Архитектура информационной безопасности помогает сопоставить текущее состояние обеспечения безопасности с желаемым и определить, как его достичь оптимальным образом. Отталкиваясь от утвержденной всеми заинтересованными сторонами этой архитектуры, можно тр
Архитектура информационной безопасности особенно важна в нестабильной экономической ситуации, когда денег на все, что «хочется», уже нет, и все проекты должны быть увязаны с выживанием бизнеса в условиях кризиса. Только четко выстроенная архитектура позволяет не сбиться с пути и достичь поставленных целей.
Как мы помогаем удовлетворять потребности бизнеса в информационной безопасности (ИБ) сейчас и как мы это будем делать через год? Для некоторых предприятий и пять лет — очень малый интервал времени, так как они привязывают свои планы к сроку жизни, например, гидротурбины или доменной печи, проектный срок службы которых может составлять пятьдесят лет. Учет достаточно длительных временных периодов — ключевое отличие хорошей архитектуры от плохой.
Можно выделить пять основных причин, по которым обращаются к архитектуре ИБ:
-
Надоело бороться с несогласованностью действий подразделений, участвующих в организации ИБ — ИТ департамента, юридического департамента, внутреннего контроля и т.п.
-
Растет неудовлетворенность пользователей и руководства текущим состоянием ИБ на предприятии.
-
Настало время считать отдачу от ИБ.
-
Возникает непонимание путей развития ИБ в компании. Не определены приоритеты проектов и технологий.
-
Служба ИБ хочет вырваться из пут негативного отношения к себе, зажатости в узких рамках, не дающих продемонстрировать свою ценность бизнесу.
Видно, что, как правило, архитектура ИБ нужна крупным предприятиям — в малом бизнесе описанных проблем нет или они стоят не так остро. Крупным же компаниям архитектура не нужна только в условиях стабильности (которой сейчас нет).
Вот некоторые из следствий отсутствия архитектуры ИБ :
-
Финансирование по остаточному принципу. Если вы не знаете, куда движетесь и как влияете на бизнес компании, то зачем в вас вкладывать деньги?
-
Неудовлетворенность всех слоев пользователей тем, как защищается конфиденциальная информация и другие виды тайн, как обеспечивается защита при доступе в Internet, как обрабатывается электронная почта (читается сотрудниками службы ИБ или вообще не доходит до адресата по причине отнесения ее к спаму).
-
Потенциальные претензии со стороны регуляторов, чьи требования обычно не согласованы и противоречивы. Все либо мечутся, пытаясь удовлетворить всем требованиям, либо закрывают на них глаза до очередной проверки.
-
Неэффективность ИБ на предприятии в силу игнорирования отдельных аспектов деятельности (например, наличия удаленного подключения разработчиков систем АСУТП для поддержки через Internet), что приводит к неприятным инцидентам.
-
Несогласованность или даже прямое противодействие различных подразделений, на каждое из которых возложены (обычно неформально) отдельные обязанности по обеспечению информационной безопасности. Отсутствие четкого разделения зон ответственности, (которое обычно прописывается в архитектуре), которое приводит либо к перетягиванию одеяла на себя, либо к нежеланию брать на себя «чужой» фронт работ.
В пользу архитектуры можно привести еще один пример. Часто из уст производителей тех или иных технических средств можно услышать, что внедрение нового продукта сразу позволит решить все возникшие проблемы. А так как проблемы описываются вполне реальные, то покупатель верит. На практике на новинку тратятся громадные деньги, а эффективность этих инвестиций либо не измеряется, либо является отрицательной. Хотя быть среди первых иногда означает обогнать конкурентов, все же не стоит необдуманно покупать технологические новинки только потому, что их активно рекламирует производитель. Правильная архитектура позволит нам не поддаться на уговоры продавца и заниматься только теми проектами, которые направлены на достижение целей предприятия, а не разработчика.
Архитектура ИБ и другие
Архитектура ИБ не висит в воздухе — она является неотъемлемой частью архитектуры предприятия. Учитывая накопленный опыт в разработке ИТ-архитектуры, можно задать вопрос: почему архитектура ИБ не должна быть составной частью ИТ-архитектуры?
Информация сегодня ценна как никогда, и мы должны обезопасить ее от случайных и умышленных посягательств. Но… несмотря на ИТ поддержку всех аспектов бизнеса, сегодня огромный пласт информации представлен в бумажной форме, и она тоже подлежит защите. Видеоконференции и видеосессии, голосовые приложения и IP-телефония тоже содержат информацию, которая подлежит защите. Но часто ли об этом думают ИТ-подразделения? Традиционно это не их сфера ответственности. Именно поэтому архитектуры ИБ- и ИТ-поддержки бизнеса должны разрабатываться независимо друг от друга, но, разумеется, с перекрестными ссылками. Информационная безопасность на 70% основана на ИТ, а последние в свою очередь не могут не учитывать требования по безопасности.
Не менее важна связь архитектуры и стратегии ИБ со стратегией бизнеса (см. рис. 1). Как правило, видение служб ИБ не только будущего, но и текущей ситуации отличается от точки зрения бизнеса. Служба ИБ озабочена защитой периметра организации, а бизнес переходит на системы коллективной работы, активное использование унифицированных коммуникаций и вообще открывает границы для партнеров, поставщиков и клиентов. Точки продаж и доставки продукта сдвигаются как можно ближе к клиенту, расширяя периметр, делая его нечетким. Важные с точки зрения ИБ задачи совершенно выбиваются из канвы развития бизнеса, потому что действия службы информационной безопасности никак не согласуются с бизнес-стратегией.
Но даже если мы свяжем стратегии ИБ и бизнеса, то важно понимать, что безопасность существует для бизнеса, а не наоборот. Об этом часто забывают, перекрывая на межсетевом экране важные протоколы, блокируя доступ к сайтам, запрещая отдельным сотрудникам работу в Internet. Мотивация простая: «это не разрешено службой информационной безопасности». В результате службу ИБ часто называют «business prevention department», то есть препятствующей бизнесу, а не способствующей ему. Еще никогда изменение бизнес-процессов под существующую или закупаемую систему защиты не приводило к положительным результатам. Работа должна вестись в обратном порядке — система защиты разрабатывается или дорабатывается под принятые в компании правила бизнеса. Да, некоторая трансформация возможна, но не в глобальном масштабе. Ускорять, улучшать, облегчать бизнес-процессы? Да, это правильно. Но не блокировать, затруднять или полностью изменять их.
Правильный путь к архитектуре
Архитектура ИБ отражает ее состояние в определенный момент времени. И хотя сложно себе представить полностью застывшую систему, в которой не происходит никаких изменений, все же архитектура играет большую роль в деятельности любой службы ИБ. Как из текущего состояния перейти в новое, более совершенное и соответствующее целям бизнеса? Для этого существует стратегия, то есть направление движения для достижения поставленных целей (см. рис. 2).
Стратегия — это структурированный и взаимосвязанный набор действий, нацеленных на улучшение в долгосрочном плане благополучия предприятия. Имея перед собой цель в виде архитектуры ИБ, стратегия определяет оптимальный путь движения к ней.
Правда, оптимальность можно понимать по-разному. В одном случае в качестве критерия оптимальности выбирается время. В другом — может выступать цена вопроса и т.п. В «худшем» случае нам необходимо оптимально достичь сразу несколько целей. Однако известный закон Лермана гласит, что «любую задачу можно решить, имея достаточно времени и денег», а следствие Лермана уточняет: «Вам никогда не будет хватать либо времени, либо денег». Нельзя сделать одновременно быстро, дешево и хорошо. Лучше выбрать один критерий, которым и руководствоваться в работе.
У нас часто не разделяют понятия стратегии и архитектуры и разрабатывают ИТ-стратегию, которая включает в себя описание архитектуры. Это не совсем правильно, поскольку архитектура, то есть цели, у вас с течением времени могут и не меняться, а вот стратегия их достижения может претерпевать серьезные изменения в зависимости от внешних или внутренних условий и факторов. Объединяя стратегию и архитектуру в один документ, мы вынуждаем себя при изменении стратегии пересматривать и архитектуру. Хотя в конечном итоге все зависит от конкретной ситуации — если такое объединение помогает решить задачу, то зачем от него отказываться только по той причине, что обычно так не делают?
Что включать в архитектуру ИБ?
Архитектура, по мнению древнегреческого архитектора Витрувия, базируется на трех основных началах — прочность, польза и красота. В XV веке Альберти добавил четвертое начало — целесообразность. За сотни лет эти принципы не претерпели никаких изменений. Архитектура должна содержать взаимосвязанные компоненты, объединенные в единое целое (прочность). Архитектура должна активно использовать принцип «все гениальное — просто» и не использовать сложных и, как следствие, некрасивых решений и подходов. Кроме того, архитектура должна быть не только красивой, но и направленной на достижение поставленных целей, обладающих ценностью для собственников.
Содержание архитектуры ИБ обычно делится на пять логических частей:
-
Информация. В данном разделе мы определяем классификацию информации с точки зрения ИБ, описываем виды ее представления и т.п. Это позволит не забыть, что информация может быть не только в виде файлов или электронных писем, но и в виде разговора по телефону, видеосессии, бумажного документа и даже устной речи (например, на заседании совета директоров).
-
Инфраструктура. Данный раздел помогает нам понять, где циркулирует информация, подлежащая защите. Это не только компьютеры, телекоммуникационное оборудование и системное ПО, но и оргтехника, архивы, канцелярия и другие места создания, обработки, хранения и передачи либо пересылки информации, подлежащей защите.
-
Информационные системы. Этот раздел позволяет понять, в каких прикладных системах обрабатываются, анализируются, консолидируются данные, нужные бизнесу. Это могут быть ERP-, CRM-, SCM-, SCADA-системы, биллинг и многие другие виды прикладного ПО. Если в компании внедрена сервисная методология (например, ITIL), то в этот раздел попадают и услуги, которые различные службы (ИТ, маркетинг и т.п.) предоставляют бизнесу.
-
Информационная безопасность. Здесь определено, как информационная безопасность будет достигать поставленных целей. Никаких технических деталей тут не требуется —
скорее, это описание ключевых направлений деятельности и принципов обеспечения ИБ. В частности,
какова политика в области средств защиты? Разрабатываются они собственными силами или приобретаются в виде готовых решений? Как будут решаться задачи — своими силами или потребуется обращение к аутсорсингу? Будет ли использоваться соглашение об уровне обслуживания? И так далее. -
ИБ-служба. Данный раздел описывает цели департамента информационной безопасности, его задачи, структуру, методы управления персоналом и другие аналогичные вопросы.
При разработке архитектуры должен быть проведен анализ текущего состояния ИБ на предприятии. Ответ на вопрос «как есть» поможет проложить мостик к ответу на вопрос «как должно быть» (см. рис. 3), поэтому каждый из описанных выше логических разделов архитектуры будет содержать два подраздела — «как есть» и «как будет».
Повторять в данной архитектуре бизнес-цели стоит, только если в компании отсутствует документированная бизнес-стратегия. В этом случае ключевые моменты стоит отразить в архитектуре ИБ, чтобы понимать те исходные данные, от которых мы отталкиваемся.
Являясь документом, отражающим долгосрочные цели, архитектура ИБ должна учитывать не только сиюминутные и внутренние, но и долговременные внешние воздействия бизнес-среды. К ним относятся:
• Направления развития технологий (ИТ, ИБ и других). Например, если сегодня ПО активно приобретается и ставится на баланс предприятия, то через несколько лет не исключено, что даже ключевые процессы будут реализованы за счет модели «ПО как услуга» (Software-as-a-Service, SaaS).
Аналогичная ситуация и с безопасностью.
Сегодня многие устанавливают антивирусы как самостоятельные продукты, а через два — три года этот класс защитных средств может совсем уйти с рынка, будучи замененным встроенными в операционные системы или даже материнские платы антивирусами или UTM-решениями для ПК, которые, помимо антивирусной составляющей, будут включать в себя контроль утечек информации, отражение атак, контроль приложений, шифрование информации на диске и т.п.
• Отраслевая специфика, экономическая и политическая ситуация в России и мире. Эти факторы не очень легко учитывать, поскольку они не всегда предсказуемы, но отдельные внешние процессы поддаются прогнозу. Например, процесс консолидации в отдельных сегментах рынка подскажет нам, что, возможно, наше предприятие скоро обзаведется новыми активами, которые должны быть учтены в архитектуре ИБ.
• Планы регуляторов по выпуску новых нормативных актов. Появление нового нормативного акта (как это было с Федеральным законом «О персональных данных») может очень сильно изменить планы любой компании в области безопасности. Узнать о планах регуляторов не так сложно — о них постоянно говорят представители Госдумы, представители ФСТЭК, ФСБ и др.
Стратегия предполагает достижение заданных результатов деятельности. Как снизить риск неудачи и узнать, что мы достигли этих результатов или движемся в правильном направлении? Для этого существует стратегическая система измерений, которая отражает текущее состояние и тенденции развития. Примером ее является Security Balanced Scorecard, но возможно применение иных систем измерения информационной безопасности.
C чего начать?
Архитектура ИБ, как и многие другие архитектуры, должна разрабатываться сверху вниз, отталкиваясь от архитектуры и стратегии предприятия, в которых зафиксировано, что и как должно быть сделано в контексте всей компании. Архитектура и стратегия ИБ, в свою очередь, посвящены тому, как эти цели реализуются с точки зрения информационной безопасности.
Учет стратегии бизнеса позволяет нам понять в целом, на чем необходимо сконцентрироваться в архитектуре ИБ. Если, например, перед компанией стоит задача географической экспансии и серьезного роста, то и внедряемые решения в области информационной безопасности должны способствовать этой цели. В частности, большое внимание нужно уделить VPN-решениям, защищенному удаленному доступу и т.п. На этапе стабилизации бизнеса акцент смещается в сторону повышения качества обслуживания, роста лояльности клиентов, и информационная безопасность должна быть направлена именно на это. А вот в условиях нестабильной экономической ситуации и бизнес-решения коренным образом изменяются, и система безопасности уже решает совершенно иные задачи: защита от утечек и кражи информации со стороны увольняемых сотрудников, безопасность аутсорсинга и т.п.
Хотя теоретически грамотная разработка архитектуры и стратегии должна осуществляться сверху вниз (сначала определяем цели, затем способы их достижения и только затем начинаем приобретать различное ПО и аппаратуру, внедрять проекты и т.д.), на практике же все обычно происходит наоборот: сначала осуществляется закупка «нужных» средств защиты, которые у всех на слуху, потом начинается их эксплуатация, набиваются шишки при внедрении и поддержке, ведется поиск путей оптимизации имеющихся ресурсов и оценки эффективности используемых технологий и защитных мер и только после этого кто-то начинает (таких единицы) или начнет в будущем (таких большинство) задумываться о стратегии и архитектуре ИБ.
Вторым по распространенности после отсутствия архитектуры и стратегии является подход, заключающийся в выработке видения или плана применения технических решений или (в идеальном случае) организационных мероприятий:аудита безопасности, повышения осведомленности и т.п. И хотя это лучше, чем ничего, до разработки реальной архитектуры такой подход не дотягивает по двум причинам: отсутствуют целеполагание и привязка к бизнесу, и кроме того, отсутствуют метрики эффективности достижения заявленных целей.
Без этих двух пунктов вы никогда не сможете ответить на вопросы: куда мы стремимся, где сейчас находимся и далеко ли нам еще до цели?. Именно поэтому важно понимать, какая стратегия на уровне всего предприятия принята в компании. К счастью, таких стратегий (в чистом виде) не так уж и много и все они описаны в литературе по управлению бизнесом.
Один из вариантов разработки архитектуры и стратегии ИБ — начать с защиты критически важных бизнес-процессов, которые влияют на бизнес предприятия. Мы должны отталкиваться от критических факторов успеха. Если они известны (а еще лучше — задокументированы), то можно считать, что половина дела сделана — мы знаем, на чем концентрируется предприятие и его основные подразделения, и можем начать разработку архитектуры ИБ с проработки инструментов защиты ключевых бизнес-процессов. Основная сложность в данном подходе состоит в том, что не каждое предприятие в России в состоянии выделить не то что ключевые, а вообще какие-либо бизнес-процессы.
Если ключевые факторы успеха предприятия не выделены, то нам остается только одно — сделать это самостоятельно, привлекая все заинтересованные стороны. Лучше всего в данной ситуации создать комитет по ИБ, в который войдут представители ключевых подразделений компании. Именно они могут помочь прийти к консолидированному решению о целях и задачах бизнеса и на его основе строить информационную безопасность.
Алексей Лукацкий — бизнес-консультант по безопасности компании Cisco; alukatsk@cisco.com
Рис. 1. Связь ИБ с бизнес-стратегией
Рис. 3. Этапы развития стратегии ИБ