Искусство строить защиту

Трудно переоценить значение IТ в нашей жизни. С развитием информационного общества резко возрастает необходимость использования средств накопления, хранения и обработки данных. Информация определяет текущее состояние и влияет коренным образом на стратегические планы компании, и стоимость ее бывает порой сравнима со стоимостью самого бизнеса.

Несмотря на то, что информация – это самый ценный ресурс компании, собственники бизнеса чаще всего уделяют внимание физической и экономической безопасности, нежели информационной. Установление низкого приоритета или отсутствие должного внимания к данным вопросам порождает множество накапливаемых с течением времени нерешенных проблем, способных привести к значительным финансовым потерям компании. Иллюзия того, что «беда пройдет стороной» порой приводит к тому, что инциденты, связанные с нарушением ИБ, решаются либо абсолютно не компетентными в данной сфере специалистами, либо сотрудниками, не имеющими должного уровня ответственности за последствия принимаемых решений.

В настоящее время руководители компаний все чаще приходят к необходимости выделения денежных средств на обеспечение информационной безопасности. Быть скупым в данной области опасно. Но как найти грань между необходимостью и достаточностью? Каким образом сбалансировать развитие IТ и «бюрократию» безопасности без ущерба для бизнеса? В данной статье приведены простейшие рекомендации[1], которые помогут не только разобраться в том, как правильно сформировать позиционирование службы информационной безопасности (СИБ) в компании, но и построить дееспособное подразделение, наделив его сотрудников достаточными полномочиями для защиты бизнеса от информационных рисков.

Задачи службы ИБ

Для того что бы говорить об организации ИБ в компании, рассмотрим основные задачи СИБ. Основной задачей Службы ИБ является предотвращение реализации возможных рисков, связанных с утечкой или потерей информации. Несомненно, что в каждой компании риски индивидуальны, соответственно и меры по их устранению тоже будут разные. Формулировка основных направлений деятельности СИБ, описание задач и основного функционала СИБ определяется документом «Политика информационной безопасности организации» (Политика ИБ).

Необходимость создания такого документа продиктована важностью формализовать общие принципы и правила построения системы обеспечения ИБ в организации. Дополнительно этот документ может помочь руководителю СИБ сформировать правильное мнение у топ-менеджмента о значимости службы, поскольку в нем можно отразить и тактические задачи. Отметим, что «Политика ИБ» не есть «цель», а только «средство» для достижения определенного состояния организации, в котором риски от потерь или распространения конфиденциальной информации сведены к допустимым значениям, удовлетворяющим потребностям бизнеса в собственной безопасности. Самым простым примером является воровство клиентской базы. Наверное, не требует пояснения, что для одной компании утечка клиентской базы будет иметь критические последствия, а для другой это действие не приведет к серьезным потерям.

Отсюда вытекает и основная задача документа «Политика ИБ» - отразить важные для организации (в области информации) аспекты, а также сформулировать основные правила и принципы, которые станут определяющими для руководства организации в его повседневной деятельности.

Если рассматривать пути решения основных задач обеспечения ИБ организации, основываясь на «процессном подходе», то последовательность действий для разных организаций может отличаться коренным образом. Зависит это, как правило, от степени зрелости самой компании. При этом сам набор действий практически одинаков. Какие это действия? Формирование документарной базы для деятельности подразделения, включение в процессы компании процессов ИБ, аудит ИС, анализ рисков и угроз, выработка мер по компенсации рисков. Давайте разберем их более детально.

«Политика ИБ» и «Каталог услуг»

Разработка и внедрение в организации «Политики ИБ» позволит на первоначальном этапе формализовать задачи, поставленные конкретному подразделению в области обеспечения ИБ. Это, несомненно, поможет составить план работ в области ИБ на ближайший период. К тому же внедрение данного документа уже само по себе приводит к снижению рисков, возникающих из-за неправильной работы с имеющейся в компании информацией. Надо иметь в виду, что сформировать с нуля такой документ достаточно сложно, но попытку сделать необходимо хотя бы для того, что бы впоследствии вернуться к нему и доработать. В идеальном варианте данный документ составляется директором по информационной безопасноcти (CISO).

На этом же этапе рекомендуется создать «Каталог услуг» с перечислением всех IТ-сервисов и связанных с ними сервисов в области ИБ, используемых в вашей компании. Данный каталог составляется с указанием важности каждого сервиса для бизнеса и рисков ИБ. Результатом такой работы станет понимание всех основных и связанных процессов ИБ. Также каталог без сомнения поможет при защите бюджета и обосновании финансирования. Форма каталога может быть аналогична рекомендованному в SLA и содержать следующие разделы:

• предназначение и краткое описание услуги;
• время предоставления услуги;
• время сопровождения услуги;
• гарантированное время восстановления услуги после сбоя;
• условия, обязательные для предоставления услуги;
• условия, невыполнение которых приводит к ограничению функциональности услуги;
• действия, связанные с предоставлением услуги или отказа от нее;
• документы, регламентирующие работу с услугой.

Аудит информационной системы

На следующем этапе желательно провести аудит существующей информационной системы (ИС) организации. В данном случае - как документарной, процессной, так же и технической составляющей ИС. Результатом, в этом случае, будет являться отчет, содержащий сравнение существующих в организации ИБ и IТ сервисов (услуг) с типовым (минимально необходимым) набором услуг, наиболее близким к роду деятельности вашей организации. То есть у вас есть текущее состояние ИС, каталог услуг и минимально необходимое состояние. Разница между ними покажет, что необходимо сделать.

Такой аудит можно провести своими силами, если в компании присутствуют сотрудники, обладающие не только необходимыми компетенциями, но и методиками обследования и анализа. В противном случае лучше обратиться в специализированные организации или к профессиональным сообществам, имеющим подобную практику.

Идентификация и классификация объектов защиты

Так же на данном этапе проводится идентификация и классификация имеющихся в организации информационных активов (объектов защиты), составляется модель возможных угроз и типовых нарушений.

Для удобства подобный классификатор имеющейся в организации информации оформляется в таблицу и может иметь следующий вид:

Информационный ресурс

Уровень "конфиденциальный"

Уровень "для внутреннего использования"

Уровень "открытый"

Модель может быть сделана в виде простой матрицы. Для примера приведем описание одной угрозы:

Угроза:

Получение полного контроля над носителем информации (хищение носителя)

Описание:

Несанкционированный доступ к данным может быть осуществлен в случае кражи или изъятия компьютера, сервера. Если персональный компьютер или сервер окажется в руках злоумышленников, штатные средства защиты операционной системы станут недейственными. Например, для того, чтобы получить доступ к информации на незащищенном жестком диске достаточно передать управление другой операционной системе или подключить к другому компьютеру.

Причины нарушения:

· Отсутствие или нарушение регламента доступа к служебным помещениям, в которых находятся сервер или накопители данных.

· Отсутствие системы контроля выноса оборудования с территории.

· Отсутствие или недостаточная охрана помещения в нерабочее время.

· Отсутствие криптозащиты информации (шифрование).

Средства защиты

Для ликвидации угрозы кражи носителя необходимо:

· Разработать и обеспечить следование регламенту выноса оборудования в рабочее время.

· Организовать систему охраны предприятия в нерабочее время.

· Использовать для хранения средство криптографической защиты (шифрование), которое обеспечит защиту данных в случае получения полного контроля над сервером.

Могут быть использованы другие типы таблиц – единые на несколько блоков анализа, например:

Угроза

Типовое нарушение

Вероятность возникнове-ния

Степень серьезности последствий

Описание последствий

Мероприятия по предотвра-щению

Мероприятия по устранению последствий осуществленных угроз

Конечным результатом анализа является выявление уязвимых мест (элементов) ИС организации и оценка возможных рисков в этих местах. Если не вдаваться в риск-менеджмент, то достаточно оценить возможные потери в денежном эквиваленте (если это невозможно, оценка производится на качественном уровне), которые (в случае реализации определенной угрозы ИБ) понесет организация.

Количественная оценка риска

Количественный подход связан с измерением риска в терминах денежных потерь. Оценивая разовый ущерб от реализации конкретной угрозы для какого-либо информационного ресурса, необходимо учитывать:

· стоимость информационного ресурса (цену приобретения или затраты на создание);

· стоимость восстановления или покупки (создания) нового ресурса;

· стоимость вынужденного простоя;

· возможная стоимость упущенной выгоды;

· выплаты неустоек, штрафов за невыполнение договорных отношений;

· стоимость затрат на восстановление репутации организации и т. д.

Стоимость нанесенного информационному ресурсу ущерба равна сумме перечисленных. Таким образом, мы определили единичное ожидание потерь от реализации угрозы (ЕОП) в денежном выражении как

ЕОП = СТ_ресурса + СТ_восстановления + … + СТ_морального_урона

Общий риск рассчитывается исходя из частоты возникновения каждой конкретной угрозы и нанесенного от нее ущерба для данного ресурса в денежном выражении.

ОБЩ_РИСК = ЕОП * ЧАСТ_УГР,

где частота угрозы ЧАСТ_УГР определяется как вероятность реализации угрозы за какой-то период, как правило, за год.

Естественно, для того чтобы точно и объективно подсчитать все слагаемые от возможного ущерба, потребуется достаточно много времени и сил, но чем ближе к реальным будут данные, тем больше вероятность принятия оптимального решения по дифференцированной защите конфиденциальной информации.

Разделение рисков, корректировка документов

Дальнейшее разделение угроз и рисков на принимаемые организацией и не принимаемые приведет к пониманию того, какие меры по компенсации рисков необходимо провести. Т.е., следует решить, какие угрозы являются для организации существенными и на их компенсацию выделяется бюджет, а какие не принимаются в расчет. На основании этого составляется план необходимых мероприятий по работе с выделенными рисками и определяется последовательность действий.

Следующим шагом можно вернуться к документу «Политика ИБ» и на основании проведенного анализа внести в него необходимые коррективы таким образом, чтобы вся система планируемых мер и документов приобрела логичность и взаимосвязанность.

Ряд задач необходимо выполнять постоянно с целью формирования определенного отношения внутри организации к мероприятиям по обеспечению ИБ. Это - профилактическая работа с персоналом, включающая, в том числе текущее информирование и обучение сотрудников. Это - ознакомление сотрудников с утвержденными документами по ИБ, разъяснение правил работы с информацией и, конечно, знакомство сотрудников с возможными для них самих и для компании последствиями в случае реализации рисков.

Основные и вспомогательные задачи СИБ

Следующая группа задач СИБ, в зависимости от зрелости организации, может относиться как к основным (стратегическим) процессам, так и к вспомогательным (второстепенным). Например, в организациях, где существует процедура стратегического планирования, эти задачи необходимо решать на уровне стратегии компании, а в компаниях, где этих процессов еще не существует, данные задачи становятся либо локальными, либо не нужны вовсе. К этой группе задач можно отнести следующие:

• Стратегическое планирование, т. е. разработка на основании «Плана развития организации» следующих долгосрочных планов, поддерживающих основные цели собственников: «Стратегия в области IТ» и «Стратегия в области ИБ». Также могут присутствовать документы, регулирующие деятельность службы безопасности вообще и СИБ в частности, например, «Положение по коммерческой тайне», «Политика информационной безопасности» и т.п.

• Разбор инцидентов, связанных с нарушением положений документов по ИБ. При этом необходимо рассматривать задачи по анализу накапливаемой статистики инцидентов, расследованию нарушений в области ИБ и, конечно, инициации взысканий и информированию сотрудников организации об произошедшем.

• Выработка мер для предотвращения в будущем наиболее типичных инцидентов в области ИБ - т.е. формирование ситуации в компании (организационные и административные меры), при которой будет исключена возможность типовых для данной организации нарушений и инцидентов. Это фактически влечет за собой изменение и оптимизацию существующих процессов и встраивание в них субпроцессов по обеспечению ИБ. Сюда же можно отнести задачи, связанные с развитием ИС организации, такие как участие в планировании и внедрении новых технологий и оборудования.

• Определение объектов защиты и соотнесение их с используемыми мерами по обеспечению ИБ, с действующими актами законодательства РФ и локальными нормативными актами организации, то есть фактическое определение правовых рисков, связанных с ИБ. Это является немаловажной задачей, которой в настоящий момент бизнес еще не уделяет должного внимания.

Место СИБ в организации: заказчик и исполнитель

Одной из основных функций СИБ является формирование плана обработки рисков и угроз нарушения ИБ и непосредственное участие в реализации этого плана.

Из основных функциональных задач службы ИБ следует, что заказчиком у нее может быть только сам бизнес, представляющий из себя некий набор подразделений, участвующих в основных бизнес-процессах получения прибыли. Эти подразделения и будут функциональными заказчиками различных задач обеспечения ИБ основных бизнес-процессов. Чаще других это подразделения службы безопасности (СБ), службы внутреннего контроля (СВК) и финансовые отделы компании. Иногда заказчиком может являться сам владелец организации (группа собственников или один из них). При этом приходится констатировать, что работа с собственниками представляет очень высокую сложность в связи с обобщенной постановкой задачи.

Одним из возможных, но редких случаев, можно считать вариант, когда заказчиком отдельных функций или услуг является сама СИБ. Несмотря на некую нелогичность «сама заказывает - сама выполняет», это очень хорошо можно проиллюстрировать следующим примером: для решения аналитической задачи одним из подразделений СИБ, требуется сопутствующая (вспомогательная) работа технического подразделения СИБ, например, для обеспечения сбора информации.

Как же все-таки определить место СИБ в рамках современной организации? По общему мнению экспертов, СИБ фактически выступает в роли «переводчика» между бизнесом и техническими подразделениями, например, IТ-службой, в качестве формализатора требований и постановки задачи. Впоследствии СИБ выступает и как контролер качества выполнения по своим задачам по отношению к техническим и прочим подразделениям, являющимся для СИБ исполнителями.

С точки зрения службы внутреннего контроля, в чьи задачи входит мониторинг затрат различных служб, СИБ может выступать как подразделение, способное сбалансировать необходимый функционал инструментов ИБ для обеспечения безопасности бизнеса и стоимость этих инструментов при решении конкретной задачи.

Что же касается подразделений IТ, то очевидно, что они выполняют роль исполнителя, но при этом являются держателем (владельцем) технических платформ и инструментов, необходимых для реализации технической составляющей ИБ, используемой СИБ в ежедневной деятельности. Добавим к этому, что только на базе IТ-подразделения функционирует служба поддержки пользователей (HelpDesk или Service Desk), позволяющая осуществлять контроль за функционированием внутренних систем, используемых или контролируемых СИБ.

Информационные каналы. Формирование и контроль

Основа работы IТ-службы – это формирование и поддержание информационных каналов (каналов передачи и распространения информации). При этом у СИБ однозначно будет присутствовать функция разработки правил распространения и работы с этой информацией, а обязанность подразделения IТ-поддержание работоспособности ИС и автоматизация установленных СИБ правил.

К тому же для некоторых задач обеспечения ИБ необходимо искусственно формировать информационные каналы. В связи с этим возникает необходимость контроля их эффективности и работоспособности (проходимости в обе стороны) для исключения ситуации блокирования прохождения информации.

В некоторых организациях функции контроля за информационной системой и каналами распространения информации возложены на СВК, в этом случае СВК становится функциональным заказчиком для СИБ.

В том случае, если в организации нет СВК или ее функционал лежит в другой плоскости, то можно с уверенностью говорить о том, что СИБ принимает на себя контрольные функции по отношению ко многим (не только ИТ) подразделениям. Вот некоторые из этих функций:

· формирование и поддержание баланса между ограничениями, вводимыми СБ, по распространению информации и открытостью (простота и доступность), которая необходима функциональному заказчику, т.е. бизнесу;

· построение системы контроля качества информации. Связано это с тем, что основной потребитель (бизнес) для принятия правильных и своевременных решений должен опираться на информацию с необходимым уровнем достоверности;

· выявление наиболее значимых, с точки зрения возможного ущерба, рисков, основанных на разглашении или утрате важной для организации информации;

· планирование и проведение профилактических мероприятий для снижения вероятности наступления рисков, связанных с информационными ресурсами.

Для эффективного функционирования СИБ внутри организации необходимо правильно и корректно встроить процессы ИБ в основные бизнес-процессы компании. Для этой задачи лучше всего пригласить профессионального консультанта или обратиться в профессиональное сообщество.

Место СИБ в структуре организации

Определение структуры и подчиненности СИБ достаточно специфично и уникально для каждой конкретной организации. Уникальность зависит не только от организационной и функциональной структуры организации, но и от задач, которые поставлены перед СИБ. Существует несколько типичных вариантов подчиненности СИБ.

Подразделение ИБ находится в структуре СБ

В этом случае подчинение будет, как правило, линейному менеджеру или функциональному топ-менеджеру. Этот вариант получил наибольшее распространение на практике.

Достоинства	Недостатки
Возможность критического взгляда на деятельность IТ подразделения.	IТ-подразделение очень неохотно предоставляет СБ информацию об IТ.
Возможность со значительной степенью эффективности решать задачи, не связанные с деятельностью IТ-подразделений организации.	В значительной степени затруднены поиск уязвимых мест и анализ рисков, связанных с IТ.
	Могут возникнуть трудности при подготовке и согласовании политик ИБ, связанных с настройками сетевых элементов.
	Для эффективного решения указанных выше задач необходимо создавать в СБ полноценную IТ структуру, которая впоследствии будет конкурировать и противостоять IТ-подразделению.
	Необходимо учитывать и кадровый состав руководства СБ, которое, как правило, вышло из системы правоохранительных органов, основные задачи которых, как правило, достаточно далеки от задач обеспечения ИБ организации.

Подразделение ИБ находится в структуре IТ подразделения

Достоинства	Недостатки
Основное достоинство вытекает из того обстоятельства, что значительная часть вопросов IБ связана с вопросами безопасности IТ. А это, в свою очередь, позволяет достичь максимального взаимопонимания между IТ и ИБ подразделениями.	Вопросы аудита, контроля и мониторинга в области ИБ сосредоточены в блоке IТ, что однозначно ведет к конфликту интересов.
	Руководство блока IТ объективно не заинтересовано в выявлении и, тем более, в обнародовании недостатков, просчетов и упущений, которых, как показывает практика, достаточно много. В такой ситуации контроль за IТ-подразделениями должен быть реализован другими службами организации, например, СБ или СВК
	Нарушение логики организационного построения (в разрезе процессов ИБ), а именно: исполнитель не может ставить задачи заказчику. В любом случае СИБ является постановщиком задачи, IТ-подразделение – техническим инструментом ее реализации, а не наоборот.

Подразделение ИБ находится в контрольно-ревизионной службе (КРС)

организации или в службе внутреннего контроля (СВК)

В этом случае процессы ИБ встраиваются в процессы этих подразделений и являются усиливающими по отношению к функциям контроля и анализа

Достоинства	Недостатки
Mожно эффективно организовать решение задач аудита и контроля.	Pеализация всех остальных функций, кроме контролирующих, крайне затруднена. Как правило, в таких службах работают специалисты по финансовому контролю, а вопросы ИБ весьма далеки от решаемых ими проблем.
Mожно набрать в подразделение ИБ высококвалифицированных специалистов (как правило, за счет относительно высокого уровня оплаты труда).

Подразделение ИБ является самостоятельным и подчиняется

непосредственно высшим руководителям организации

В этом случае подразделение подчиняется Первому лицу (собственнику), Совету директоров или генеральному директору. Такое организационное решение обладает значительными преимуществами перед всеми ранее перечисленными.

Достоинства	Недостатки
Независимое подразделение ИБ через руководство организации может эффективно решать основные задачи координации деятельности в области ИБ всех подразделений организации, реализуя при этом комплексный подход.	Непросвещенность первых лиц в тематике ИБ, что затрудняет постановку задачи и снижает значимость всей деятельности СИБ.

Матричные структуры

Матричная структура управления – это структура органов управления, построенная на принципе двойного подчинения исполнителей. Матричная организация СИБ, где функции СИБ распределены по разным подразделениям, встречается гораздо реже остальных вариантов организационных структур. Такая организация СИБ приемлема для небольших компаний и характеризуется наименьшими финансовыми затратами, но для корректной работы такой структуры необходимо разработать матрицу, которая однозначно определит ответственных из разных подразделений за выполнение отдельных функций СИБ. В этом случае Руководитель СИБ может иметь уровень ЗГД и ему будут функционально подчинены сотрудники разных подразделений (например, IТ, СВК или СБ и т.п.), за которыми закреплены отдельные функции СИБ и которым определено непосредственным руководителем время исполнения этих функций.

Достоинства	Недостатки
Минимизация численности и расходов на подразделение.	Сложность управления в матричной схеме.
	Непросвещенность первых лиц в тематике ИБ, что затрудняет постановку задачи и снижает значимость всей деятельности СИБ.

Аутсорсинг

Построение информационной безопасности как системы документов, технических средств и коммуникаций нельзя передать на аутсорсинг. Это возможно только частично, и чаще всего передается на аутсорсинг техническая составляющая. Однако при этом необходимо интегрировать внешние услуги, предоставляемые сторонней организацией (описанные в «Каталоге услуг» или в соглашении SLA) в свои процессы, что бывает не всегда возможно.

В заключение хочется отметить, что в очень крупных организациях, где СИБ настолько зрелая, что способна на основании стратегического плана организации не только вырабатывать и выполнять решения, но и самостоятельно ставить задачи, вариант аутсорсинга возможен. То есть мы говорим о выделении службы ИБ в самостоятельное предприятие (юридическое лицо), которое кроме работы на материнскую компанию может вести и коммерческую деятельность. С точки зрения бизнеса данное действие вполне оправдано т.к. это выделение непрофильного актива с последующим повышением собственной капитализации.

В любом случае и при любой схеме построения СИБ необходимо понимать планы по развитию организации на будущее и заблаговременно готовить документационную и техническую базу, в противном случае будет построен «колос на глиняных ногах». При создании системы обеспечения ИБ в организации основное внимание обязательно должно быть уделено формированию правильных, необходимых и корректных документов, их логичности и качественности (точности и однозначности).