«Меняйте ваши мнения, сохраняйте ваши принципы; меняйте листья, сохраняйте корни»

«Меняйте ваши мнения, сохраняйте ваши принципы; меняйте листья, сохраняйте корни»

Короткое эссе о кусочке ветчины в самом большом свинстве.

Я ничьих мнений не разделяю; я имею свои.

И. С. Тургенев, «Отцы и дети»

Коронавирус, удалёнка при общении в мессенджерах научили краткости и концентрации мысли. Поэтому начну сразу, без предисловий, взяв, так сказать, быка за рога. А статья-то – актуальная. И тема про «новую реальность» - важна. Мне особенно импонирует тезис в самом конце о необходимости поиска кусочка ветчины даже в самом большом свинстве. Но об этом чуть позже. А сейчас вот о чём.

Как всегда, есть некое «но», которое позволяет взглянуть на проблему с другой стороны. О чём это я? А о выводе автора о том, что «не надо защищать информацию саму по себе, надо защищать бизнес», и далее: «Надо защищать доступность, непрерывность сервисов, поддерживать приемлемое качество услуг». Вроде бы всё правильно, но, на мой взгляд, акценты расставлены не совсем точно. Здесь проходит очень тонкая грань между темой обеспечения безопасности информации и обеспечения непрерывности бизнеса. Это два важных, соприкасающихся процесса, но это не одно и то же.

Да, важность защиты бизнеса как главная цель не обсуждается. И то, что информационная безопасность – только обеспечивающий вид, – тоже. Но для защиты бизнеса работают множество обеспечивающих структур: и физическая охрана, и структуры жизнеобеспечения, и общепит, и ещё много чего. Что из них важнее? Да все нужны! Как говорил великий классик: «Мамы всякие нужны, мамы всякие важны!» И если хотя бы одно звено не сработает – бизнеса не будет. Да, охрана защищает топ-менеджеров, а спецы от ИБ – ту информацию, которая важна для бизнеса.

Но информационная безопасность – это далеко не непрерывность бизнеса. И методы у них разные, и компетенции должны быть разные. Нельзя вешать все проблемы только на спецов от ИБ. «Беда, коль пироги начнёт печи сапожник, А сапоги тачать пирожник, И дело не пойдёт на лад [1]…» (сколько же мудрости в русском эпосе!). Непрерывность бизнеса – это ближе к компетенции ИТ-специалистов, не ИБ-шников. А у этих специалистов, как известно, патологическая неприязнь друг к другу. Для ИБ-шника лучшая информационная система та, которая отключена от электропитания и заперта в подвале на ключ. А для айтишника – когда все имеют доступ ко всему. Найти баланс между этими крайними точками сложно, но нужно. Хотя нельзя отрицать, что некоторые аспекты, например доступность информации, затрагивает и ту, и другую область. Но это говорит лишь о том, что должны быть слаженные, скоординированные действия двух служб, а не возложение обязанностей на какую-то одну. Поэтому здесь две проблемы: доступность сервисов и услуг – это к ИТ-специалистам, а доступность информации (ресурса) – к ИБ-специалистам. Только разделив роли, мы сможем добиться максимального эффекта. И это особенно актуально именно в период пандемии. Должно быть налажено очень чёткое взаимодействие. И вот тут мы переходим к тезису о кусочке ветчины.

Категорически не могу не согласиться с автором в том, что необходимо документировать процессы, необходимые для обеспечения деятельности бизнеса (именно бизнеса, а не информационной безопасности!). Да. Это помогает не только ИБ- и ИТ-спецам, но, главное, самому бизнесу, позволяет правильно структурировать деятельность. И это не потому, что я апологет «бумажной» безопасности (хотя это совсем и не безопасность, а область организации бизнеса!), а так требует жизнь. Если процесс правильно описан, отрепетирован и каждый участник процесса знает свой шесток, можно быть уверенным, что даже в самой критической ситуации, к которой можно отнести и переход на удалёнку в период коронавируса, интересы бизнеса не пострадают.

Истина всегда одна, а правда у каждого своя. Истину знает только Отче наш Иисус Христос, а мы все смертные. Можем только высказывать свою правду (или мнение?). А насколько эта правда близка к истине – решать вам, читатель, в силу своего разумения…

P.S. А вы не обратили внимание на то, что стандарты по информационной безопасности и стандарты по непрерывности бизнеса находятся в разных классификационных группах?

[1] И. А. Крылов, «Щука и кот»