Может ли информационная безопасность увеличивать доходы, повышать лояльность клиентов и решать другие бизнес-задачи?

Обычно информационная безопасность “продается” (производителями заказчикам, а службами ИБ/ИТ своему руководству) под видом борьбы со страхом (утечки, вируса, DDoS и т.п.) или выполнения нормативных требований (ФЗ-152, 382-П Банка России, 17-й приказ ФСТЭК, 378-й приказ ФСБ). Это традиционный взгляд на безопасность и на средства ее реализующие. Если посмотреть описания многих продуктов, то мы увидим, что именно так они и позиционируются. Оно и понятно — это универсальные драйвера, которые не зависят от компании, которой предлагается купить межсетевой экран, средство контроля доступа в Интернет, антивирус, систему предотвращения вторжений или что еще. И это правда. Межсетевой экран Cisco ASA with FirePOWER Services будет одинаково бороться с несанкционированным доступом, что в России, что в Австралии, что в Великобритании. А система мониторинга аномальной активности внутри сети Cisco Cyber Threat Defense так же эффективно будет обнаруживать обошедший периметровые средства защиты вредоносный код и в США, и в Украине, и в Норвегии.



Ситуация с compliance требует чуть больше сфокусированности. Очевидно, что 17-й приказ ФСТЭК по защите государственных информационных систем — это чисто российское изобретение, но зато применимое ко всем государственным и муниципальным учреждениям нашей необъятной Родины. А законодательство по защите информации в автоматизированных системах управления технологическими процессами хоть и есть во многих странах мира, но все-таки оно отличается друг друга. Требования 31-го приказа ФСТЭК и стандарта NERC CIP, стандарта ISA/IEC 62443 и катарского стандарта по безопасности критических инфраструктур пусть и схожи по сути, но разные в части, например, оценки соответствия, а значит предлагаемые для их реализации решения уже должны иметь свою специфику.



Но тут мы приходим к тому, что в текущей непростой экономической ситуации Читать дальше →

Источник: Хабрахабр