По словам члена Комитета по информационной безопасности Ассоциации банков России Сергея Пазизина, несмотря на то, что исторически модели «ИБ часть ИТ», «ИБ часть контроля» и «ИБ часть бизнес-процессов» появлялись последовательно, все три модели в настоящее время имеют право на существование.
Небольшой экскурс в историю
«ИБ часть ИТ». Изначально ИБ формировалась в коммерческом секторе как часть обеспечения правильного функционирования автоматизированных систем. Необходимо было обеспечить разграничение доступных пользователям ресурсов, исключить несанкционированное вмешательство в управление автоматизированной системой.
Основной угрозой был вандализм обиженных сотрудников и опасные эксперименты «особо продвинутых». Мотивы киберпреступников в основном сводились к мотивам нездорового самоутверждения. Для противодействия актуальным на тот момент угрозам было достаточно простейших функций аутентификации пользователей, разграничение прав доступа и ведения логов. «Все эти средства при этом являлись частью операционных систем СУБД и приложений и управлялись подразделением информационных технологий. Поэтому с точки зрения руководства компании и бизнеса информационная безопасность была задачей подразделений информационных технологий», — рассказал Сергей Пазизин в ходе своего доклада на Форуме «Кибербезопасность — наши дни. Промышленные технологии».
«ИБ часть контроля». Дальнейшее распространение информационных технологий на управление производством, инфраструктурой, в финансовую сферу привело к повышению рисков, связанных с безопасностью. Появилась возможность монетизации взломов через вывод финансовых средств, а также путем шантажа или выполнения стороннего заказа на взлом или DDoS-атаки.
Одновременно развитие вычислительных сетей и возможность удаленного доступа существенно расшили круг пользователей, а следовательно, и потенциальных злоумышленников. Начала формироваться профессиональная киберпреступность.
«В части организации процессов ИБ данный период характеризуется появлением и развитием стандартов ИБ, обязательных к исполнению регуляторных документов, а также осознанием, что требования безопасности являются ограничениями на функциональность, процессы разработки, и эксплуатацию автоматизированных систем. Это привело к осознанию внутренних противоречий между ИТ и ИБ и выделению подразделения ИБ в отдельную структуру, которая обеспечивает выполнение внешних и внутренних стандартов, согласование документации и прав доступа», — отметил эксперт.
«ИБ часть бизнес-процессов». Дальнейший рост электронной коммерции, переход к дистанционному предоставлению финансовых и государственных услуг и высочайшая степень автоматизации приводят к 100% зависимости бизнес-процессов от достоверности информации, содержащейся в автоматизированных системах, и возможности ее обработки.
Степень цифровизации в настоящее время является одним из основных факторов конкурентоспособности как отдельных предприятий, так и государств в целом.
С другой стороны, мы имеем дальнейший рост угроз со стороны киберпреступности. В настоящее время это высокопрофессиональные сообщества с миллиардными оборотами, развитой специализацией и сформированным рынком преступных услуг. Это позволяет им эффективно выявлять и использовать слабые места во внедряемых бизнес-процессах. И цена ошибки в этих условиях значительно возрастает.
«Как следствие происходит процесс ужесточения регуляторных требований в части ИБ, а также выход этих требований за пределы традиционных функций подразделения ИБ. В итоге требования ИБ начинают значительно влиять на бизнес-процессы компании, а во многих случая и определять их», — пояснил Сергей Пазизин.
По его словам, в современных условиях любое бизнес или ИТ-решение должно приниматься с учетом необходимости обеспечения ИБ. ИБ должна сопровождать внедрение новых сервисов с момента постановки задачи, участвовать проектировании, разработке, внедрении и сопровождении автоматизированных систем. Решения нужно принимать в кратчайшие сроки. Сложность и разнообразие решаемых задач не позволяет свести процесс к механическому соблюдению установленных правил. Нарушение баланса между безопасностью и возможностью развития бизнеса в любую из сторон приводит к потере конкурентоспособности организации.
«Модель взаимодействия, в которой ИБ устанавливает правила, а затем только контролирует их выполнение, становится тормозом развития для бизнеса. Таким образом, компаниям с высокой степенью цифровизации и высокими киберрисками необходимо рассматривать ИБ как часть бизнес-процессов. Мы условно можем ее назвать «цифровая безопасность». Соответственно, подразделение ИБ — важнейший участник бизнес-процессов и напрямую подчиняется руководству организации», — рассказал эксперт.
Место ИБ в современных организациях
По словам Сергея Пазизина, для малых и средних предприятий, не слишком отягощенных требованиями регуляторов, модель «ИБ часть ИТ» является оптимальной, поскольку не создает искусственных проблем, связанных с резервированием функций ответственных работников, и не усложняет взаимодействие ИТ и ИБ.
В то же время для предприятий с объектами КИИ и низкой динамикой изменений будет более эффективной модель «ИБ часть контроля».
«При этом модель «ИБ часть ИТ», «ИБ часть контроля» являются наиболее комфортными и привычными», — отметил Серей Пазизин.
Построение работы по принципу «ИБ часть бизнес-процессов» — гораздо более сложная задача и совершенный выход из области комфорта. Необходимо участвовать в принятии технологических решений, формировании бизнес-процессов, оценке рисков. И любое решение будет иметь свои плюсы и минусы, то есть какое бы вы решение ни приняли, всегда может оказаться, что это решение привело к каким-то негативным последствиям. «То есть либо вы принимаете жесткое решение и наносите ущерб бизнесу, либо вы принимаете мягкое решение и подвергаетесь риску кибератаки и инциденту ИБ. С другой стороны, для компаний, которые активно используют информационные технологии, здесь выхода нет. Потому что такой подход дает явные преимущества в гибкости и скорости принятия решений. И это при прочих равных становится решающим фактором успеха компании», — заключил эксперт.
