Мы с тобой два берега у одной реки… Эссе о том, о чём не думают, когда думают о безопасности информации
Скажу сразу, статью «Привести в соответствие! О реализации требований ГОСТ 57580 в некредитных организациях» прочитал несколько раз. После первого – АХ! После второго – ОХ! А после третьего – а почему бы и не может быть? В общем, статья натолкнула меня на мысли, может быть, и не связанные с её содержанием (хотя почему бы и нет)? Но об этом чуть позже. А сейчас о сути.
Что было, что будет, чем сердце успокоится
Начнём, пожалуй, с того, что Положение № 684-п уже не действует. Его заменило Положение № 757-п, которое действует с лета 2021 года. Будем аккуратно относиться к нормативным документам. Конечно, разница невелика, но всё-таки она есть. Во-первых, включены организации, работающие с криптовалютами (цифровые финансовые активы). Во-вторых, существенно (и это очень важно!) изменён перечень некредитных финансовых организаций, выполняющих требования ГОСТ 57580. Главное здесь то, что определён перечень организаций, соответствующих минимальному уровню защиты информации.
Отметим, что для организаций, соответствующих минимальному уровню защиты, ни сроки, ни требования по соответствию систем защиты информации не определены. Это уже намного легче. Ну и, конечно, важно, что для организаций, реализующих только усиленный и стандартный уровни защиты информации, обеспечение четвёртого уровня соответствия, предусмотренного подпунктом «д» пункта 6.9ГОСТ Р 57580.2-2018, отложено аж до 01.07.2023.
Что из этого следует? Во-первых, круг организаций, которым необходимо обеспечить усиленный и даже стандартный уровень защиты информации, не такой уж и большой. И это, как правильно отмечено в статье, «крупные игроки». Во-вторых, время ещё есть, и привести в соответствие свои системы защиты информации вполне возможно.
Теперь о бюджетах. Помнится, когда появились требования к защите персональных данных, некоторые эксперты (не будем показывать пальцем) прогнозировали затраты на их защиту в размере ВВП страны. Однако время прошло, защита персональных данных есть, а затраты в размере ВВП – не оправдались. Почему? Потому что при анализе были допущены системные ошибки. С одной стороны, не учитывалось, что часть функций безопасности уже реализуется в интересах ИТ-служб (но об этом чуть ниже). С другой– компьютерная техника устаревает, и это происходит, дай бог, каждые 3–5 лет. И такие деньги на модернизацию закладываются. Вот и защиту информации возможно сделать в счёт этого бюджета. Получается, не так страшен чёрт, как его малюют.
Последнее. В статье приведён достаточно мощный перечень документов. Правильный ли он? Наверное, да. Нужен ли он? Наверное, нет. Не надо переключаться на старорежимный бюрократический язык. Я, как старый бюрократ, понимаю, что чем больше бумаги, тем спокойнее. Но бумага не может защитить информацию, она только создаёт определённый иммунитет, позволяющий привлечь к ответственности злоумышленника. Я думаю, здесь важнее вопросы, которые должны быть зафиксированы (а они в статье изложены правильно!), а вот в каком документе и как – это дело руководителя объекта, тем более что официального перечня документов нет. Да, понимаю, что приходят проверяющие и требуют, чтобы было так и никак иначе. Но это совсем другая проблема: проблема подготовки квалифицированных проверяющих кадров. Вот и получается, что прежде всего готовить нам надо кадры экспертов, а остальное – дело времени.
А давайте теперь подумаем…
Все мы учили в школе, что две параллельные прямые не пересекаются. Однако это утверждение было справедливо только для евклидовой геометрии. Оказалось, стоит взглянуть на проблему с другой стороны, как оно оказывается ложным. Аксиоматика планиметрии Лобачевского отличается от аксиоматики планиметрии Евклида, и уже две параллельные прямые могут пересечься в одной точке. Так, может, и в нашей проблеме обеспечения безопасности информации это приемлемо?
Давайте не будем рассуждать об этой важной проблеме только с точки зрения безопасника. AD – это чья система? ИТ или ИБ? Думаю, что ни один сисадмин не представляет свою жизнь без этой компоненты. А если в СУБД не разделить полномочия пользователей, насколько снизится производительность? И чья это проблема: безопасности или всё-таки ИТ-структур? Вот и получится, что разделить нельзя…
Несколько лет назад я на своём дачном участке посадил берёзу. А она дала от одного корня два ствола, вернее, сначала был один, а потом – два. И оба равные! И растут они порознь, но ветками тянутся друг к другу. И уж не знаю, кто из них главнее. Так и в соотношениях ИТ и ИБ: кто главнее? Да никто! Все мы от одного корня – информации. Только задачи у нас разные, но корень – один! И что, будем бодаться или будем брататься? На мой взгляд, правильнее второе. И исходя из этого получается следующее.
- Давайте примем за аксиому, что решить проблему ИБ-безопасности, как и проблему ИТ-обеспечения процесса обработки информации, без совместных усилий невозможно.
- Тезис «Кадры решают все» актуален и в наши дни. Поэтому надо прежде всего уделить внимание исключению инсайдерских действий.
- Только совместное действие ИБ- и ИТ-инфраструктур может привести к положительному результату.
- Надо понимать: то, что хорошо для ИБ, приемлемо и для ИТ.
Это потребует серьёзного диалога между ИТ и ИБ, о чём мы раньше не задумывались. Не могу сказать, что ожидаемый диалог будет спокойным и безоблачным, но его надо начинать.
.jpg)
.jpeg)
.jpg)
.png)