Построение системы информационной безопасности в компании с нуля.
Информационная безопасность, равно как и экономическая, собственная, всегда начинается с руководителя компании (владельца бизнеса), так как, если он относится к возможным проблемам безразлично, то и защищаться от них тоже не будет.
Мне, как человеку, зарабатывающему на той самой информационной безопасности, отрадно видеть, что людей, которых потенциальные проблемы не волнуют, на самом деле, не так уж и много.
Ведь любой бизнесмен прекрасно знает, что весь бизнес в России – это стабильная и постоянная угроза. Как только фирма начинает что-то делать – жди неприятностей.
Желательно, конечно бы, заранее соломки подстелить, однако нужно знать место: — куда конкретно ее стелить.
Скорее всего, таких мест окажется не одно и не два…
Причем, угрозы информационной безопасности (далее — ИБ) компании, обычно стоят не на первом месте.
Тем не менее, если организация дошла до понимания, что им нужно что-то делать в плане ИБ, то вместе с обсуждением «что и как» делать, несомненно будет вестись обсуждение «кто» будет делать и «сколько это будет стоить».
Попробуем рассмотреть эти вопросы.
Для начала определим, что такое информационная безопасность организации?
Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.
Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.
Защита информации — представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Информационная безопасность — это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Информационная безопасность — защита конфиденциальности, целостности и доступности информации.
Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.
Безопасность информации — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.
Защита информации — представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Определений можно привести еще много, однако особой ясности они, на мой взгляд, не вносят.
Вообще, терминологическая проблема в области информационной безопасности стоит очень остро.
Терминов используется достаточно много: информационная безопасность, безопасность информации, безопасность информационной технологии, и, наконец, защита информации.
Вроде бы все об одном и том же, однако, специалисты могут обсуждать разницу между этими понятиями часами, потому что во всей стране вряд ли наберется больше десятка человек, которые сходу и доступно смогут эту разницу пояснить.
Чтобы не вступать в подобные «религиозные» споры, я давно озадачился поиском простого и понятного объяснения. Тем более что с владельцами или руководителями организаций общение все равно происходит на понятийном уровне, без использования специальных терминов.
В процессе одной из таких бесед и было сформировано правило трех «Ч», иносказательно объясняющее суть и задачи информационной безопасности:
1. Чтобы ничего не украли;
2. Чтобы не было проблем с регуляторами;
3. Чтобы было недорого.
Конечно, это сознательное упрощение.
От подобного определения до подразделения информационной безопасности – огромный путь.
С чего же начинать создание системы информационной безопасности, если раньше в компании такой функции никогда не было, либо была, но пала в неравном бою с бюджетом, ИТ и другими подразделениями?
Вариантов, на самом деле, не так много: пытаться придумать самостоятельно, чем должна заниматься ИБ, либо нанять человека, который уже решал подобную задачу, либо обратиться к профильному консультанту.
Каждый сам выбирает путь, по которому идет, но, в подавляющем большинстве случаев, для начала выбирают вариант два – нанять человека.
Таким нехитрым образом люди пытаются переложить на него ответственность и надеются избавиться от лишней головной боли.
Мы же ему зарплату платим, вот пусть и придумывает: что да как.
К сожалению, действительно хороших специалистов, которые могут «потянуть» полноценные проекты по информационной безопасности очень немного, поэтому стоят они дорого и позволить себе их могут далеко не все.
Хотя, по сравнению с «хорошими» ИТ-специалистами, ИБшники обычно дешевле.
Тем не менее, пока руководство не имеет базы для сравнения: дорого или дешево стоит специалист, не понимает, какие задачи он должен решать и т.д., оно может лишь косвенно (по совету друзей, знакомых) оценить эти параметры, можно с уверенностью утверждать, что дорогого специалиста сразу нанимать никто не будет.
А раз специалист недорогой и не очень квалифицированный, значит, самостоятельно он не справится, поэтому кто-то внутри организации должен взять его под свое крыло. Вот и начинают выбирать место для этого специалиста, рассматривать различные варианты организационной структуры и подчинения.
Исторически информационную безопасность обычно подчиняют экономической (собственной, корпоративной).
При таком подходе, сотрудника чаще всего формально проверят на «непричастность» и возьмут на работу. При этом основным пользователем сервисов предоставляемых специалистом ИБ будет лицо, которое его нанимает на работу.
То есть чаще всего – начальник Службы безопасности.
Соответственно, в первую очередь, ИБ-шник будет решать именно его задачи, а они подчас могут сильно отличаться от реальных потребностей организации.
Ведь большинство начальников Служб безопасности вчера носили погоны, и, мягко скажем, далеки от понимания сути ИБ.
Кроме того, в нашей стране, в реальную силу и возможности ИБ никто не верит, так … «защита от пионеров».
Поэтому, так часто слышишь от «коллег по цеху» жалобы, что до руководителя достучаться невозможно, бюджета нет и т.д.
А откуда ему взяться бюджету-то? — если наняли тебя на конкретную должность, в конкретную клеточку оргструктуры, за пределы которой выйти практически невозможно.
Помимо расположения ИБ в службе безопасности, существуют еще варианты: в ИТ, во внутреннем контроле (аудите), рисках, и наконец, предел мечтаний среднестатистического информационного безопасника – обособленное подразделение, напрямую подчиняющееся одному из первых лиц компании.
Хотя большинству ИБшников прямое подчинение абсолютно не помогает, и даже наоборот, зачастую вредно.
Нет такого форума или профессиональной конференции, посвященной вопросам информационной безопасности, где в последнее время не обсуждалась бы тема связи ИБ с (произносите с придыханием) «Бизнесом».
В этом ИБшники ориентируются на своих коллег из ИТ, перенимая у них соответствующие выражения, и стараясь доказать полезность ИБ для «Бизнеса».
При этом, на мифический «Бизнес» валят все, говоря, что он (Бизнес) должен осознать проблемы ИБ, а если не осознал, то ничего путного не получится.
Поставить себя на место руководителя того самого «Бизнеса» и понять что ему реально нужно особо никто не пытается. У руководителя забот много – финансы, бухгалтерия, персонал и т.д.
Информационная безопасность в этом списке далеко не на первом месте.
Поэтому, конечно, руководителю тяжело понять: почему он должен выделить значительную сумму денег непонятно на что.
Тем более что компания на этом ничего не заработает. В этом вопросе очень большую роль играет харизма ИБшника.
Насколько доступно он сможет объяснить необходимость и преимущества внедрения того или иного средства безопасности.
Поэтому не должно быть существенной разницы между тем, где находится информационная безопасность в оргструктуре, так как это вообще по своей сути не должность, а роль (функция)!
Эта роль может быть выделенной, может быть совмещенной, а может быть распределена между различными сотрудниками или подразделениями.
Главное, чтобы все работало!
Если обратиться к западному опыту, то основным практическим руководством по созданию ИБ является, несомненно, серия стандартов ISO 27000. Фактически, это пошаговое руководство, как и что делать.
К сожалению, в нашей стране западные стандарты в большинстве случаев не работают (исключение, в основном, составляют дочерние организации западных компаний).
Немалая заслуга в этом принадлежит доморощенным российским консультантам, которые заявляют клиенту, что стандарт в России неприменим, просто так работать не будет, так как у нас все особенное, поэтому консультанты добавляют к стандарту свой собственный опыт, зачастую перевирая или искажая смысл положений стандарта.
Конечно, любому здравомыслящему человеку понятно, что стандарт на то он и стандарт, чтобы не выдумывать велосипед, поэтому дорабатывать его не требуется, нужно просто уметь правильно применять. К тому же, в организациях, занимающихся стандартизацией, люди работают далеко не глупые, за двадцать – тридцать лет применения стандартов, формулировки отработали.
Есть даже термин «профессиональные услуги», то есть услуги, базирующиеся на профессиональных стандартах.
К сожалению, в России рынка профессиональных услуг пока нет.
Не доросли.
На западе очень активно используют опыт профессиональных сообществ для оттачивания положений стандартов.
Что мешает делать то же самое в России? – непонятно.
Хотя, за последнее время появляются положительные сдвиги в правильном направлении, например, Центральный банк, с его комплексом стандартов по информационной безопасности, который широко обсуждался специалистами.
Так что, если в качестве основы для создания ИБ в компании правильно применить стандарты серии ISO 27000, результат будет куда более сносным, чем, если специалисты начнут заниматься “отсебятиной”.
Тем не менее, следует отдавать себе отчет, что стандарт не панацея, а лишь средство, причем хорошее лишь для решения стандартных задач.
В дальнейшем, по достижении определенного уровня зрелости организации, роль ИБ потребует корректировки.
Чем же, в основном, занимается ИБ в российских компаниях?
Прежде всего, большинство руководителей или владельцев компаний до сих пор воспринимает ИБ как нечто техническое.
Поэтому и занимается ИБ прежде всего:
— установкой антивируса,
— обновлениями программного обеспечения,
— настройкой межсетевых экранов,
— антиспамом и т.д.
С одной стороны, эта стадия – самая созидательная, так как ИБшники устанавливают и настраивают действительно нужные и полезные вещи.
С другой, настройка не всегда удается с первого раза, да и народ у нас ограничений очень не любит.
Когда выход на одноклассники закрыт, USB порты заблокированы, ICQ удалено, ИБ тем самым настраивает против себя почти всех пользователей компании. Ведь уровень безопасности особо не вырос, а вот работать стало реально неудобно.
Особенно если учесть, что после установки и настройки средств безопасности обычно переходят к репрессиям.
Находят злейшего врага внутри компании, осмелившегося (о, ужас!) попытаться синхронизировать контакты своего сотового телефона с почтовой программой и устраивают показательный «разбор полетов».
В то же время в расчетном центре к программе клиент-банк и подписи Генерального директора доступ имеет вся бухгалтерия, так как токен с ключом лежит на столе главбуха.
Таких историй можно рассказать много, банальные вещи, но так обстоят дела в подавляющем большинстве российских организаций.
До стадии два – безопасности бизнес приложений обычно доходит только после ряда хищений, когда не обращать внимания уже просто нельзя.
Лоскутная техническая безопасность не способна создать базу для полноценной защиты бизнес приложений, так как большинство проблем лежит отнюдь не в технической, а в организационной плоскости.
Проведя аудит внутренних процессов и проанализировав полученные результаты, можно не только обнаружить слабые с точки зрения ИБ места, но и «накопать» достаточно возможностей для оптимизации бизнеса.
Результаты подобных исследований всегда вызывают интерес руководства и повышают авторитет ИБ.
Напоследок рассмотрим еще одну ситуацию, когда ИБ уже налажена и работает как надо.
Да-да, такие компании тоже есть.
Если все работает и никаких нарушений ИБ не происходит, то со временем руководству начинает казаться, что ИБшники ничего не делают и зря получают зарплату.
Поэтому, одним из важнейших элементов ИБ является умение продемонстрировать свою работу, облечь ее в понятную и доступную форму.
Информационная безопасность — это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
ИБшникам приходится придумывать метрики, позволяющие оценить их работу. Количество и состав метрик зависит от пользователей, для которых они предназначены.
Мой личный опыт показывает, что суммарное количество метрик для руководства не должно превышать десяти, иначе восприятие будет сильно затруднено.
Денис Муравьев, Генеральный директор группы компаний «4х4 бюро профессиональных услуг»
Журнал «Директор по безопасности», Август 2010