УправлениеБезопасность

Как создать комплексную систему ИБ в компании

Мурад Мустафаев | 01.08.2021

Как создать комплексную систему ИБ в компании

Нужно ли обращаться к интегратору или можно сделать самим?

Систему информационной безопасности в компании можно назвать иммунитетом бизнеса. Она должна работать как единый слаженный механизм и охватывать все уровни защиты информации: законодательный, организационный, программно-аппаратный, физический и морально-этический. Только при наличии всех элементов, работающих в единой концепции, достигается синергетический эффект. Отсутствие или изъяны в каком-то из этих элементов делают всю систему уязвимой, что особенно рискованно в периоды активности хакеров.

Что мешает организовать системный подход к информационной безопасности в компаниях

Рассмотрим основные факторы.

Рост угроз ИБ и числа хакерских атак на фоне пандемии

Глобальные перемены — катализатор хакерской активности. С 2020 года мы становились свидетелями самых громких инцидентов ИБ. Быть готовым ко всему крайне сложно. Но практика показывает, что в вопросах ИБ имеет значение скорость реакции, и даже после регистрации факта атаки, ее можно локализовать, если для этого под рукой имеются подходящие инструменты.

Множество разнородных решений на рынке ИБ с высоким ценником

Обычно ИБ-инструменты набирают по принципу «это дешевле» или «это легче внедрить». Каждый раз исследовать рынок в поисках идеального решения, которое требуется здесь и сейчас, — неудобно. Некоторые инструменты оказываются слишком дорогими. Даже при острой необходимости быстро разморозить и согласовать на них бюджет — задача не из простых.

Долгое внедрение и настройка оборудования и ПО

Если компания приобрела новый инструмент, возникает другая задача — грамотно все настроить и внедрить, и сделать это оперативно. Здесь компании часто сталкиваются с отсутствием практического опыта в настройке. В редких случаях помогают вендоры, но делают они это в отрыве от полноценной картины ИБ-системы заказчика, и каждый — со своей позиции.

Отсутствие внутренних ИБ-компетенций при проектировании и организации целевой архитектуры ИБ

При организации ИБ собственными силами ИТ-специалисты концентрируют внимание в первую очередь на своей зоне ответственности и могут пропустить аспекты, связанные с неключевыми бизнес-процессами. Наём квалифицированных специалистов в штат тоже не помогает решить задачу оптимально по времени и по финансам.

Кажется, что обеспечить техническую целостность и захватить «слепые» зоны помогает внедрение SIEM-системы, которая объединяет весь инструментарий в единую схему. Но такой шаг учитывает лишь программно-аппаратный уровень безопасности, а законодательные, административные и морально-этические уровни остаются без внимания. Инструмент довольно дорогой, поэтому без экспертного подхода к внедрению и настройке его приобретение можно считать неудачной инвестицией.

Неосведомленность о законодательных требованиях к безопасности, продиктованных спецификой отрасли

Сфера, в которой функционирует предприятие, имеет не меньшее значение. От специфики информации, с которой работает компания, зависит набор инструментов для ее защиты, а также предъявляемые законодательные требования.

Владельцы медицинских информационных систем (МИС) должны располагать не только целевой системой ИБ, требуемой для подключения к ЕГИСЗ, но и действующими сертификатами ФСБ, ФСТЭК.

В мае 2021 года Госдума приняла законопроект о штрафных санкциях за нарушение безопасности объектов критической инфраструктуры (КИИ). ФСТЭК планирует увеличить число проверок объектов КИИ и привлечь другие ведомственные органы к их проведению.

Защита информации, и в особенности государственной тайны, на государственных информационных системах (ГИС) — действительно сложная и ответственная задача. Требования к безопасности ГИС изложены и закреплены в Приказе ФСТЭК № 17 от 11.02.2013 и в Постановлении Правительства РФ № 555 от 11.05.2017

152-ФЗ «О персональных данных» по-своему окрашивает целевую ИБ-архитектуру компаний из различных сфер:

  • ретейл (как электронная коммерция, так и офлайн-сегмент) с CRM-системами и программами лояльности;

  • медицинские, страховые и банковские организации, обрабатывающие различные категории персональных данных;

  • онлайн-сервисы с формами регистрации;

  • веб-ресурсы, собирающие файлы cookie.

Самостоятельно мониторить все законодательные изменения и гибко подстраиваться под них — задача не из легких. Однако для операторов персональных данных большинство провайдеров уже предоставляют комплексную услугу «Защищенный облачный сегмент, аттестованный в соответствии с требованиями ФЗ-152».

Эффект «лоскутного одеяла»

Нередко в процессе построения комплексной ИБ-системы может возникнуть несогласованность инструментов между собой. Предпосылки к этому могут быть разными:

у компании несколько подрядчиков, участвующих в организации ИБ-архитектуры, из-за чего возникает децентрализованный контроль и конфликты инструментов на стыке систем;

  • в результате резких глобальных изменений в бизнесе;

  • усложнение, масштабирование и(или) появление новых бизнес-процессов;

  • появление новых активов, нуждающихся в защите;

  • слияние, поглощение, присоединение компаний.

Модули безопасности необходимо интегрировать в общую ИБ-систему так же оперативно, как происходят изменения. Частым итогом в стремлении к этому становится хаос в системе информационной безопасности с несогласованными сегментами ИБ и непрозрачными принципами работы всей системы.

Временная потребность в ИБ-инструментах

Нередко ИБ-инструменты необходимы для временных проектов — организация тестовых сред, государственные инициативы, юридические проекты или перевод сотрудников на удаленку. Компания вынуждена приобретать нужные инструменты при заранее известном исходе событий: по истечении сроков проекта неутилизованные до конца инструменты останутся висеть на балансе организации мертвым грузом.

Вывод очевиден: необходим комплексный подход к организации ИБ-системы, гибко решающий перечисленные проблемы, а также учитывающий цели, отраслевую специфику и масштабы бизнеса.

Подходы к организации комплексной системы ИБ

Базовый набор инструментов, актуальных сегодня для любой организации для достижения комплексности ИБ-системы, выглядит следующим образом:

• IPS/IDS-системы, обеспечивающие безопасность инфраструктуры и приложений от внешних вторжений, в том числе от DDoS-атак;

• WAF (Web Аpplication Firewall) — средство защиты веб-приложений для обнаружения и блокировки сетевых атак;

• централизованная антивирусная защита на уровне серверов и конечных устройств пользователей, защищающая от троянов и вирусов-шифровальщиков;

• корпоративная почта с защитой от спама, вирусов и настроенными политиками, снижающими вероятность получения фишинговых писем и спам-рассылок;

• виртуальные рабочие места (VDI) с двухфакторной аутентификацией и установленным антивирусом;

• защищенное хранилище данных с безопасным удаленным доступом через приложение.

Каждый из инструментов ориентирован на различные цели. Облачное исполнение позволяет всем им органично работать как единый слаженный механизм и масштабироваться на проекты любой сложности.

Обычно первым делом компании предпринимают попытку организовать систему самостоятельно и сразу сталкиваются с описанными выше проблемами: отсутствие бюджета на крупные единовременные затраты, нехватка экспертизы при поиске или внедрении новых инструментов, неясная картина об отраслевых требованиях к ИБ-системе.

При обращении к нескольким подрядчикам по аутсорсингу не всегда удается выстроить единую ИБ-систему: если брать инструменты точечно у разных интеграторов или вендоров, эффекта «лоскутного одеяла» не избежать. В то же время комплексный подход одного провайдера, обладающего широкой экспертизой, эту проблему позволяет решить. Сервис «единого окна» помогает организовать слаженную согласованную систему информационной безопасности.

Возможности организации комплексной системы ИБ с помощью провайдера

Задача провайдера несколько шире, чем у вендора или интегратора, — он стремится предоставить не только ресурсы или инструменты. Провайдеры широкого спектра услуг информационной безопасности пришли к выводу, что рынок нуждается в комплексных ИБ-решениях под ключ с расширенным стеком инструментов для возможности выбора.

Удобным дополнением к этой идее стал сервисный формат «подписки», с помощью которого можно оперативно подключать/отключать модули ИБ. Можно использовать даже дорогие решения — их стоимость будет оптимально распределяться во времени и безболезненно ощущаться для бюджета. А партнерские отношения провайдера с вендорами и глубокая экспертиза в их решениях позволяют еще лучше оптимизировать затраты.

За счет обширного опыта исполнитель всегда в курсе актуальных отраслевых и законодательных нюансов, может безошибочно определить класс информационной системы и категорию данных, обрабатываемых в ней. В зависимости от этого подобрать необходимые инструменты из существующего на рынке мультивендорного предложения.

Провайдер комплексной ИБ-системы может полностью погрузиться в проект: разработать целевую архитектуру ИБ для конкретного заказчика, предоставить несколько линий поддержки для оперативного реагирования на инциденты безопасности, в том числе заняться сопровождением всех продуктов вендоров. Все вопросы в таком случае закрываются через единую точку взаимодействия.

При недостаточной картине актуального состояния ИБ-системы эксперты способны провести аудит ИБ и протестировать инфраструктуру на устойчивость к хакерским атакам (Pentest). Выводы и документация, которые они предоставят, будут полезны для построения целевой ИБ-архитектуры.

С таким подходом можно закрыть сразу несколько уровней защиты информации.

  • Мультивендорный набор ИБ-инструментов по подписке помогает оперативно и гибко надстраивать ИБ-систему на техническом уровне.

  • Размещение инфраструктуры в защищенном дата-центре на территории России позволит поддерживать безопасность на физическом и законодательном уровнях.

  • Привлечение экспертизы сертифицированных специалистов помогает решить вопрос с обеспечением безопасности на административном, морально-этическом и законодательном уровнях.

Централизованный контроль и экспертная поддержка позволяют убрать «слепые» зоны и снизить риски ИБ

Обеспечивая защиту информации на всех уровнях, удается достичь комплексности — одного из главных принципов информационной безопасности. Без него ИБ-система лишена смысла и экономического обоснования.

Выстраивание комплексной системы ИБ на аутсорсинге позволяет добиться большей гибкости:

1.  Собирать конструктор из инструментов, закрывающий актуальные задачи заказчика.

2.  Использовать понятный KPI услуги, за счет которого система ИБ становится прозрачной.

3.  Продолжать держать фокус на ключевых бизнес-задачах и работать в привычной парадигме, но уже с большей уверенностью в комплексной безопасности компании.

Такой подход выигрывает на фоне децентрализованной организации системы ИБ — она становится прозрачной и целостной, исчезают «слепые» зоны, улучшается контроль процессов, за счет чего снижаются риски ИБ.

Смотреть все статьи по теме "Информационная безопасность"

 

 

 

Онланта | Onlanta Информационная безопасность

Темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 07/2021], Подписка на журналы

Об авторах

Мурад Мустафаев

Мурад Мустафаев

Руководитель службы информационной безопасности компании «ОНЛАНТА» (входит в группу ЛАНИТ).


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Год назад обстоятельства сложились так, что мы все некоторое время посидели дома.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

Конференция Admitad Expert
Loft Hall. Ленинская слобода 26, стр 15
5 500 руб
17.09.2021
10:00–23:59
Гильотина для устаревших процессов бизнеса
Москва, The St. Regis Moscow Nikolskaya, Никольская улица, 12
Бесплатно
21.09.2021
10:00–11:30
Форум по цифровизации АПК Forum.Digital Agro 2021
ОНЛАЙН
Бесплатно
22.09.2021
11:00–16:30