на русский язык и чуть-чуть подправил.

Рафик назвал ее стратегией 3-3-4-5, так как она состоит из 3 компонентов, каждый из которых состоит из 3, 4 и 5 частей соответственно. Выглядит она следующим образом:

Первый компонент помогает ответить на вопрос: «Чего я хочу достичь?». Вспоминая все, что я уже писал и посмотрев на название блога в шапке, мы ставим на первое место содействие бизнесу, его задачам, целям и приоритетам. На второе место мы ставим более близкое ИБ, но сформулированное на понятном бизнесу языке — управление рисками на приемлемом уровне. Третье место мы отдаем вопросам взаимодействия — справа-налево или с востока на запад, то есть между ИТ, ИБ и бизнесом, и сверху-вниз или с севера на юг, то есть между руководством, CISO и командой ИБ.

Второй компонент помогает вам сформулировать направления ваших инвестиций — как времени, так и денег. Тут работает классическая формула 4П (персонал, процессы, продукты, партнеры), которая и на английском звучит ровно также (people, processes, products, partners). Персонал надо нанимать (если есть ставки) или выбивать новые ставки, удерживать (удержание персонала обходится дешевле его найма) и повышать его компетенции и навыки. Персонал не должен действовать хаотично и неэффективно. Поэтому нужно выстраивать процессы, оптимизировать и упрощать существующие. Вручную ИБ не всегда построишь, поэтому нам нужны продукты, включая технологии, сервисы и консалтинг, которые помогут персоналу достигать поставленных целей с учетом выстроенных процессов. Наконец, так как своими силами ИБ не всегда можно реализовать целиком, нам могут понадобиться помощники или партнеры — внутренние или внешние.

Любая стратегия должна помогать нам ответить не только на вопрос «Что», но и «Как», поэтому третьим компонентом нашей стратегии ИБ будет «Как я хочу это сделать?». Рафик берет за основу фреймворк NIST Cybersecurity Framework и его пять компонентов (Identify, Protect, Detect, Respond, Recovery). Можно наверное использовать и серию стандартов ISO 2700x, и ISF, и CoBIT, но это уж как кому нравится. NIST CSF на мой взгляд более практичный, более простой и более проработанный инструмент, чем остальные. Увы, но в России фреймворков по ИБ так и не появилось. Ни ГОСТы ЦБ, ни серия приказов ФСТЭК не дотягивают до полноценного фреймворка.

Да ну, фигня, какая-то, — скажите вы. Нам что-нибудь попроще и поконкретнее. Да, пожалуйста. Вот вам чеклист CISO, который я презентовал в январе 2019-го года и который ставил 11 задач, которые можно было решать в течение всего года, тратя на них по одному месяцу (один в резерве). Его можно повторить и в 2020-м году — он не теряет своей актуальности.

В любом случае, теперь, если вы вновь столкнетесь с генеральным в лифте, вы знаете, что ему ответить. Знаете же?

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).