27 сентября, 2019

BIS Summit 2019 о влиянии законов на стабильность экосистемы ИБ


Новодачный Марк

Корреспондент (BIS Journal)

Интеллектуалы делового мира Нового и Старого Света рассматривают периоды нестабильности как новый шанс для бизнеса. Устроители BIS Summit 2019 решили не сбрасывать со счетов эту точку зрения и предложили гостям форума поискать этот шанс в самых неожиданных местах. В качестве одного из таких закоулков была исследована тема законодательного регулирования.

Традиционно зона «комплаенс» в ИБ рассматривается как «возведённая в квадрат» дыра накладных расходов. Годом ранее на том же BIS Summit Мария Воронова из InfoWatch предлагала «ибэшникам» рачительно составить матрицу пересечения интересов «бумажной» и «реальной» ИБ и с целью оптимизации расходов в первую очередь «окормлять» узлы этой матрицы. В этом году Директор по консалтингу InfoWatch рекомендовала руководству департаментов ИБ в ходе дискуссии на Круглом столе «Запреты или движение для развития» перейти в наступление, и от политики бережливости в расходах перейти к политике зарабатывания больших бюджетов. Правда фактически Мария предложила для этого руководству ИБ переквалифицироваться в бухгалтеров и заняться отхожими промыслами в сфере контроля и оптимизации бизнес-процессов. Например, нестандартно используя системы DLP. Такие возможности InfoWatch уже продемонстрировала на ряде пилотных проектов.

Однако реплики и комментарии других участников дискуссии свидетельствуют о том, что даже выполнение своих прямых должностных обязанностей службами ИБ, вытекающих из требований законодательства, уже сейчас требует переосмысления вышестоящим руководством своего отношения к расходам на сферу безопасности. И связано это с тем, что растущая жёсткость тональности новой «регуляторки» способна ударить владельцев бизнеса и по карману непосредственно, и по карману через репутационные потери, а в некоторых случаях и прервать возможность заниматься любимым делом, иногда даже в силу прямого судебного запрета.

Пример, лежащий на поверхности – 187-ФЗ и ответственность, «прописанная» в нём за ненадлежащую эксплуатацию КИИ.

Похоже, что именно стратегическая неопределённость приводит к необходимости поворота от управления ИБ на основе личных оценок рисков владельцами бизнеса к управлению «по требованиям» регулятора. И речь идёт не только об указаниях, например, подхода, вводимого Положением Банка России по системе управления операционными рисками. Это пока комбинаторика риск-менеджмента и управления «по требованиям», которая, тем не менее, фактически директивно подталкивает к повышению определённости результатов работы в сфере безопасности информационных систем финансово-кредитных организаций.

А вот особая ответственность предприятий за физическую безопасность персонала и населения, за сохранение экологического равновесия не позволяет в контексте цифровой трансформации систем АСУ/SCADA/АСУТП одновременно «трансформировать» и требования к ИБ АСУ до уровня риск-менеджмента, принятого в ИБ офисного уровня. Об этом упомянул директор департамента развития систем защиты АСУТП компании InfoWatch в своём выступлении на упомянутом Круглом столе, завершившим деловую часть программы BIS Summit 2019.

С такой позицией Михаила Смирнова нельзя не согласиться. И эта позиция, так или иначе, читается если не прямо «в букве», то «в духе» закона 187-ФЗ. И это означает, что сегодняшний отечественный «комплаенс» определил важный вектор для движения в сторону повышения роли и авторитета руководства ИБ. Осуществить такую подвижку непросто, но кому легко в эпоху стратегической неопределённости? В тактической же перспективе закон о КИИ – это вполне добросовестный инструмент для расширения внутрикорпоративного влияния ИБ. Особенно при грамотном применении «soft skills», чему также учили на BIS Summit, на практической секции «Точки опоры современного управления в ИБ», предшествовавшей Круглому столу.

А несколькими годами ранее новую зону ответственности подразделений ИБ обозначил 152-ФЗ. Во многом коньюнктурный, местами «эластично» трактуемый до сих пор, закон о персональных данных, санкции которого только на первый взгляд выглядят лишь как декларативные.

Ведь озвученные в ходе дискуссии на Круглом столе возможности мультипликации кажущихся небольшими штрафов и «прописанная» в букве закона возможность запрета на ведение бизнеса – это лишь до поры риски допустимые. Штрафы, переходящие из области измерения тысячами рублей в область многомиллионную и запрет на занятие бизнесом – весомые аргументы для занятия «комплаенсом» в сфере персональных данных «по-взрослому». И если прокачанные по методологии друзей Льва Палея умения из области «soft skills» применить грамотно, то 152-ФЗ – это ещё один добросовестный инструмент для повышения роли ИБ.

Уместно заметить, что тема влияния законодательства на сферу жизненных интересов ИБ была обозначена уже на самой первой «пленарке» форума.

Н.И. Касперская назвала отсутствие стратегического планирования на государственном уровне как важнейший фактор, мешающий принять согласованный план действий в сфере кибербезопасности, без которого цифровая экономика превращается в мину замедленного действия, закладываемую под суверенитет России.

Как тут не вспомнить, что весной этого года в РЭУ им. Г.В. Плеханова состоялась Международная научная конференция IX Абалкинские чтения по теме «План и рынок – сочетание несочетаемого?». Докладчики и их оппоненты на пленарном заседании IX Абалкинских чтений все без исключения сочетали в своих «регалиях» разные комбинации докторских степеней по экономике и директорских должностей в ведущих экономических институтах и организациях, нередко перемежаемые ещё и академическими званиями.

И никто из участников «чтений» не отрицал фактического бездействие закона 172-ФЗ о стратегическом планировании и подмену стратегии управления антикризисным менеджментом на основе краткосрочных планов. При этом фактически основным целевым показателем такого планирования служит макроэкономическая финансовая стабильность, которая никак не увязана с развитием реального сектора экономики.

При таких обстоятельствах аморфность и необязательность для исполнения чиновниками индикативных показателей планирования превращает государство в «неблагонадёжного» партнёра, сотрудничество с которым становится «токсичным» для частного бизнеса. В качестве примера на Абалкинских чтениях нынешнего года была упомянута и «цифровая экономика», финансирование Программы которой за полтора года с июля 2017 года было изменено более, чем в 2 раза.

 

Смотрите также

Подпишись на новости!
Подписаться