Как мне приснился PHD и к каким размышлениям это привело

Как мне приснился PHD и к каким размышлениям это привело
Когда 5 лет назад я затевал этот блог, я лелеял надежду, что писать я буду о том, как поднять ИБ на уровень бизнеса, об измерениях в ИБ, метриках, психологии ИБ, теории организации в контексте ИБ и многим другим темам, которым место в программе MBA. Но мечте не суждено было сбыться - скатился в банальщину, которая отъедает у российских безопасников излишне много времени. Неоправданно много. Речь идет о compliance - о ФЗ-152, о ФЗ-149, о документах ФСТЭК, ФСБ, РКН, ЦБ и т.д. Слишком уж их много стало появляться в последнее время. А так как я уже начал эту тему вести, то было бы неправильно прекращать ее освещать - очень многие рассматривают этот блог как источник новостей по изменению нашего законодательства в области ИБ.

Не скажу, что в других странах такого нет. Compliance - это один из драйверов ИБ, но именно что "один из". Помимо него безопасники в других государствах активно занимаются реальной безопасностью, направленной на решение реальных, а не мнимых проблем ИБ. В этом плане мне вспомнился на днях PHD , лозунг которого был "Реальная безопасность". И действительно - взломы АСУ ТП, банкоматов, браузеров, обход защитных механизмов, мошенничества с ДБО - вот то, чем должны заниматься службы ИБ. А у них банально на это времени не хватает, т.к. они вынуждены заниматься выполнением многостраничных манускриптов, построенных на уже устаревшей парадигме защищенного периметра, защите гостайны и противодействии иностранным техническим разведкам.

При этом регуляторы, выпускающие свои творения, еще и считают, что современный безопасник, работающий в коммерческой компании, глуп и несведущ в современных угрозах. А посему он не может сам провести анализ рисков и сам же разработать меры по их нейтрализации или управлению ими. А значит надо сделать все за него... Это неплохо, если бы не при разработке таких мер регулятор не исходил из устаревшей парадигмы, как я написал выше. Вот и приходится сначала пытаться выполнить сотни требований от десятка регуляторов, а потом уже заниматься реальной безопасностью. Разумеется, если потребитель изначально не принимает на себя риск несоответствия. Но таких в России немного ;-(

И ведь сам себя загнал в угол. Т.к. текущая ситуация меня не устраивает, то надо что-то в ней менять. Считать, что менять ее должен "вон тот парень", я не могу - приходится самому пытаться что-то делать. Вот и участвую в различных рабочих группах, технических комитетах, провожу экспертизы нормативной базы, пытаясь, как минимум, показать, что мир выглядит не всегда так, как это описывают регуляторы в своих документах. Не все получается, но результаты, безусловно, есть.

К чему я это все?.. Просто поток сознания ;-) Очередную англоязычную книжку по ИБ читаю и понимаю, что интересы специалистов по ИБ ТАМ и ТУТ совершенно разные. Хотя слова и знакомые, но трактуются они по разному. И там гораздо дальше ушли в решении многих именно практических вопросов, о которых у нас просто не говорят или не знают. С точки зрения compliance мы можем дать фору всем странам, в отличии от бизнес-направленности и практической реализуемости этого compliance.

А самое главное, что нельзя сказать, чем это все закончится. Абсолютнейшая неопределенность. Есть как сигналы о том, что ситуация меняется в лучшую сторону, так и сигналы, что все остается как прежде. То приглашают к разработке интересной нормативной базы, то долгое затишье. То принимают твои предложения, то не включают их в финальный вариант документа, признав их нецелесообразными. То один регулятор делает шаг вперед, то второй откатывает ситуацию на 2 назад. Очень непросто в такой ситуации. Но и интересно одновременно.
Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться