🔊 Проект ГОСТ в рамках защиты информации в системах управления, связанных с обеспечением функциональной безопасности

На сайте ФСТЭК России можно ознакомиться с проектом национального стандарта ГОСТ Р/IEC TS 63074:2023 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности».

Еще несколько лет назад считалось, что в большинстве случаев CISO подчиняется CIO, а ИБ рассматривается как функция ИТ. Но вот свежее исследование показывает, что все немного не так 🤷

CISO подчиняется ИТ уже не в 3/4 случаев, а всего в одной четверти. В каждом пятом случае подчинение идет сразу под генерального директора 🧐 Еще в 16% главный ИБшник рапортует техническому директору. Но в почти 40% случаев CISO находится по финансовым директоров, главным юристом и даже CPO, а также иными топ-менеджерами 😕

Какие данные CISO включают в свои отчеты 📈 для руководства компании? Я про это делал целую серию заметок в блоге (первая, вторая, третья, четвертая, пятая, шестая). А тут вот новые данные подогнали. В отчеты включают следующие данные (по убыванию популярности):
1️⃣ Результаты оценки рисков (ох уж эта приверженность CISO рискам...)
2️⃣ Анализ ландшафта угроз
3️⃣ Статус соответствия требованиям законодательства
4️⃣ Результаты реагирования на инциденты
5️⃣ Результаты оценки уязвимостей и пентестов
6️⃣ Политики ИБ и средства защиты
7️⃣ Возврат инвестиций
8️⃣ Анализ воздействия на бизнес (BIA).

Как по мне, так последние два пункта, ненабравшие даже 20% каждый, являются основными при общении с топ-менеджерами. А все остальное - это сопутствующие данные, которые только помогают отвечать на второстепенные вопросы. А тут они в основе отчетности CISO для топ-менеджеров 📊 Отсюда и результат - CISO не находится на одном уровне иерархии с другими людьми уровня CxO, а подчиняется кому-то из них 😭