Как выжить ИБ-безопаснику в свете РС БР ИББС-2.7-2015?

Как выжить ИБ-безопаснику в свете РС БР ИББС-2.7-2015?
"И помни, что придёт пора, - и шею брей для топора…"
В.Ходасевич

"Один мальчик все время твердил, что подразделение ИБ самый ценный актив компании. Когда случился кризис его сократили в первую очередь..."
Е. Родыгин

Извлекаем практическую пользу из рекомендаций в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности" (РС БР ИББС-2.7-2015).
Читаем: “Одним из основных условий удовлетворения текущих и перспективных потребностей организации банковской системы (БС) Российской Федерации (РФ) в обеспечении информационной безопасности (ИБ) является наличие достаточных для этого ресурсов и их эффективное использование”.
На счет достаточности позаботится ваше руководство, а вот на счет эффективности ... надо подумать ...
Читаем: ... “Рекомендации к определению потребностей службы ИБ организации БС РФ в обеспечении кадровыми ресурсами установлены в разделе 8 настоящего документа”.
и далее ... Среди основных задач и функций службы ИБ рекомендуется рассматривать реализацию деятельности ... по следующим направлениям:
- направление "методология";
- направление "реализация и сопровождение";
- направление "контроль";
- направление "криптографическая защита".

Чтобы в кризис не вылететь с работы ИБ-безопаснику требуется соотнести себя с одним или несколькими направлениями. Надо наращивать свои компетенции по каждому из направлений и стать незаменимым хотя бы в одном.

Разберём составляющие каждого из направлений.

Направление "методология"
-разработка и согласование нормативной, регламентной документации компании в области информационной безопасности;
-контроль за соблюдением соответствующих законодательных и нормативных требований;
-разработка политик, положений, рекомендаций, ориентированных как на сотрудников, так и на высшее руководство компании.

Что делать?
-переложи угрозы бизнесу на язык политик, регламентов, правил, порядков …;
-следи за изменениями законодательства РФ, отраслевых и международных стандартов в области информационной безопасности. Вовремя вноси изменения в нормативные документы компании;
-обнови свое резюме.

Направление "реализация и сопровождение"
-установка и развертывание СЗИ, их эксплуатация;
-выявление и устранение уязвимостей и своевременное обновление программного обеспечения;
-управление доступом (включая вопросы идентификации, распределения ролей, разграничения полномочий и доступа);
-антивирусная защита (включая защиту серверов, рабочих станций, интернет-шлюза);
-защита корпоративной электронной почты;
-управление инцидентами. Реагирование на инциденты безопасности. Анализ инцидентов.

Что делать?
-недостаток технических средств защиты информации компенсируй избыточностью организационных. Банальное архивирование спасает от большинства возможных проблем;
-будь на страже денежных потоков и критически важной информации (интернет-банк, платежные системы и т.д.);
-участвуй как можно в большем количестве проектов своей компании;
-веди историю переписки по инцидентам – целее будешь;
-обнови свое резюме.

Направление "контроль"
-управление рисками. Анализ рисков;
-мониторинг событий информационной безопасности, выявление нарушителей;
-оценка, проверка и соответствие требованиям (compliance).

Что делать?
-ищи бреши в информационной защите компании;
-изучай законодательство РФ, отраслевые и международные стандарты в области информационной безопасности;
-участвуй в организации и проведении аудитов состояния уровня ИБ компании;
-уделяй внимание описанию своих действий. Веди ежемесячную отчётность;
-обнови свое резюме.

Направление "криптографическая защита"
-управление и контроль функционирования технических средств защиты информации и систем криптографической защиты информации, управление ключами;
-сегментирование сети и защита каналов связи (включая шифрование каналов связи, VPN, SSL и проч.);
-шифрование передаваемой и хранимой информации (на носителях, устройствах, в базах данных, в электронных сообщениях).

Что делать?
-ищи работы с повышенной ответственностью;
-соблюдай регламенты;
-учи мат.часть;
-обнови свое резюме.

Что делать (итожим)?
-определяй нужды компании в том или ином направлении;
-развивай деятельность своей компании в выбранном направлении;
-создавай себе определенный уровень доверия в компании, принимая взвешенные, документально закрепленные решения. Доверие к тебе людей, определяющих бизнес компании, важнее, чем доверие IT-шников.
-учитывай планы развития компании. Средства защиты не должны ограничивать развитие.
-узнавай, как начальник определяет успех твоей работы;
-занимайся повышением осведомленности других. Люди - главный актив. Они могут принести ИБ как максимальную пользу, так и максимальный вред…

К сожалению, безопасность не бывает без принуждения… Поэтому каким бы ты не был добрым, честным, порядочным и красивым, у тебя всегда будут недоброжелатели в компании.

И в заключение: информационная безопасность компании – недостижимая мечта, но ощущение безопасности – полностью в твоих руках. Делай свою работу так хорошо, как ты можешь, и от тебя никто не будет требовать подвигов на работе. Кстати, ты обновил свое резюме?
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)