Контакты
Подписка 2025

Каково будущее информационной безопасности?

Евгений Царев, 25/03/19

tsarevДостаточно неблагодарное дело – строить прогнозы, однако оценить накопившиеся и развивающиеся тенденции более чем возможно. Для начала необходимо определить, что же такое информационная безопасность сегодня, и понять, как мы пришли к текущей ситуации.

Информационная безопасность. Первые шаги

Если посмотреть на ситуацию 20–25-летней давности, когда информационная безопасность в качестве прикладной дисциплины только формировалась, то мы увидим, что практически вся деятельность сводилась к работе со средствами защиты. То есть сначала появились средства защиты информации, а уже после этого появилась потребность в людях, которым нужно было ими управлять. Да, были и руководящие требования, но тем не менее работа со средствами защиты была центральной задачей и первые службы информационной безопасности занимались именно ей. Разнообразие решений было весьма небольшим, это межсетевые экраны, средства антивирусной защиты, в дальнейшем появились средства обнаружения вторжений и т.д.

В настоящий момент мы пришли к ситуации, когда к продуктам информационной безопасности относится уже большой спектр самых разных решений, включая систему сбора корреляции событий, аналитические системы, системы контроля за утечками и многое другое. Если мы посмотрим на них со стороны, то увидим, что они содержат в себе достаточно большой функционал либо  ИТ-систем, либо систем управления, то есть это уже далеко не только СЗИ. Это первое.

Вторым важным изменением является развитие Compliance-направлений (персональные данные, стандарты менеджмента и пр.). Началом "эпохи Сompliance" можно назвать 2008–2009 гг., когда появлялась тематика защиты ПДн. Это был мощный толчок в направлении развития систем управления.

Именно в то время ИБ стали определять как некий процесс, например процесс обеспечения безопасности в ИТ-среде. Мы начали относиться к информационной безопасности не как к работе со средствами защиты, а именно как к процессу, к тому, чем нужно управлять и к чему применимы существующие подходы менеджмента. Активно развивалась нормативная база, появились новые законы, стандарты, изменялись старые требования регуляторов и появлялись новые. Именно в то время нормативная регуляция стала определяющим элементом развития ИБ.

Управление ИБ

Так постепенно от работы со средствами защиты мы перешли к управлению информационной безопасностью. Более того, часть исторически ИБ-решений перешла на администрирование службам ИТ. В крупных организациях антивирусная защита, межсетевое экранирование перешли на администрирование обычных служб ИT.

В результате за службами ИБ надежно закрепилась функция внутреннего контролера. Стало нормой согласование со службой ИБ заявок на предоставление доступа или установку приложений. Активное развитие и рост количества ИТ-систем привели к условно массовому внедрению IDM, DLP и прочих решений.

Можно сказать, что на этой стадии мы продолжаем находиться и по сей день, но есть НО. Давайте ответим честно на несколько вопросов:

  • Насколько эффективна служба ИБ в качестве внутреннего контролера?
  • Достаточно ли этого для закрытия потребностей организации?

Окажется, что далеко не для всех организаций, а скорее для меньшего их числа такой формат оказывается эффективным. Например, компании, которые занимаются внутренней разработкой ИТ-систем, редко привлекают к разработке внутренние службы ИБ. Для них более удобно держать в команде человека со знаниями и навыками в области ИБ, достаточными для развития и поддержания проекта. Я все чаще вижу, как различные подразделения компаний развивают внутренние компетенции по ИБ. Крупные компании могут позволить себе такой подход. За последние годы все чаще встречал в составе кадровых служб сотрудников с неплохими знаниями и опытом в ИБ, службы физической безопасности, службы экономической безопасности тоже не исключения. Ну и конечно же, ИТ-службы и отделы разработки ИТ-систем и сервисов все чаще держат в штате людей с хорошим опытом в ИБ.

Посмотрим на профильные системы. Например, системы, которыми пользуются современные службы экономической безопасности или службы физической безопасности, уже неразрывно связаны с тем инструментарием, которым пользовались ИБ-сотрудники раньше. Люди, которые занимаются конкурентной разведкой, точно так же пользуются системами, которыми пользуются службы информационной безопасности. И наоборот.

То есть мы наблюдаем ситуацию, когда размываются границы между функционалами разных служб.

Здесь мы приходим к одному принципиальному выводу: ИБ перестала быть отдельной компетенцией, информационная безопасность стала функцией.

Еще пример. Сегодня, когда организация создает или покупает некую информационную систему, она не хочет заниматься обеспечением ее безопасности. Она хочет либо купить безопасную систему, либо же создать безопасную систему. Очень тонкая грань, но она есть.

Любой безопасник возразит: безопасность – это относительное понятие, где критерии безопасности? А критерии определяет собственник процесса, т.е. фактически лица, управляющие системой.

Для нас, людей, воспитанных на комплексном подходе к безопасности, это первый шаг к идеальному шторму. Но бизнес упорно идет на риск, т.к. видит эффективность такой модели.

Если мы посмотрим на группы разработки, которые существуют в крупных компаниях, то увидим, что разработкой продуктов занимаются небольшие команды и в них есть люди, которые отвечают за вопросы информационной безопасности; отдельные сотрудники занимаются вопросами корректности встраивания криптографии; отдельные специалисты могут разбираться в регуляторных вопросах по профилю конкретного продукта и т.д. Например, если мы посмотрим на крупных разработчиков программных продуктов – Яндекс или Google, то мы увидим, что деление идет по продуктовым линейкам. То есть конкретный продукт разрабатывают не только ИТ-специалисты, программисты, но и люди, занимающиеся вопросами информационной безопасности в рамках этого продукта.

Итак, получается, что служба ИБ именно как служба для многих организаций оказалась недостаточно эффективной и недостаточной в принципе. Информационная безопасность превратилась в функцию, которую может выполнять отдельный участник команды.

Вернемся к работе служб, таких как СБ, кадры. Часто в них есть человек, который разбирается в вопросах информационной безопасности, и все остальные сотрудники службы обращаются к нему по горизонтали за консультациями. Юридические службы точно так же с большим удовольствием набирают людей, которые занимаются или, по крайней мере, на каком-то уровне разбираются в вопросах ИБ и могут проконсультировать по этим вопросам других юристов. Некоторым юридическим службам необходимо, чтобы был специалист по вопросам, например, защиты персональных данных или по вопросам корректности оформления работы с конфиденциальной информацией. Эти люди все чаще работают не в качестве специалистов отдельной службы ИБ, а в качестве специалистов юридической службы.

В конечном итоге мы приходим к ситуации, когда ИБ из профессии эволюционирует в функцию.

Темы:RTM GroupУправление

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.
  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...