Rambler's Top100
Статьи ИКС № 1 2020
Антон ГРЕЦКИЙ  16 декабря 2019

Укрепляем обороноспособность на цифровом поле боя: делай раз, делай два, делай три

В цифровой среде обеспечение информационной безопасности становится все более актуальной задачей. Какие шаги нужно предпринять, чтобы создаваемая система защиты информации была эффективной?

Угрозы сегодня могут исходить отовсюду. Мобильность, облака, интернет вещей – это, с одной стороны, технологии, которые позволяют развивать бизнес, с другой – новые вызовы для служб ИБ. Не стоит сбрасывать со счетов и целевые атаки, разработанные в расчете на конкретную организацию или группу организаций, объединенных по каким-либо признакам. Такие атаки встречаются достаточно часто, и их трудно обнаружить при помощи стандартных средств защиты, которые обычно не способны эффективно бороться с подобными угрозами. Ну и наконец, источником угроз является современная сложная сеть, охватывающая большое количество филиалов и устройств, подразумевающая применение виртуализации и других технологий, которые создают определенные проблемы в обеспечении информационной безопасности.

Бизнес продолжает терять репутацию, клиентов и деньги

Если взглянуть на то, что происходит сегодня в компаниях с точки зрения защиты информации, мы увидим печальную картину – несмотря на увеличение затрат, инцидентов становится все больше и ущерб от них все катастрофичнее. $534 млн − такую сумму в прошлом году потеряла японская криптобиржа в результате компрометации данных ее клиентов.

Конфиденциальность, целостность и доступность своих активов большинство компаний не обеспечило до сих пор. Почему? Удивительно, но они просто не знают, что и как нужно защищать… Именно поэтому хочется еще раз обсудить, о чем нужно помнить, создавая эффективную систему защиты информации.

Начнем с аудита

А что, собственно, защищаем? Инвентаризация активов − это то, с чего начинается построение любой системы защиты информации. Составьте перечень активов, определите их владельцев – кому в компании они нужны, кто на них зарабатывает, насколько эти активы критичны для бизнеса. Таким образом вам удастся сформировать перечень объектов защиты. 

Второй вопрос: от чего защищаем? Важным этапом работ является разработка модели угроз. Эта модель должна учитывать специфику конкретного бизнеса, условия эксплуатации активов, компетенции работников, кадровую политику, взаимоотношения с партнерами и конкурентами − мелочей здесь нет. 

Оцениваем риски

Но как бизнесу понять, произойдет ли такая «неприятность» с ним и стоит ли вкладывать в ИБ деньги? Для этого вам необходимо провести оценку рисков. Именно понимание бизнесом соотношения «потери в случае реализации риска/затраты на систему защиты информации» позволит разговаривать с ним на одном языке. 

Оценка рисков по сути является определением показателей СВР (степень вероятности реализации) и СТП (степень тяжести последствий) для каждой из угроз разработанной модели. Чем выше СВР и СТП угрозы, тем выше риски для бизнеса и тем легче руководству компании принять решение об инвестициях в информационную безопасность. Вся оценки ложатся в карту рисков, которая в дальнейшем будет главным инструментом по управлению этими самыми рисками.

Обосновываем список средств защиты

Проведя оценку рисков, вы сможете на основании полученных данных (финансовых и репутационных потерь в случае реализации тех или иных рисков) сформулировать задачи, которые должна решать ваша система защиты информации, составить перечень необходимых средств защиты и экономически его обосновать.

Помните, что информационная безопасность работает на бизнес, а не наоборот. И эффективная система защиты информации не должна быть избыточной, а ее масштабирование и развитие всегда результат появления новых угроз, рисков и, как следствие, задач безопасности.

В сухом остатке

Итогом проведенных работ будут:
  • реестр информационных активов компании;
  • перечень угроз;
  • карта рисков;
  • перечень задач информационной безопасности;
  • спецификация технических и организационных мер по обеспечению информационной безопасности организации;
  • перечень ресурсов, необходимых для реализации проекта по информационной безопасности (время, финансы, компетенции).
Самый важный ресурс – компетенции. На данном этапе важно понять, какие компетенции в вашей организации есть, а каких решительно не хватает, чтобы сразу начать поиск недостающих. Во-первых, компетентных специалистов найти не так просто. Во-вторых, пока их нет, все ваши современные средства защиты «из правого верхнего угла квадрата Гартнера» лежат мертвым грузом, а с ними и деньги, которые в них были вложены. А деньги, как известно, должны работать.

Работу по аудиту системы безопасности вы можете провести сами или нанять аудиторскую компанию, которая все сделает за вас. Если компания с именем и опытом именно в сфере вашего бизнеса, а вы только задумались о построении или модернизации своей системы ИБ, то, возможно, для вас это лучший вариант. 

Есть несколько видов аудита:
  • предпроектный аудит при модернизации или построении системы защиты информации;
  • аудит на соответствие требованиям стандартов;
  • активный аудит – при расследовании инцидентов.
Выбор варианта аудита зависит от того, какие задачи стоят перед создаваемой системой защиты информации: должна ли она соответствовать лучшим мировым практикам или определенному перечню отраслевых стандартов.

Обязательные оргвопросы

Следующим этапом является проектирование системы защиты информации. Необходимая его часть – создание политики информационной безопасности и сопутствующих политик и регламентов, которые описывают все процессы, связанные с защитой информации, определяют ответственных за их исполнение, сроки и порядок действий, контрольные процедуры и таким образом формируют систему управления ИБ в организации. Именно на этом этапе умирают, не успев родиться, системы защиты информации многих организаций, а стопки никому не нужной бумаги ложатся в стол. Для того чтобы этого не произошло с вашей системой ИБ, обязательно сделайте несколько простых, но важных и не формальных шагов.

Разработайте политику информационной безопасности и определите в ней задачи по обеспечению ИБ, перечень ресурсов, выделяемых организацией для исполнения поставленных задач, а также роль руководства организации и вовлеченность его в процесс обеспечения информационной безопасности. На основании этого документа строится дальнейшая стратегия развития системы ИБ в компании.

Разработайте частные политики по отдельным компонентам обеспечения ИБ, таким как антивирусная защита, резервное копирование, управление учетными записями, использование паролей, реагирование на инциденты, контроль над функционированием информационных систем организации, сбор информации об инцидентах ИБ, использование съемных носителей информации. Этот перечень не является исчерпывающим. В каждом конкретном случае он зависит от особенностей бизнес-процессов отдельно взятой компании. 

Суть этих документов в том, чтобы все поставленные в них задачи исполнялись с использованием доступных ресурсов, носили регулярный характер, анализировались и являлись фундаментом для дальнейшего улучшения и развития системы ИБ, обеспечивая ее полный жизненный цикл. По итогам анализа политики должны актуализироваться, поддерживая систему ИБ в боеспособном состоянии. Обязанности по обеспечению информационной безопасности должны быть внесены в должностные инструкции ответственных за это работников, а руководство должно контролировать исполнение этих инструкций. Без этого комплекса организационных мер все купленные вами технические средства защиты останутся бесполезным железом.

Предупреждаем угрозы инсайдерства

Важное звено функционирования системы ИБ – процедура найма и увольнения работников. Известен инцидент, который произошел в американской компании Lucchese Bootmaker. Уволенный инженер воспользовался созданной ранее учетной записью, замаскированной под принтер, чтобы получить удаленный доступ к информационной системе предприятия. Он отключил почтовый сервер и сервер, который отвечал за обработку заказов и производственные процессы. При этом он удалил системные файлы, из-за чего штатным ИT-специалистам не удалось перезагрузить систему и восстановить работу сервера. Кроме того, он заблокировал доступ к учетным записям работников, задав новые пароли. В результате инцидента производство остановилось. Руководство было вынуждено отправить по домам 300 работников. Полдня сотрудники не могли оформлять и рассылать заказы. На восстановление работы серверов подрядчикам потребовалось несколько часов, а чтобы вернуться к нормальному производственному циклу – несколько недель.

Контроль лояльности сотрудников, «мягкие» увольнения и наем работников, не имеющих в своем активе инцидентов, аналогичных описанному выше, позволят снизить риск возникновения цифровых угроз.

Учиться, учиться и еще раз учиться основам ИБ

Последним по счету, но не по важности идет обучение работников компании в сфере информационной безопасности. Помните о том, что самое слабое звено в любой системе ИБ – человек. Именно он по незнанию совершает действия, которые пробивают бреши в вашей защите. Обучите сотрудников безопасной работе в интернете, с электронной почтой, паролями и флешками, расскажите им, что такое фишинг и почему нельзя открывать письма от неизвестных отправителей, как обращаться с информацией ограниченного распространения и коммерческой тайной. Потраченные деньги вернутся сторицей. Периодичность такого обучения может быть разной, главное – поддерживайте знания персонала в актуальном состоянии.

Для проверки системы защиты информации создайте тестовый стенд и воспользуйтесь услугами компаний, которые проводят испытания на проникновение. На данном этапе важно понять, что не было учтено в процессе проектирования, какие угрозы не были замечены, насколько хорошо обучены ваши работники (социальная инженерия), насколько оперативно вы готовы реагировать на атаки. Это даст вам возможность доработать вашу систему защиты информации, а вашим работникам – бесценный опыт.

Plan-do-check-act

Помните: залог эффективной системы защиты информации – цикл Деминга «планирование – действие – проверка – корректировка». Все процессы обеспечения информационной безопасности, которые вы заложили в политики, должны исполняться. При этом вы должны постоянно анализировать результаты исполнения всех процессов на предмет их достаточности, эффективности и актуальности для вашего бизнеса и в случае необходимости вносить корректировки.

Выполняйте эти простые рекомендации, и вашему бизнесу будет гораздо безопаснее в современных жестоких цифровых реалиях.

Антон Грецкий, архитектор информационной безопасности, ActiveCloud
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!