Алексей Петухов, руководитель отдела по развитию продуктов, InfoWatch ARMA, лидер центра компетенций «Кибербезопасность» НТИ Энерджинет, автор тг-канала «Алексей Петухов», рассказал порталу Cyber Media об уровнях зрелости ИБ в бизнесе, что об информационной безопасности должен знать генеральный директор и какие сложности могут возникнуть во взаимодействии CISO с топ-менеджментом компании.
Cyber Media: На ваш взгляд, как менялась степень информированности топ-менеджмента, генеральных директоров компаний, об информационной безопасности в последние годы? На каком уровне она находится сейчас?
Алексей Петухов: В последние годы степень информированности топ-менеджмента и генеральных директоров компаний в области информационной безопасности заметно возросла. Однако важно не только то, что они знают, но и насколько активно они применяют эти знания на практике. Большинство руководителей, которые обязаны следовать законодательным требованиям, достаточно хорошо осведомлены о регуляциях ФСТЭК, ФСБ и Минцифры. Они понимают общие требования, оценивают необходимые меры и выбирают стратегии для их реализации.
Вопрос информированности компаний о проблемах информационной безопасности стал актуальным с 2014 года, и сегодня многие компании уже прошли этот этап, сосредоточившись на операционных задачах.
Однако другой важный аспект заключается в том, насколько глубоко топ-менеджмент вовлечен в управление вопросами информационной безопасности и насколько эта тема интегрирована в бизнес-процессы. Чтобы оценить это, можно использовать два подхода: оценку зрелости компании в области информационной безопасности и организационно-ролевую модель.
Первый подход базируется на стандартах ГОСТ Р ИСО/МЭК 15504 и ГОСТ Р ИСО/МЭК 21827, которые описывают пять уровней зрелости информационной безопасности:
Большинство российских компаний находятся на третьем или четвертом уровне зрелости, что является значительным прогрессом по сравнению с ситуацией, которую мы наблюдали пятнадцать лет назад, когда многие компании едва достигали первых двух уровней.
Второй подход более прост и основывается на том, какую роль занимает руководитель информационной безопасности в структуре компании. Если этот человек входит в топ-менеджмент, это соответствует пятому уровню зрелости. Если подчиняется руководителю высшего звена — это четвертый уровень. Когда ИБ управляется на уровне структурного подразделения, это третий уровень, а если за ИБ отвечает специалист по техническим мерам, это второй уровень.
По такому критерию, большинство российских компаний также находятся на третьем уровне зрелости, меньше — на втором и четвертом. Пятый уровень достигают лишь несколько десятков компаний. Аналогичная ситуация наблюдается и за рубежом. По данным исследования 2023 года, проведенного InfoWatch, около 70% компаний в Германии, США, ОАЭ и Японии находятся на третьем уровне зрелости, что схоже с российской ситуацией.
Cyber Media: Сейчас у все большего количества компаний появляются заместители гендира по ИБ. Значит ли это, что CEO может переложить все вопросы ИБ на CISO и минимально в них вникать?
Алексей Петухов: Наличие заместителей генерального директора по информационной безопасности (CISO) в компании не означает, что CEO может полностью передать ответственность за информационную безопасность. Хотя номинальное назначение на эту должность нередко обусловлено законодательными требованиями, например, Указом №250, перераспределение обязанностей между CEO и CISO не решает ключевых проблем, связанных с обеспечением безопасности.
Важно понимать, что эффективное управление информационной безопасностью — это не задача для одного человека или подразделения. На высоком уровне зрелости информационной безопасности (пятый уровень), ее развитие и поддержание становятся частью общей философии компании. Все сотрудники должны осознавать угрозы и участвовать в процессе защиты данных. Для достижения этого уровня необходимы прозрачные, формализованные и контролируемые бизнес-процессы, которые охватывают все аспекты деятельности компании.
Генеральный директор, как лидер и стратег, не может полностью снять с себя ответственность за ИБ, поскольку именно он определяет курс компании и управляет ее рисками. В то же время процессная часть — разработка регламентов, внедрение и поддержка системы защиты данных — может и должна быть в зоне ответственности CISO. Таким образом, CEO сохраняет контроль за общим направлением и стратегией, а CISO отвечает за техническую и организационную реализацию мер информационной безопасности.
Cyber Media: На практике CISO часто подчиняется не генеральному директору, а другому топ-менеджеру из C-level, например, CTO. Какие преимущества и недостатки есть у такого подхода с точки зрения управления и эффективности обеспечения ИБ?
Алексей Петухов: Подчинение CISO техническому директору (CTO) соответствует четвертому уровню зрелости информационной безопасности. Этот уровень считается достаточно высоким для обеспечения реальной безопасности компании. Такой подход может быть эффективным при условии, что CTO полностью отвечает за технические аспекты и обладает достаточным пониманием ценностей информационной безопасности, интегрируя их в свои управленческие решения. В этом случае подчинение CISO CTO может быть оправдано с точки зрения управления и эффективности.
Однако у такого подхода есть и недостатки. Когда CISO подчиняется не генеральному директору, а CTO, компания теряет важный управленческий инструмент — независимый контроль и анализ ИТ-процессов и ИТ-функции в целом. Это снижает способность компании управлять рисками ИБ на стратегическом уровне. Независимая функция ИБ охватывает более широкий спектр процессов, влияющих на прозрачность и устойчивость всего бизнеса.
Cyber Media: По вашему опыту, какие типовые проблемы в управлении, на уровне топ-менеджмента, приводят к низкой эффективности или проблемам с информационной безопасностью компании?
Алексей Петухов: У нас есть хороший постулат: «Проблема не в ИБ, а в отношении к ней». Основные проблемы управления на уровне топ-менеджмента, которые снижают эффективность информационной безопасности в компании, можно разделить на три группы:
Таким образом, для повышения эффективности ИБ компании важно не только внедрять защитные меры, но и активно включать их в культуру и процессы управления.
Cyber Media: Что, в итоге, генеральному директору действительно нужно знать о кибербезопасности для принятия управленческих решений? Должен ли CEO отличать пентест от редтим-проекта, знать разницу между FW и NGFW и т. д.?
Алексей Петухов: Генеральному директору не обязательно глубоко разбираться в технических аспектах кибербезопасности. Основная задача CEO — воспринимать информационную безопасность как важную бизнес-функцию и использовать ее для контроля и оцифровки бизнес-процессов.
CEO должен понимать ценность ИБ для компании и постоянно транслировать ее на всех уровнях управления. Важно, чтобы информационная безопасность была интегрирована в повседневное управление и отображалась на дашбордах руководства наряду с другими ключевыми показателями. Это позволяет топ-менеджменту отслеживать риски и контролировать устойчивость бизнеса.
Для планирования и отслеживания результатов полезным инструментом могут быть «карты баланса» — круговые диаграммы, где отмечаются текущие показатели, цели и приоритеты по основным задачам. В такие карты обязательно должны включаться метрики, отражающие прозрачность и устойчивость бизнеса, что напрямую связано с информационной безопасностью.
Таким образом, CEO должен фокусироваться на стратегическом управлении ИБ, оставляя остальные детали своему заместителю по информационной безопасности.
Роман Карпов — глава комитета по информационной безопасности АРПП «Отечественный софт» и генеральный директор Axiom JDK.
Алексей Лукацкий, Chief Evangelist Officer, Positive Technologies, в интервью для Кибер Медиа рассказал, как работают «белые списки» VPN, почему ТСПУ не справляются с нагрузкой, и возможна ли монополизация доступа.
В интервью для Кибер Медиа Андрей Лёвкин, руководитель продукта BI ZONE Bug Bounty, рассказал, когда багбаунти станет обязательным инструментом для проверки уровня защищенности, как внутренним командам кибербезопасности работать с внешними исследователями и чего ожидать от багбаунти в будущем.
Российская ИТ-инфраструктура столкнулась с новыми вызовами в обеспечении киберустойчивости.
Классический патч-менеджмент в крупных компаниях часто превращается в войну: ИБ заваливает айтишников тысячами CVE из сканера, а ИТ-отдел включает режим глухой обороны.
Портал Кибер Медиа взял интервью у Кирилла Мякишева, директора по информационной безопасности Ozon.
Геймификация в корпоративном обучении давно перестала быть экзотикой — квесты и рейтинги стали привычной частью рабочей среды.
Эдуард Мураховский — директор по информации и ИТ фармацевтической компании СКОПИНФАРМ.
Анастасия Ашаева, кандидат исторических наук и научный сотрудник Музея криптографии, рассказала Кибер Медиа о том, чьи имена история так и не вернула, какие барьеры сложно преодолеть и почему разговор еще не закончен.
Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.
