Василий Окулесский о теме управления бизнесом на предстоящей конференции BIS Summit'2014

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(32)
()
Опубликовано в: ,

До главного события осени в сфере информационной безопасности осталось всего 2 недели! 19 сентября 2014 Ассоциация по вопросам защиты корпоративной информации BISA совместно с генеральным спонсором компанией InfoWatch проводят крупнейшую конференцию на рынке ИТ − BIS Summit’2014. В этом году мы будем говорить не просто об информационной безопасности, а о той роли, которую она играет в управлении рисками бизнеса и той выгоде, которую может получить бизнес благодаря ей.

Василий Окулесский, начальник управления информационной безопасности АКБ «Банк Москвы», эксперт сообщества BISA, отвечает на наши вопросы о своем докладе, посвященном построению единого интерфейса взаимодействия ИБ и бизнеса

Оцените материал:
Total votes: 244
Тэги: 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

О чём интервью? 
Начальник отдела защиты информации банка (что правильно) об информационной безопасности банка?
Но ЗИ не есть ИБ! Тем более в банке.
Поэтому странно было слышать из уст начальника отдела ЗИ о том, что он собирается подсказывать бизнесу, куда идти дальше. Возможно у него такой статус в этом банке или он по совместительству соучредитель банка? В обычных условиях, насколько я могу судить, начальника отдела ЗИ никто не спрашивает о таких вещах, хотя бы потому, что это не его дело. 

up
28 users have voted.
Аватар пользователя Sedov

у Василия, кроме статуса есть еще и авторитет в лице бизнеса банка. Причем проверенный! тем кто в теме не разу не странно :-)

up
24 users have voted.
Аватар пользователя riskmn

Интервью ни о чем.

Он не "карьерный" специалист по безопасности, он, скорее всего (с ним не знаком лично, но по повадкам) - типичный представитель ИТ, которому поручили заниматься ИБ, От этого и все фраза "общего" характера.

Там явно присутствует полнейцшее общее непониманеие что реально есть по-жизни, а чего хотелось бы иметь. Обычное дело. Типичный "книжный вариант" сплава курсов МБА и ит-опыта.

Вы абсолютно правы, что нач. отдела ИТ (если только это не мелкая компашка) никто слушать не будет, а его запросы про "стратегию, доходность, сроки проектов и прочие финансовые показатели" - чем крупнее компания, тем циничнее и дальше будут посланы. Тут желаемое за действительность выдается. Сервис никогда в серьезноам бизнесе рулить не будет....

 Здесь тоже полная "каша в понятийном аппарате". Ситуацмию спасает тошлько то, что в банках все зарегулированно и предписано... и никакие "танцы с бубнами" в серьезном банке не пройдут.

Да, еще, полное непонимание про управление рисками и месте Безопасности в этом))))

Куда катится мир?

up
2 users have voted.
Аватар пользователя Ерин Андрей

Очень правильные идеи высказал Василий Окулесский. Это какой же должен быть авторитет ИБ и её руководителя в компании, что бы его допустили до стратегии бизнеса?
Вот и живой пример для направления роста CISO.

up
31 user has voted.
Аватар пользователя riskmn

В чем правильность? Авторитет не получают и его не назначают  - сие от личности зависит. А в тексте так - фантазии - надо бы, хотелось, не плохо получить....

up
3 users have voted.
Аватар пользователя anton.aksenov

С моей точки зрения, системный подход по управлению ИБ, предложенный Василием, очень эффективен для обоснования бизнесу необходимости затрат на ИБ. Исходя из своего собственного опыта могу подтвердить, что для построения достаточно эффективной системы управления ИБ нужно обязательно говорить с бизнесом на одном языке. Языке бизнеса. А именно как ИБ может помочь бизнесу: 1) заработать денег (например ИБ как конкуретное преимущество); 2) сохранить уже заработанные деньги; 3) снизить расходы; 4) обеспечить непрерывность бизнеса. Говорить же с бизнесом в терминах рисков ИБ контрпродуктивно, т.к. мотивация бизнеса направлена на устойчивое развитие, а не от возможных угроз. Другими словами эффективный руководитель ИБ должен выступать мостом между бизнесом и рисками ИБ и уметь переводить риски ИБ в язык понятный бизнесу. 

up
27 users have voted.
Аватар пользователя Атаманов Геннадий

Господа, Вы о чём? Об «информационной безопасности» (ИБ) или «безопасности информации» (БИ). Из-за недопонимания разницы между этими понятиями вы постоянно «забредаете не на свою грядку».
Главный источник угроз ИБ – хозяин бизнеса. Язык, на котором обсуждается проблема ИБ, естественно, бизнес-язык. Главный источник угроз БИ – сисадмин. Вы пробовали с ним на языке бизнеса говорить? Да и не к чему это. С ним нужно говорить на ИТ-языке. Перевод с одного языка на другой может осуществляться напрямую зам. руководителя по безопасности (если он в этом соображает). Чаще эта процедура осуществляется в три этапа: 1) зам – начальнику ОЗИ; 2) начальник ОЗИ – начальнику отдела ИТ; 3) начальник отдела ИТ – сисадмину. А должно быть в четыре. Первым должен быть: руководитель – заму.
Если бы Окулесский был замом управляющего банком, то не было бы никаких вопросов. Возможно, что у него действительно такой авторитет и такие знания, что к его мнению прислушиваются и с ним считаются. Но это уникальная ситуация и распространить подобный опыт на всех и не получится, и не нужно.
Беда, коль пироги начнёт печи сапожник, а сапоги тачать пирожник.

up
28 users have voted.
Аватар пользователя Sedov

Первое! Оно же и главное! Нет никакого языка ИТ, ИБ или бизнеса! Есть толья язык корпоративных ценностяе. На нем или общаются все или придумывают какие-то отговорки "ах, нас умненьких не слышат" :-)

up
21 user has voted.
Аватар пользователя Ерин Андрей

Улыбнуло: "Главный источник угроз ИБ - хозяин бизнеса."
Если развивать логическую цепочку дальше, то так и до крамолы недалеко: "Гавный источник угоз ИБ - преидент" :)))

up
24 users have voted.
Аватар пользователя Атаманов Геннадий

Седову: про язык бизнеса не я придумал. Это - к Окулесскому. Я только сохранил лексику. Хотя в современной философии существуют и языки, и метаязыки, и сленги, которые часто отождествляют с языками. Так что Ваше ёрничество по этому поводу не очень уместно.
Ерину: главный источник угроз - то (тот), что (кто) может причинить объекту наибольший вред. Наибольшийц вред бизнесу может причинить его владелец своими действиями или бездействиями. У объектов различных уровней структурной сложности различные источники угроз. Кроме того, есть источники внутренние, есть внешние. Ну и т.д. Это - элементарная логика.

up
27 users have voted.
Аватар пользователя Овчинников Денис

Геннадий, было бы интересно понять, какой смысл лично вы вкладываете в понятие ИБ? И почему вы отказываете Окулесскому в праве руководить процессом её обеспечения? =))

up
23 users have voted.
Аватар пользователя Атаманов Геннадий

Моя точка зрения на ИБ изложена в моих статьях здесь на БИСА, на моём блоге АГАСОФИЯ, в журнале "Инсайд. Защита информации" под рубрикой "Азбука безопасности". В ледующем номере (т.е. на днях) выйдет предпоследняя статья рубрики, как раз посвящённая методологии обеспечения информационной безопасности. 
Что касается обеспечения информационной безопасности, то это триединая задача:
1) удовлетворение инфопотребностей;
2) защита от деструктивного информационного воздействия;
3) защита информационного ресурса. 

up
29 users have voted.
Аватар пользователя Ерин Андрей

Фраза "защита от деструктивного информационного воздействия" почему то сразу напомнила о певице Жанне Агузаровой с её шапочкой, защищающей от инопланетян. Ганнадй, без обид - это мои личные ассоциации, большинтво людей про Жанну и не помнят уже. Наверное, это формулировка из службного источника и она  имеет право на жизнь.
Если говорить серьезно, то хотелось бы прочесть прямо тут различия в терминах ИБ и БИ, раз уж дисскусия развернулась на этой площадке. У Вас достаточно много публикаций и выбрать из них те, которые отражают Ваш взгляд на термины ИБ  и БИ нереально.
Кстати, я просмотрел журнал "Инсайд. Защита инфомации" за июль, август - названной Вами рубрики не нашел.

up
30 users have voted.
Аватар пользователя Атаманов Геннадий

Стараюсь придерживаться правила даосов: обижается тот, кто хочет обидеться. Пока не на что.
По делу: иногда этот пункт я формулирую короче: защита ОТ информации. Помните, совет профессора Преображенского не читать перед обедом газет? Совет Андре Моруа не читать современной литературы, а читать только то, что прошло проверку временем и специалистами? Запрет детской порнографии в интернете. Запрет на распространение информации о суицидах, фашизме и т.д. Это всё способы реализации этой задачи. Это примеры из гуманитарной сферы. Сетевой экран - из технической. 
Мои статьи не в каждом номере присутствуют. В 1-м номере за 2014 была статья про информационные вызовы, риски, угрозы. В пятом будет про методологию ИБ. После публикации размещу её на своём блоге и дам анонс здесь. Приглашаю к обсуждению. Отсутствие отрицательной обратной связи отрицательно сказывается на системе. На информационной системе в первую очередь. 

up
25 users have voted.
Аватар пользователя anton.aksenov

Расскажите пжл а к какой из категорий теории триединства вписывается социальный инжиниринг и угрозы данным, в следствии незлоумышленных или неграмотных действий сотрудников?

up
30 users have voted.
Аватар пользователя Атаманов Геннадий

В обоих случаях нужно защищать и человека от деструктивного информационного воздействия (2-я задача) и ресурс от искажения, уничтожения, изменения статуса и пр. (3-я задача). Способы реализации разные. От инжиниринга человека можно защитить просвещением и психотренингами, сотрудника - обучением правильным действиям и концентрации внимания. Информационный ресурс во всех случаях нужно защищать от искажения, некорректного уничтожения, неправомерного изменения статуса, некорректного блокирования доступа. Как-то так, если коротко.

up
26 users have voted.
Аватар пользователя Sedov

Геннадий, в общении с вами я постоянно должен отказывать себе в привычной манере общения. Поэтому ёрничеству нет ни малейшего места в моих словах!
Но вопрос-то в другом – если мы все неправы и Окулесскому вы действительно отказываете в праве на кейсы, советы и практику, то что Вы лично, конкретного можете предложить для решения задачи поставленной Василием? Ну кроме критики всего и всех?

up
31 user has voted.
Аватар пользователя Атаманов Геннадий

Седову: Окулесский имеет право на кейсы, равно как я - на своё мнение по этому поводу. С моей точки зрения, этот материал вводит в заблуждение многих молодых специалистов по ТЗИ. Нельзя выдавать уникальный опыт за закономерность. Нужно было сказать, например, что у нас сложилась такая ситуация, что меня ценят не только как специалиста по ТЗИ, но и как специалиста по банковскому делу и т.д. Поймите, пожалуйста, что я ничего не имею против Окулесского! Я - за соблюдение элементарных законов логики. А по логике, у ТЗИ в бизнесе своя ниша и сегодня не очень значимая. Если где-то дела обстоят иначе, то это не значит, что так может быть везде. Нельзя отождествлять часть и целое, судить по единичному случаю о процессе в целом.

up
26 users have voted.
Аватар пользователя Атаманов Геннадий

 Упустил один момент: я ведь не только критикую. Я разработал теорию безопасности (в т.ч. информационной). В моих статьях есть конкретные предложения, что и как стоило бы делать. Мне кажется, что одна Набиулина прочитала мою статью про банки и банковскую безопасность. Во всяком случае, банковскую сферу она начала вычищать именно после того, как статья была напечатана в «Право и безопасность». :)) Остальным не досуг. Они живут по принципу: чукча не читатель, чукча – писатель. Мой совет и просьба: почитайте, найдёте много интересного. Что не поймёте, спросите. Объясню, расскажу и что-то покажу в рисунках, таблицах, схемах. Будут критические замечания, готов с благодарностью выслушать, принять к сведению, исправить недостатки и недоработки. Это будет нормальный коллективный труд над нужной и важной проблемой, а не просто полемика по малозначащему вопросу.

up
29 users have voted.
Аватар пользователя Ерин Андрей

Геннадий, я ведь как раз за Вашу логику!
Да не огорчайтесь Вы так - все равно от результов нашей дискуссии в окружающем мире ничего не изменится :)

up
24 users have voted.
Аватар пользователя Атаманов Геннадий

В ходе дискуссии (подчёркиваю – не спора, а именно дискуссии) рождается истина! Меняется точка зрения участников, а, следовательно, меняется Мир. И, как правило, в лучшую сторону.
В ходе спора меняется настроение участников (как правило, в сторону озлобления) и Мир становится грязнее и злобнее. 

up
24 users have voted.
Аватар пользователя Овчинников Денис

В рамках поддержания дискуссии!
По моему скромному мнению Руководитель службы ИБ Банка (мы же рассматриваем частный случай, т.е. именно банковский сектор) должен как минимум иметь куратора на уровне руководящего органа банка (например -  Правления), как максимум вообще туда входить, как и руководитель ИТ. Потому как ИТ - технологическая база бизнеса, а Руководитель службы безопасности (куда по моему мнению и должны быть отданы функции ИБ) должен быть ТОП менеджером агрегирующим работу всех подразделений Банка с такими процесами как : обеспечение экономической безопасности, информационной безопасности, кадровой безопасности и физической безопасности. И в его обязанности должно входить не только поддержание процесса но и участие в развитии бизнеса и создании конкурентных преимуществ.
Если же Банк не движется в этом направлении, то складывается ситуация, когда ИБ просто для галочки (отчетность ЦБ), и вот тут действительно CISO не должен лезть на "чужие грядки". Там наверняка будет такой же CIO, которому главное, чтобы его не трогали. Как результат застой или стагнация бизнеса, потому что эти двое будут только тормозить бизнес и убивать на корню любые попытки расширения ради статичности и "стабильности".
IMHO.

up
22 users have voted.
Аватар пользователя Атаманов Геннадий

Всё верно, только речь идёт не о руководителе службы ИБ (тогда и вопросов бы не было), а о начальнике отдела защиты информации, у которого своя - очень скромная - ниша в этом (равно, как и любом другом) бизнесе. Я только об этом и ни о чём другом. 

up
36 users have voted.
Аватар пользователя anton.aksenov

Это зависит от штатного расписания конкретной организации и обязанностей в рамках конкретной позиции. В одних организациях руководитель службы ИБ и начальник отдела защиты информации - это одна позиция с точки зрения обязанностей, а в других это разные позиции с разными обязанностями.  

up
24 users have voted.
Аватар пользователя root

В этом всё и дело, что многие не отличают информационную безопасность от безопасности информации. Отсюда, в свою очередь, возникает непонимание кто за что отвечает и кто что должен делать.

up
27 users have voted.
Аватар пользователя anton.aksenov

Защита информации – принятие правовых, организационных и технических мер, направленных на:
•обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
•соблюдение конфиденциальности информации ограниченного доступа;
•реализацию права на доступ к информации
(ФЗ № 149 "Об информации, информационных технологиях и защите информации")

Информационная безопасность– безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ - доступности, целостности, конфиденциальности информационных активов.
(СТО БР ИББС)

И то и другое про обеспечение конфиденциальности, целостности и доступности информации.

up
21 user has voted.
Аватар пользователя Атаманов Геннадий

Антон, а Вы сами-то прочитали то, что процетировали?

up
25 users have voted.
Аватар пользователя anton.aksenov

Приведенные выше определения построенны на достаточно общих понятиях и могут быть истрактованы по разному. Геннадий, вы какое-то конкретное прочтение имеете в виду?

up
20 users have voted.
Аватар пользователя Атаманов Геннадий

Конечно. Конкретно: эти определения не выдерживают никакой критики. Они алогичны, атинаучны, а, проще, - абсурдны. Если их прочитать внимательно (не принимать как должное, а вникнуть), это сразу становится очевидно.

up
18 users have voted.
Аватар пользователя root

Защита информации – принятие... мер, направленных на защиту информации... Ну Вы поняли.

Конфиденциальность информации: обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя

Доступность информации [ресурсов информационной системы]: состояние информации [ресурсов информационной системы], при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно

Целостность: состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
(ГОСТ Р 50922-2006)

Только вот есть такое Протоэламское письмо (и ему подобные), и вроде бы свойства (указанные выше) нарушены, да информацию почему-то получить не удаётся.

P.S. Только мне кажется, что доступность и целостность выражены через свойство конфиденциальности?

up
24 users have voted.
Аватар пользователя Атаманов Геннадий

Я- то понимаю. Хотелось, чтобы это поняли те, кто эту абракадабру писал, и исправили. Хотя на счёт последнего (т.е. исправления) я глубоко сомневаюсь. 
Что касается триады "конфиденциальность, целостность, доступность", я тоже писал в своих постах, статьях, комментариях. Повторюсь: это откровенная глупость. Обоснование этого тезиса (очень подробное) есть в моей статье "Чему угрожают: информации или её безопасности?". Сегодня выложу на своём блоге. Если есть желание можем продолжить обсуждение там уже по факту.

up
28 users have voted.
Аватар пользователя anton.aksenov

Мне кажется, что речь тут идет о разном. Одная сторона говорит о защите информации от угроз, в частности в виде внедрения необходимых организационных, технических и физических мер безопасности, а другая сторона о получении финансирования у бизнеса на эти меры по защите информации.
Идеальный случай – это построение системы безопасности, исходя из неограниченного бюджета и возможности внедрить любые меры безопасности, которые руководитель отдела ИБ считает необходимыми для обеспечения безопасности как информации в частности, так и бизнеса в целом. Рай для безопасника. Но даже в идеальном случае к сожалению невозможно гарантировать бизнесу полное устранение угроз безопасности.
По факту в реалиях бизнеса идеальных случаев не бывает, т.к.:
1) Чем больше закручиваешь гайки, тем больше безопасность влияет на эффективность бизнеса. Необходимо искать каждый раз компромисс.
2) Руководство организации отказывается выделять финансирование на меры безопасности без понятного им бизнес-обоснования необходимости внедрения тех или иных мер безопасности. Поэтому необходимо находить общие точки сопрокосновения с руководством организации и предоставлять бизнес-обоснования на основании приемлимых и понятных для руководства критериях.
3) Затраты на безопасность с точки зрения большинства руководителей это расходы, которые отрицательно влияют на маржу организации. Поэтому необходимо уметь показать руководству организации как внедрение мер по безопасности может положительно влиять маржу по сравнение с ситуацией, когда меры безопасности отсутствуют.

up
29 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.