Стратегия удаленного доступа. Часть 3. Непрерывность и антикризисное управление
Вроде бы мы разобрались с основными вопросами организации удаленного доступа с точки зрения кибербезопасности. Мы знаем как защитить инфраструктуру такого удаленного доступа, и учли вопросы безопасности при организации удаленного рабочего места. Но значит ли это, что на этом все задачи решены? Увы.
На этот раз мы коснемся двух направлений, которые напрямую к информационной безопасности не относятся, но которые должны быть обязательно учтены. Интересно, что их важность «всплыла» именно во время первой волны пандемии, когда оказалось, что часть сотрудников должна получать удаленный доступ к достаточно критичным элементам инфраструктуры организации, а также когда часть сотрудников, обладающих уникальными компетенциями или доступом, оказались недоступны по причине «зависания» в загранице или попадания в больницу.
План непрерывности
Одной из задач станет пересмотр стратегии обеспечения непрерывности. Говоря о ней, мы в первую очередь думаем о критичных бизнес-процессах - кредитовании или открытии вкладов в банках, биллинге у оператора связи, управлении технологическим процессом на производстве и т.п. Но и кибербезопасность тоже должна разработать свой план обеспечения непрерывности или включить свои требования в общий план, который должен быть разработан в любой организации. О чем стоит подумать в этой связи?
- Необходимо гарантировать, что команды мониторинга ИБ и реагирования на инциденты имеют удаленный доступ к своим инструментам даже из дома. И это потребует внесения изменений не только в правила межсетевого экрана, но и в политики безопасности. Я сталкивался с забавными ситуациями, когда при переходе на удаленку, сотрудники ИБ не могли получить удаленный доступ к своим системам управления, потому что они же раньше и запрещали такой доступ.
- Необходимо убедиться, что процессы и инструменты ИБ будут работать даже в условиях, когда ключевой сотрудник заболевает или попадает в больницу и не в состоянии выполнять свои обязанности («а админский пароль от контроллера домена только у него»).
- Необходимо убедиться, что все ваши поставщики услуг (например, аутсорсинговый SOC или учебный центр, занимающийся повышением осведомленности ваших сотрудников по вопросам ИБ) способны выполнять прописанные в договоре уровни качества сервиса (SLA) в условиях удаленной работы. Они также могут быть переведены на удаленную работу, что может привести к невозможности оказания ими услуг для вас. Сейчас, когда обязательная самоизоляция (классический оксюморон) уже закончилась, а второй локдаун еще не ввели, самое время пересмотреть условия работы с внешними поставщиками услуг именно на предмет удаленной работы (и вашей, и их).
- Необходимо убедиться, что имеются резервные каналы связи и коммуникаций на случай чрезвычайной ситуации (в ИБ). В том числе это касается и удаленных сотрудников, которым раньше хватало полосы пропускания для эпизодического сидения в Интернете или посещения онлайн-кинотеатров, а сейчас один канал приходится делить с детьми, сидящими на дистанционном обучении с постоянно виснущим школьным порталом и тормозящим Zoom'ом, и с супругой/супругом, тоже работающим из дома. Надежность Интернет-подключения и использования резервных каналов, даже мобильного Интернета, являются очень важными, - без них многие остальные советы будут просто неработоспособными.
- Говоря о резервных каналах связи, не стоит забывать и о том, что часто это находится вне вашей зоны ответственности. Я, например, сидя на самоизоляции за городом, изредка, но сталкиваюсь с отключением электричества в районе, которое затрагивает не только мой дом, но и стоящие в округе вышки сотовой связи, делая недоступным любое подключение к Интернет. И даже резервный генератор в доме не решает эту задачу - резервировать надо именно процессы и участвующих в них людей, а не только каналы связи.
И не забывайте адаптировать план по мере появления новых проблем и способов их решения. План непрерывности - это не монолитный и незыблемый документ, неменяющийся годами. В него должны вноситься изменения по мере извлечения новых уроков из ранее неслучавшихся ситуаций. Более чем уверен, что и текущий план непрерывности (ОНВД) претерпит сильные изменения в условиях пандемии COVID-19.
Кризисное управление
У вас есть антикризисный управляющий? А команда управления в кризис? Это риторические вопросы. В любом случае, перевод большей части сотрудников на работу из дома сродни кризису, который можно преодолеть, если быть к нему готовым. Поэтому честно ответьте себе на эти вопросы и если ответ на какой-то из них будет отрицательным, то подумайте, как исправить ситуацию.
- У вас есть список критических бизнес-процессов и обслуживающих их технологий, на безопасность и бесперебойное функционирование которых надо обращать внимание в первую очередь? Если вы проводили категорирование в рамках выполнения требований ФЗ-187 «О безопасности критической информационной инфраструктуры», то у вас они должны быть и именно этот перечень значимых объектов КИИ можно взять за основу.
- У вас есть градация инцидентов ИБ внутри компании? Как вы понимаете, что инцидент перешел из состояния «плохо, но жить можно» в состояние «мы все умрем»? Это, конечно, шуточная градация, но суть она отражает верно. В условиях нехватки ресурсов или неспособности выполнять работы на должном уровне, мы должны приоритизировать свои усилия и градация инцидентов помогает в этом как нельзя лучше.
- В кризисном плане учтены вопросы ИБ? Как будут защищены и зарезервированы коммуникации антикризисной команды? Есть ли резервный персонал и план делегирования ему в случае «выхода из строя» ключевых персон? А резервный персонал вообще в курсе, что он резервный? Вы его оповестили о его роли и ответственности? Он тренирован действиям в кризисной ситуации? У вас используются инструменты удаленной работы, например, Webex Teams или Slack, которые позволяют создавать виртуальные ситуационные комнаты на время кризиса? А как к ним контролируется доступ? Вы же не хотите, чтобы какой-нибудь журналист Коммерсанта или Ведомостей подключился к такой комнате, а потом написал в СМИ о том, что у вашей организации серьезные проблемы, как это было совсем недавно, когда голландский журналист подключился к «секретной» телеконференции министров обороны ЕС, потому что один из министров случайно опубликовал реквизиты доступа к ней на фотографии в соцсетях.
- Если у вас электронная подпись есть только у генерального директора или председателя правления, а также главбуха и они попали в больницу, то вы знаете, кто будет подписывать электронные документы в их отсутствие и как у них можно (если можно) забрать носитель с ключами электронной подписи?
- У вас выстроен канал коммуникаций со всеми сотрудниками, например, о серьезных инцидентах ИБ, затрагивающих весь банк?
Кризис-менеджмент - это процесс, объясняющий, что делать, когда инцидент происходит в условиях, которые и так выходят за рамки нормальных и которые могут затронуть критические бизнес-процессы, от которых зависит дальнейшее существование финансовой организации? Как выстроено управление кризисом у вас?
Опубликовано 30.11.2020