понедельник, 1 декабря 2014 г.

Общее. Как выбирать ИБ

1. Регулярно сталкиваюсь с такой ситуацией, что специалисты со стороны компании – заказчика, под предводительством CISO пытаются детально разобраться в особенностях работы всех СЗИ и проводят тестирование/пилотирование всех доступных решений, пытаются найти себе “самое лучшее для компании решение”. (частично этот подход продвигал Алексей Волков)

Так как различных типов решений поИБ более 40, каждый тип представлен у 5 и более производителей, то их детальное изучение, тестирование и пилотирование могут занять значительные ресурсы. И все эти ресурсы будут потрачены компанией впустую, так как не связаны с проведением мероприятий по ИБ или эксплуатацией СОИБ и не уменьшают рисков ИБ компании. Иногда встречаются такие компании, которые вообще ничего не внедряют и мероприятий по ИБ не проводят, а все ресурсы ИБ тратят на изучение и тестирование.

Это всё хорошо и приятно для самих специалистов, но надо понимать, что при этом реализуются их личные интересы, а не цели компании.

Поэтому мой совет: хватит тестировать и пилотировать в поисках “золотых” решений. Лучше уделить немного времени на формирование актуальных требований к решению по ИБ и внедрить любое предложенное / запроектированное и соответствующее требованиям.  А высвободившиеся ресурсы потратить на лучшее изучение бизнес-процессов, определение рисков ИБ, определение необходимых контрмер и на другие мероприятия по ИБ.


2. Ещё одна часто встречаемая мной ошибка – когда CISO заказчика имея бюджет на год начинает собирать / рассматривает предложения по всем возможным типам решений по принципу “у меня есть бюджет, пусть сбегаются все вендоры и интеграторы со своими предложениями, возьму самое вкусное”.

Может так случится что вы попадетесь на модный тренд или красиво говорящего менеджера и купите решение, которое не будет снижать неприемлемые риски ИБ или будет снижать но в 10 раз менее эффективно чем решение другого типа.

Поэтому мой совет: необходимо заранее (на этапе выделения бюджета) определить на решения каких типов вам необходимо внедрить в этом году.

Тут может быть только 2 подхода:
·        или решения определяются по результатам анализа рисков ИБ (моделирования угроз) для данной конкретной компании
·        или из доверенного источника (top20 SANS, СТО БР, интегратор, консультант) берется перечень основных решений по ИБ (которые выросли из универсального анализа рисков или моделирования угроз для большинства компании из определенной группы)

Иными словами кратко: “самостоятельный анализ” либо “лучшие практики”.


1 комментарий:

Алексей Беседин комментирует...

я так понимаю по п.1 можно вспомнить авиаконструкторов "Совершенствовать проект можно бесконечно, а результат нужен сейчас". Нельзя объять необъятное.
А накопив информацию в фоновом режиме, можно ли будет, без критических финансовых потерь, перейти на иной продукт, годика через 3?