Бизнес и ИБ: сотрудничество или противостояние?

Зачастую цели, решаемые этими органами, взаимоисключающие. Тем не менее, примеры успешного взаимодействия существуют и требуют самого тщательного изучения. Общая тенденция передачи функций поддержки и развития ИТ-инфраструктуры во внешние компании почти не коснулась функции обеспечения информационной безопасности. Подразделения ИБ по-прежнему остаются в структуре компании и действуют в рамках достаточно простой логики: При этом предполагается, что департамент ИБ выступает в роли эксперта, главная задача которого - максимально полно учитывать требования бизнеса, сохраняя риски информационной безопасности на приемлемом уровне. Департамент ИБ советует - бизнес решает Краеугольным камнем экспертизы людей из ИБ является политика информационной безопасности. Именно благодаря ей удается совместить противоречивые требования топ-менеджеров, ИТ и ИБ отделов, а также других заинтересованных участников — как внешних, так и внутренних.

Информационная Безопасность как бизнес преимущество

Дмитрий Покидаев Фото: Причем обсуждалась как спортивная составляющая этого феноменального явления современности, так и его возможности как вида бизнеса и одной из составляющих в цифровизации экономики. Хотя изначально, как настаивает главный специалист по киберспорту в международном холдинге Степан Шульга, по природе своей киберспорт был и остается всего лишь способом развлечения, порожденным развитием современных технологий.

При этом, продолжил специалист, Интернет и телекоммуникационные компании помогают людям как потреблять контент, связанный с киберспортом, так и участвовать в киберспортивных соревнованиях.

Подразделения ИБ по-прежнему остаются в структуре компании и действуют в рамках достаточно простой логики: бизнес делегирует этому.

Сегодня будет список из 12 причин, описывающих почему бизнес"не видит" ИБ и не ценит ее. Это же в пределах погрешности для многих предприятий. За что любить ИБ, которая и не делает ничего ибо не на что , и не тратит ничего, и не приносит ничего. Кибербезопасность Шредингера, которая вроде бы и есть, а вроде бы и нет: Вы считаете, что лучше знаете, что нужно бизнесу. Я поставил этот пункт первым, как и во вчерашнем первым стоял пункт, что вы знаете, что нужно бизнесу.

Но вчера это звучало как выполненная после общения с бизнесом задача, а сегодня - как частая ошибка многих безопасников, считающих, что именно они могут диктовать своему работодателю, что ему нужно с точки зрения кибербезопасности. Говорите со своей аудиторией на ее языке! Я про это писал и говорил уже много раз - повторяться не буду хотя одну ссылку приведу.

Но планирую в блоге писать больше про это и публиковать больше примеров того, как можно доносить до бизнеса свою задачи и свои достижения. Вы не получили вовремя грамотную помощь или ее не было вовсе. Очень мало кто способен самостоятельно разобраться в том, чем живет бизнес, что ему нужно и как работают бизнес-процессы.

Отсюда и результат.

Прозрачность информации Правила безопасности Информационная безопасность. Эти правила касаются информации о пользователях и о . Основные разделы включают безопасность устройств, требования аутентификации, безопасность данных и систем, конфиденциальность данных пользователей, правила, ограничивающие доступ наших сотрудников к ресурсам, и инструкции, относящиеся к разрешению определенных проблем Конфиденциальность данных пользователей.

Вакансия Главный специалист по информационной безопасности ( Управление ИБ бизнес-систем (SAP, БД). Зарплата: не указана. Москва. Требуемый.

Игорь Агурьянов Начнем с того, что информационная безопасность ИБ - не бизнес-процесс, и вообще не процесс. Согласно Доктрине информационной безопасности РФ, ИБ -"состояние защищенности сбалансированных интересов личности, общества и государства в информационной сфере". Но это если говорить о государстве стране , если же мы рассматриваем ИБ предприятия, то логично предположить, что информационная безопасность - состояние защищенности интересов предприятия.

Что это за интересы? Для достижения этой цели в организации осуществляется ряд бизнес-процессов. Часть из них направлена на непосредственное получение прибыли операционные бизнес-процессы , остальные - на повышение эффективности операционных процессов или предотвращение убытков управленческие и вспомогательные бизнес-процессы. Тогда информационную безопасность можно трактовать, как состояние защищенности от прерываний этих самых процессов в следствии инцидентов информационной безопасности.

Таким образом, хоть мы и говорим об информационной безопасности, но требуется обеспечивать безопасность не информации, а бизнес-процессов. А как же безопасность информации?

ИБ для бизнеса: как продать невидимку

В настоящий момент на рынке параллельно существуют 2 парадигмы: Бизнес-менеджер сможет ответить на этот вопрос. Важно отметить, что бизнес-менеджеры могут быть не только в коммерческих структурах, но и в государственных организациях. Просто у нас еще очень распространено мнение, что государственная работа не ставит своей целью достижение бизнес-результата. На самом деле даже Министерство обороны хоть и формально является исключительно затратным министерством, оно создает мультипликатор в экономике и решает важную задачу безопасности и по отношении к такой структуре вполне применим бизнес-инструментарий, который позволяет оценить риски, эффективность и т.

Мне рассказывали про интересный случай, когда в компанию средней руки пришел новый Директор по ИБ.

В году отечественный рынок информационной безопасности находился в положительной динамике, что обусловлено общим.

Алексей Лукацкий А продолжу-ка я тему с чеклистами и визуализацией: Сегодня будет список из 12 причин, описывающих почему бизнес"не видит" ИБ и не ценит ее. Это же в пределах погрешности для многих предприятий. За что любить ИБ, которая и не делает ничего ибо не на что , и не тратит ничего, и не приносит ничего. Кибербезопасность Шредингера, которая вроде бы и есть, а вроде бы и нет: Вы считаете, что лучше знаете, что нужно бизнесу.

Я поставил этот пункт первым, как и во вчерашнем первым стоял пункт, что вы знаете, что нужно бизнесу. Но вчера это звучало как выполненная после общения с бизнесом задача, а сегодня - как частая ошибка многих безопасников, считающих, что именно они могут диктовать своему работодателю, что ему нужно с точки зрения кибербезопасности. Говорите со своей аудиторией на ее языке! Я про это писал и говорил уже много раз - повторяться не буду хотя одну ссылку приведу. Но планирую в блоге писать больше про это и публиковать больше примеров того, как можно доносить до бизнеса свою задачи и свои достижения.

Вы не получили вовремя грамотную помощь или ее не было вовсе. Очень мало кто способен самостоятельно разобраться в том, чем живет бизнес, что ему нужно и как работают бизнес-процессы.

Устранение угроз информационной безопасности изнутри бизнеса

Участниками мероприятия стали более отраслевых экспертов рынка ИБ и представители 18 ведущих мировых и отечественных вендоров. В выставочной зоне были развернуты 16 демо-стендов, на которых было продемонстрировано свыше 30 комплексных решений. В секционных заседаниях были рассмотрены проблемы фрода в интернет-банкинге и интернет-торговле, противодействие внутреннему мошенничеству, специфика информационной безопасности АСУ ТП и практические аспекты построения , реальный опыт оказания услуг безопасности по аутсорсинговой модели, новый взгляд на использование традиционных -систем и обеспечение безопасности -приложений.

увязывать управление процессами информационной безопасности (ИБ) с бизнес процессами компании, а также с требованиями региональных и.

Услуги Внедрение систем обеспечения информационной безопасности сложных информационных системы, в том числе инфраструктурных Мы разрабатываем и реализуем комплексные решения для обеспечения безопасности виртуальной инфраструктуры, распределенных сетей корпоративных сетей, баз данных. В соответствии с особенностями функционирования объекта защиты и нормативных требований, мы спроектируем оптимальную систему обеспечения информационной безопасности и выполним весь комплекс работ по разработке, внедрению и сопровождению, включая: Создание корпоративных сетей любой сложности и масштаба Мы проектируем и строим корпоративные сети с учетом требований информационной безопасности.

Внедрение систем контроля доступа привилегированных пользователей Мы предлагаем решения, позволяющие в дополнение к штатным средствам контролировать доступ администраторов систем, в том числе динамически разрешать или запрещать доступ и детально регистрировать действия таких администраторов. Формирование политики информационной безопасности организации Мы разрабатываем документы верхнего уровня, описывающие принципы и подходы к обеспечению ИБ в целом, а также отдельные концептуальные документы и положения, необходимые для реализации политики информационной безопасности.

Проверка системы обеспечения информационной безопасности на соответствие требованиям законодательных актов и нормативно-методических документов регуляторов Мы проверяем принятую у Заказчика политику информационной безопасности на соответствие высокоуровневым требованиям, а также программно-технические средства автоматизированных систем Заказчика, предназначенные для обеспечения информационной безопасности. В рамках работ мы формируем рекомендации по приведению проверяемых систем в соответствие с действующими требованиями информационной безопасности, разрабатываем комплекс организационных и технических мер защиты.

Формирование мер по обеспечению информационной безопасности бизнес-процессов Для выделенных видов деятельности мы можем предложить комплекс организационно-технических мер, необходимых для выполнения действующих требований информационной безопасности и описать их в соответствующих документах — регламентах, руководствах и инструкциях. Техническая поддержка Мы оказываем услуги по технической поддержке внедренных нами систем.

Профессиональная поддержка в любое время

Информационная безопасность бизнеса и госсектора Одновременно с этим появляются всё новые угрозы, стоимость реализации которых неуклонно стремится вниз. Масштаб и уровень деструктивного воздействия способен нанести катастрофический урон не только ИТ-инфраструктуре, но и самой организации, потребителям услуг данной организации, нарушить привычный уклад вещей и даже нести риск жизни людей при атаках на компании, обеспечивающие работоспособность критических информационных инфраструктур.

Бизнес достаточно легко может выявить свои информационные активы, которые позволяют получать прибыль, сохранять конкурентоспособность на рынке и которые являются критичными, а также определить стоимость данных активов. Определив стоимость активов, можно однозначно говорить о допустимой стоимости владения системами и рисками, допустимых ресурсах на построение системы защиты информации.

Давно было желание подготовить бизнес-курс для руководителей служб ИБ. Теперь решил этим плотно заняться. Так уж сложилось.

Валерий Васильев Это означает, что в идеале инициатором и постановщиком задач для нее должны быть основные бизнес-подразделения. Кстати, в таком случае ИБ-служба оказывается в выгодном положении, поскольку выступает не в роли просителя средств на непонятные для бизнеса и потому отторгаемые им оборудование и работы, а единственным в компании компетентным помощником в решении её насущных задач. И именно бизнес-подразделение — профильное, финансовое, кадровое, маркетинговое, бухгалтерское или иное в зависимости от того, кто из них окажется внутренним постановщиком ИБ-задачи — будет добиваться на бюджетном комитете выделения средств под новый ИБ-проект.

Однако, являясь носителями специальных в данном случае находящихся в области защиты информации знаний, безопасники в состоянии прогнозировать такие ИБ-риски, которые могут пока и не отражаться на бизнесе, не восприниматься им как актуальные, но если загодя не предпринять против них необходимые ИБ-меры, то спустя какое-то время они могут причинить компании ощутимый ущерб.

Такая ситуация требует инициативы для новых ИБ-проектов уже от ИБ-службы. При ее возникновении ИБ-службе приходится разъяснять руководству компании суть назревающей проблемы и обосновывать на понятном бизнесу языке необходимость дополнительных мер. Как любая система, бизнес встречает новации настороженно, и поэтому ИБ-специалистам следует быть готовыми к неприятию своих предложений, к сопротивлению их инициативам.

Однако им следует иметь в виду, что если неприятности все же случатся, то ссылки на отвергнутые превентивные инициативы особенно если отказы от предлагаемых проектов не будут оформлены официально не сработают и виновным будет назначен начальник ИБ-службы. Случаи, когда инициация ИБ-проектов должна исходить от ИБ-службы, являются наиболее распространенными в российской практике. Чтобы успешно работать в этих условиях, ИБ-руководитель должен иметь авторитет в компании, т.

Увы, но для большей части российских ИБ-руководителей это отдаленное будущее, а работать приходится сегодня. Чтобы успешно отстаивать свои позиции в офисных интригах, им следует в числе прочего развивать навыки психологии деловых отношений. Быть убедительным ИБ-руководителю помогает освоение расчета экономических показателей работы ИБ-систем и процессов.

Журнал - : ИБ для бизнеса

По его мнению, предприятия экономят бюджеты на ИТ, поэтому темпы прироста рынка относительно невелики: Основные направления с наибольшим ростом — государственный сектор и отрасли промышленности и ТЭК. Политика импортозамещения позволила развивать отечественным производителям новые сегменты рынка ИБ, разрабатывать новые решения и технологии и обкатывать их на реальных заказчиках.

Внедрение систем обеспечения информационной безопасности сложных мер по обеспечению информационной безопасности бизнес-процессов.

Это традиционный взгляд на безопасность и на средства ее реализующие. Если посмотреть описания многих продуктов, то мы увидим, что именно так они и позиционируются. Оно и понятно — это универсальные драйвера, которые не зависят от компании, которой предлагается купить межсетевой экран, средство контроля доступа в Интернет, антивирус, систему предотвращения вторжений или что еще.

И это правда. А система мониторинга аномальной активности внутри сети так же эффективно будет обнаруживать обошедший периметровые средства защиты вредоносный код и в США, и в Украине, и в Норвегии. Ситуация с требует чуть больше сфокусированности. Очевидно, что й приказ ФСТЭК по защите государственных информационных систем — это чисто российское изобретение, но зато применимое ко всем государственным и муниципальным учреждениям нашей необъятной Родины. А законодательство по защите информации в автоматизированных системах управления технологическими процессами хоть и есть во многих странах мира, но все-таки оно отличается друг друга.

Но тут мы приходим к тому, что в текущей непростой экономической ситуации руководство компании мало интересует , так как за его невыполнение если и накажут, то не сильно.

ИБ для бизнеса на примере -подразделения: пять уровней зрелости

Надежная защита информации позволяет вовлечь в бизнес новых партнеров. Чем выше уровень доверия, тем больший уровень доступа можно безопасно предоставлять внешним сторонам, таким как: Это помогает расширить бизнес и одновременно упрощает выполнение операций, снижая затраты. Однако классическое подразделение по ИБ, к сожалению, оторвано от реалий бизнеса и привязано сугубо к технологиям.

При недостатке планирования непрерывности бизнеса и аварийного восстановления управление ИБ должно предположить, что требования ИБ в .

Теперь решил этим плотно заняться. Так уж сложилось, что на рынок ИБ я пришел из бизнес-среды, да и на рынке ИБ в основном занимался налаживанием взаимодействия между ИБ и бизнесом. В зоне ответственности были самые разные вещи, начиная от подготовки обоснований затрат на ИБ и их презентаций руководству, и заканчивая переработкой планов по дальнейшим ИБ-мероприятиям в компании.

Работал с компаниями в десятках регионов нашей необъятной родины. С головой окунался в корпоративную культуру заказчиков иногда бескультурье , внутренние политические игры и т. В общем повидал всякого, так что подготовка такого курса — это скорее логичное следствие полученного опыта, коего накопилось предостаточно. Осталось лишь структурировать его и оформить в виде курса. Причем сосредоточится не на пространных рассуждениях на тему, а конкретных инструментах — как это делать?

Подготовил предварительное описание курса и план, буду рад обратной связи: Например, с позиции многих профессионалов в области ИБ работа над повышением уровня ИБ приносит компании огромную пользу, а серьезный инцидент ИБ может поставить под угрозу существование бизнеса. Однако по мнению бизнеса, работа над повышением уровня ИБ приносит лишь прямые затраты, а инциденты ИБ, по величине своего ущерба, не соответствуют даже затратам на службу ИБ.

Решить возникающие противоречия через повышение осведомленности бизнеса как рекомендует большинство экспертов , на практике оказывается невозможным. Единственным способом выстроить эффективную работу между службой ИБ и бизнесом является переход службы ИБ на уровень бизнес-подразделения с соответствующими атрибутами, а также позиционирование как бизнес-менеджера.

Как начать бизнес в ИБ