Иван Бурдело, технический директор компании «КАБЕСТ» группы «Астерос» |
Существуют три основные организационные модели построения службы информационной безопасности (ИБ) в компаниях. Первая модель предполагает, что структурное подразделение, отвечающее за вопросы информационной безопасности, входит в состав ИТ-подразделения и подчинено директору по ИТ (или одному из топ-менеджеров, курирующих направление ИТ). В рамках второй модели служба ИБ — это самостоятельное подразделение, которое находится в вертикали общей службы безопасности. Во главе вертикальной структуры безопасности может стоять директор по безопасности, одновременно курирующий вопросы информационной, физической, экономической безопасности и т. п. И наконец, согласно третьей модели, служба информационной безопасности может напрямую подчиняться первому лицу компании.
Что хорошо и что плохо
Рассмотрим достоинства и недостатки каждой организационной модели построения службы ИБ.
В подавляющем числе российских компаний главенствуют первые две типовые модели. Но чаще встречается модель, в рамках которой две параллельные службы — ИТ и ИБ — занимаются вопросами информационной безопасности. Существование двух самостоятельных единиц с общей зоной ответственности, но разными взглядами на способы обеспечения информационной безопасности, с подчинением двум разным руководителям порождает перманентный конфликт интересов.
Не лишена недостатков и модель, которая предполагает существование службы информационной безопасности в составе ИТ-службы. Основная задача ИТ-подразделения — обеспечить потребности бизнеса с точки зрения ИТ-составляющей. У специалиста по безопасности на первом месте стоят вопросы сохранности информации и ее регламентированного использования. Если, например, он считает, что сервер нельзя ставить в данном помещении, а с точки зрения ИТ-специалиста, обеспечивающего поддержку непрерывности бизнес-процессов, сервер надо сегодня в данном помещении поставить, то приоритет ИТ-целей будет выше. В такой ситуации специалисты по безопасности будут вынуждены пойти на нарушение своих прямых обязанностей. И подобные случаи будут повторяться. Поэтому вопросами защиты критичной информации должен управлять не руководитель ИТ-департамента, а специалисты по безопасности. А служба ИБ должна быть самостоятельным подразделением.
Сегодня многие компании, особенно крупные, выводят ИТ-персонал в отдельную структуру — самостоятельное юридическое лицо, передавая ИТ-функции на аутсорсинг. Чтобы не пускать на самотек обеспечение информационной безопасности, создаются специальные подразделения, которые призваны заниматься вопросами ИБ и контролем деятельности аутсорсеров. В результате все «боевые ресурсы» находятся в руках компании-аутсорсера, но «ядерный чемоданчик с красной кнопкой» вручается вновь созданной службе ИБ.
Если информация настолько критична, что ее потеря может привести к необратимым последствиям для организации, то начальник службы ИБ должен подчиняться первому лицу. Только в этом случае цепочка принятия решения в критической ситуации сокращается до минимума. Например, когда идет DDoS-атака на банк, два рубежа защиты уже упали и остался последний, кто-то должен принять решение о выключении рубильника, подающего электричество. Отключение может временно парализовать работу банка, и только первое лицо компании вправе принять решение о том, что важнее — потеря денег на счетах или временные убытки от простоя информационных систем.
«Идеальная» служба ИБ
Информационная безопасность реализуется на двух уровнях: организационном (формирование концепции ИБ, анализ рисков и адекватности принятых мер защиты информации) и технологическом (внедрение и эксплуатация средств ИБ). В идеале в рамках службы ИБ должны существовать два структурных отдела, отвечающих за каждый из уровней. Один — аналитический — будет заниматься управлением ИБ, второй — технологический — отвечать за обеспечение ИБ (развертывание средств ИБ, профилактическая работа с пользователями, внутренний аудит ИБ, взаимодействие с регуляторами в сфере ИБ, управление отношениями с компаниями — поставщиками решений и услуг в сфере ИБ).
Руководитель службы ИБ в сотрудничестве с ведущими специалистами службы ИБ, ИТ-специалистами и представителями бизнеса, в свою очередь, должен отвечать за организацию работы, контроль и нормативные аспекты деятельности всей системы информационной безопасности компании: разработку и утверждение концепции ИБ, стратегию ИБ, регламентов и политик, создание организационно-распорядительных документов, инструкций и т. п.
В задачи аналитического отдела входит расследование инцидентов, реализация и отслеживание процедур ИБ: формулировка требований по защите информации, оценка угроз, разработка мероприятий по обеспечению ИБ. Таких специалистов организации требуется немного. Можно обойтись двумя: один будет заниматься проблемой утечки информации по техническим каналам и защитой от технических разведок (техническая защита информации), второй — вопросами организации защиты информации от несанкционированного доступа. Это два «глобальных» направления деятельности ИБ, каждое из которых потом делится на множество мелких с привязкой к конкретным технологиям: спам, антивирус, межсетевой экран и пр.
В отличие от аналитики, технической эксплуатацией средств защиты должен заниматься больший коллектив специалистов. Данное направление можно разделить на два. Первое — утечка информации по техническим каналам, предотвращением которой должны заниматься 1–2 сотрудника. В этот сектор хорошо привлекать специалистов, имеющих квалификацию по защите от иностранных технических разведок. Таких специалистов готовит, например, МГТУ им. Н. Э. Баумана и Московский физико-технический институт. Их в России пока немного, но их присутствие в штате компании будет крайне полезным. Второе направление — эксплуатация средств защиты от несанкционированного доступа. Подразделение должно включать одного-двух сотрудников, которые занимаются эксплуатацией хостовых средств защиты (обеспечением локальной защиты на рабочих станциях пользователей и серверах), и еще несколько человек для защиты информации в каналах передачи данных. В свою очередь, это направление защиты информации подразделяется на две ветви: сетевая (firewall, системы обнаружения вторжений, системы контроля защищенности и пр.) и криптографическая защита информации.
Советы не идеальным
«Идеальная» служба ИБ существует в очень ограниченном числе компаний. В реальной жизни сплошь и рядом встречаются отклонения от идеальной модели.
В случае, если в компании две параллельные службы — ИТ и ИБ — занимаются вопросами обеспечения информационной безопасности, они должны замыкаться на руководителя высшего звена. Такая схема позволит исключить или минимизировать противоборство двух структур и заставить модель работать. Руководитель будет конечной инстанцией в урегулировании и балансировке интересов, «третейским судьей», который призван взаимоувязывать стратегию развития двух направлений в соответствии с потребностями бизнеса.
Опыт показывает, что сегодня ИБ-службы по количеству персонала серьезно проигрывают ИТ-подразделениям и в условиях острого дефицита людей ограничиваются решением макрозадач и контрольно-ревизионными функциями, что приводит к плачевным последствиям. Сотрудники, ответственные за ИБ, оказываются в роли «пасынков», поскольку зачастую их деятельность непонятна ни рядовым сотрудникам, ни руководству: они зачем-то заставляют менять пароли, контролируют почту и блокируют доступ в социальные сети. У 95% сотрудников компании их деятельность вызывает, мягко говоря, отторжение. Поэтому одним из основных направлений деятельности «безопасников» должна быть «просветительская работа». Но при этом служба ИБ должна быть наделена реальными полномочиями в отношении тех, кто вольно или невольно пытается нарушить установленные правила безопасности. В противном случае на агитацию никто не будет обращать внимания. Если службе безопасности не хватает ресурсов, то часть функций можно передать в ИТ-службу. Наиболее критичные системы и продукты, особенно контролирующие ИТ-сотрудников, лучше не передавать. Например, если оставить поддержку DLP-системы защиты от утечек конфиденциальной информации, контролирующей всю исходящую информацию, в ведении ИТ-службы, ее сотрудники будут вынуждены осуществлять самоконтроль. Такой подход чреват рисками: никто и никогда не даст гарантии, что системные администраторы абсолютно лояльны, и никакие режимные мероприятия этого риска не устранят. Поэтому логично передать DLP-систему на сопровождение и поддержку ИБ-подразделению. А такие решения, как межсетевой экран, антивирус, системы обнаружения вторжений, можно отдать в эксплуатацию ИТ-структурам, оставив за собой контрольно-ревизионные функции.
Сотрудники ИБ-службы несут прямую ответственность за все возникшие инциденты и, самое главное, за их последствия. Поэтому у них должны быть все рычаги и максимальные полномочия для выполнения своих функций. Нужно выработать систему реагирования на инциденты, в рамках которой специалисты службы ИБ работают в связке с руководством. В большинстве случаев у руководства компаний возникает вопрос, настолько ли велик уровень угроз, чтобы тратить время на осознание проблемы, а потом и средства на построение комплексной системы защиты. Для того чтобы дать аргументированный ответ, необходимо провести ряд мероприятий. Во-первых, оценить информационные активы: насколько они значимы для деятельности компании. Во-вторых, выявить угрозы, которые могут быть направлены на эти активы. В-третьих, на основе анализа рисков понять, какие угрозы являются актуальными, и выработать план мероприятий по минимизации рисков. В-четвертых, учесть обязательные требования, продиктованные законодательными актами и государственными регуляторами (ФСТЭК и ФСБ России). Аккумулируя результаты аудита, можно сформировать набор требований к системе информационной безопасности и составить план мероприятий по ее приведению к целевым показателям в виде набора организационных и технических мер.
Для объективной оценки ситуации желательно привлекать внешних аудиторов хотя бы раз в год. Причем «внешний» — это не обязательно контрагент, это может быть и собственная служба внутреннего контроля. Методы минимизации последствий рассматриваются отдельно в отношении каждого риска. Риск либо принимается (если он не существенен для компании), либо страхуется с помощью сторонних специалистов (если невозможно компенсировать последствия собственными силами), либо минимизируется применением специализированных средств защиты и организационных мер.
Выбирая решение в области ИБ, не следует руководствоваться только соображениями экономической целесообразности. Если произойдет утечка информации, относящейся к сфере национальной безопасности, руководитель может потерять не только работу, но и свободу. Конечно, если ситуация в сфере информационной безопасности запущена, приведение системы ИБ к целевым показателям потребует немалых вложений. Для оптимизации финансовой нагрузки стоит начать с наиболее критичных областей. Например, если речь идет о крупной организации, которая обрабатывает конфиденциальную информацию, нужно определить наиболее критичные данные, составить план защитных мер с учетом наиболее критичных областей и имеющихся бюджетов, постараться скорректировать бизнес-процессы, локализовать обработку такой информации и защищать этот сегмент.
Служба ИБ обязательно должна поставить руководство в известность о существующих проблемах. Если опасения донесены до руководства и подкреплены объективными доказательствами, предложен конкретный план действий с конкретной стратегией развития, конкретными шагами и конкретными суммами бюджетного финансирования, то 95% руководителей как минимум задумываются, а большинство быстро предпринимают действия к тому, чтобы устранить проблемы.
В идеале для создания концепции информационной безопасности требуется взгляд со стороны. И дело здесь не только в предвзятости собственных ИТ-специалистов. На рынке относительно просто найти администраторов, которые занимаются эксплуатацией отдельных систем, но очень сложно — специалистов, способных решать задачу информационной безопасности комплексно, обладающих системным подходом к ее решению. На фоне «кадрового голода», когда найти специалиста требуемой квалификации крайне сложно, компания либо вынуждена жить без четких стратегических и тактических планов по ИБ, либо, если нужных специалистов все же удается найти и включить в штат, тратить немалые средства на оплату труда непрофильных сотрудников. Оба этих подхода не назовешь оптимальными. Поэтому есть прямой смысл прибегнуть к помощи сторонней специализированной организации для оценки технологических процессов обработки информации с точки зрения ИТ-безопасности.
Как утолить кадровый голод?
С сожалением приходится констатировать, что аналитическое звено служб безопасности не может быть укомплектовано выпускниками вузов — их знаний недостаточно. Например, специалисты по криптографической защите отлично знают алгоритмы шифрования, но с такими знаниями могут найти себе применение только в трех — пяти компаниях в России, которые занимаются разработкой средств криптографической защиты. А организациям, которые занимаются эксплуатацией средств защиты, эти специалисты не нужны, их не учили правилам общей эксплуатации этих средств.
В условиях, когда выпускников вузов надо доучивать, а на рынке ощущается острый дефицит специалистов, возникает необходимость в быстрой доводке квалификационного уровня специалистов. Как правило, первые кандидаты на обучение — работники, которые занимаются администрированием сетей. У них уже есть некоторый опыт, они имеют представление о системе защиты, но им не хватает системного взгляда, знаний требований нормативной базы, целостного видения построения системы защиты. Таким сотрудникам желательно пройти обучение на общеобразовательных курсах по информационной безопасности, которые проводят ряд российских ИТ- и ИБ-компаний.
Кроме того, не надо сбрасывать со счетов и возможность аутсорсинга. На российском ИТ-рынке уже сформировалось сообщество компаний, оказывающих помощь и в вопросах управления информационной безопасностью, и в вопросах реализации системы защиты — на всех этапах, начиная от аудита и заканчивая сопровождением созданных систем.