Организационные проблемы комплексных ИБ-проектов

В беседах с нами эксперты в области информационной безопасности (ИБ) неоднократно говорили о том, что основная угроза ИБ предприятия носит отнюдь не технический характер и на их взгляд важнее грамотно «защититься» от собственного персонала, чем от вредоносного ПО. Именно поэтому мы попросили сотрудников ИТ-компаний прокомментировать организационные моменты комплексных проектов ИБ.

Внедрение комплексных ИБ-систем как бизнес-проект

Прежде всего надо ясно понимать, что комплексное внедрение ИБ, включая защиту от внутренних злоумышленников, — это сложный и преимущественно организационный, а не технический проект. «Когда речь идет о решениях масштаба предприятия, то любой комплекс мер по обеспечению безопасности и в первую очередь по защите от инсайдеров требует тщательного изучения бизнес-процессов и определения связанных с ними потоков информации, — говорит Михаил Башлыков, руководитель направления информационной безопасности компании КРОК. — Обеспечение ИБ по сути должно являться одним из бизнес-процессов фирмы. Чаще всего организационными методами решается до 70% проблем защиты информации, остальные 30% остаются за техническими средствами». Существует даже мнение, что обеспечение комплексной ИБ предприятия ближе к внедрению ERP-систем, чем к инфраструктурным проектам. Дмитрий Голубцов, специалист направления Security Management компании CompuTel, утверждает, что по крайней мере в одном подобные проекты схожи: «Внедрение систем информационной безопасности подразумевает определенный уровень зрелости компании. Успешное внедрение, как и в случае ERP-систем, невозможно без проведения высококачественного аудита и последующей реорганизации бизнес-процессов». Так же как и при внедрении ERP-систем, в проекте по обеспечению ИБ стоят задачи постановки процессов. В ответах экспертов упоминались и реорганизация бизнес-процессов, и регламент системы управления ИБ. «Безусловно, проблема ИБ не техническая, а системная, — соглашается менеджер по развитию бизнеса отдела информационной безопасности АМТ-ГРУП Андрей Рогожин. — Например, важно добиться сознательного вовлечения сотрудников в процессы внедренной на предприятии системы менеджмента ИБ в соответствии с уровнем их административной ответственности и ролями, предусмотренными регламентами такой системы».

Но понятно, что подобное вовлечение сотрудников предусматривает и меры воздействия на них в случае нарушения регламентов. Если, допустим, чисто техническое развертывание Intrusion Detection System (IDS) или антивируса вряд ли сможет нарушить права персонала предприятия, то организационные меры — могут. Даже такая процедура, как мониторинг электронной почты сотрудников, требует подписания целого ряда документов. Как руководству остаться в правовом поле, требуя соблюдения установленных правил ИБ?

«Для того чтобы меры обеспечения ИБ заработали, необходимо создать и довести до сведения сотрудников локальные нормативные акты, внедрить режим коммерческой тайны, — считает Михаил Башлыков. — Неприкосновенность частной жизни закреплена конституцией, поэтому меры по защите от действий внутренних нарушителей требуют специальной юридической проработки. Рекомендуется в трудовых договорах оговаривать исключительные права фирмы на используемые средства коммуникации и соответственно получать согласие сотрудников на контроль их сообщений и отправлений». Дмитрий Голубцов полагает, что выбор средств воздействия должен основываться на корпоративной культуре и кадровой политике конкретной компании: «Комплексная система ИБ позволяет определить и зафиксировать, кто из сотрудников, когда и к какой системе получил доступ. Нарушения корпоративных политик в области ИБ должны рассматриваться как административные с принятием соответствующих мер».

В первый раз

К сожалению, в подавляющем большинстве современных российских компаний комплексное внедрение организационного подхода к обеспечению ИБ и разработка мер воздействия, о важности которых говорят эксперты, будут проходить почти с нулевого уровня. Практически все предприятия, если мы исключим более «продвинутые» в этом плане телекоммуникационные и финансовые, такого рода проектов пока не вели. Михаил Башлыков даже утверждает, что вообще каждый новый шаг в развитии системы ИБ можно считать первым: «Развитие ИБ должно идти последовательно, начиная с осознания существующих проблем и внедрения базовых средств обеспечения ИБ. Далее следует последовательно наращивать сложность внедряемых систем, комплексность проектов и применение организационных мер, а также внедрять процессно- и риск-ориентированный подход к обеспечению ИБ».

А вот Андрей Рогожин не видит особой беды в неопытности российских предприятий в области комплексных систем ИБ: «Как правило, для того чтобы оценить технологию, достаточно провести пилотное тестирование и на практике увидеть преимущества и ограничения того или иного продукта. Многие вендоры и интеграторы, предлагающие решения по защите от утечек информации, идут на такое тестирование, поскольку для заказчика очень важно посмотреть работу предлагаемой системы в условиях, максимально близким к “боевым”».

Действительно, для оценки технических параметров системы достаточно пилотной эксплуатации. Однако в организационной области и в постановке процессов «пилотом» не обойдешься.

От безопасности ИТ-систем — к безопасности бизнеса

Игорь Ляпунов,
заместитель начальника технического центра по развитию бизнеса компании «Инфосистемы Джет»

В настоящее время одной из основных тенденций в области построения систем обеспечения информационной безопасности в крупных организациях является смещение акцента на процессную составляющую системы. Если несколько лет назад решение ИБ воспринималось как набор средств защиты и комплект организационно-распорядительных документов — регламентов, инструкций, — то теперь это в первую очередь выстроенный процесс, процедура. Речь уже идет о реально действующей связке: анализ рисков — управление рисками — система контроля и средств защиты.

Наблюдается и перераспределение зон ответственности между ИТ- и ИБ-службами заказчика. Так, установка и эксплуатация средств защиты информации, немедленная реакция на сетевые атаки становятся прерогативой ИТ-подразделений. Сейчас уже очень сложно провести границу между системами безопасности и ИТ-системами. Средства создания корпоративных сетей ERP-уровня по умолчанию включают firewall- и IPS-модули (intrusion prevention system); прикладные системы имеют свои собственные механизмы обеспечения безопасности; корпоративные LDAP-каталоги — это и атрибут современной ИТ-инфраструктуры, и средство управления доступом. Ответственность за их функционирование крайне сложно физически разделить между ИТ- и ИБ-подразделениями. На службы ИТ-безопасности возлагаются две основные задачи: первая — выстраивание и поддержание процесса управления безопасностью, вторая — выстраивание и поддержание процесса управления инцидентами безопасности. Сегодня такая служба является организационной основой постоянно действующего процесса по идентификации/управлению активами, выявлению и анализу рисков, выбору и выстраиванию мер противодействия рискам, мониторингу инцидентов и модернизации мер и средств контроля. Фактически она вырабатывает стратегию обеспечения безопасности, формирует политики в этой области, отвечает за их адекватность текущим рискам, модели угроз и требованиям регуляторов рынка, выдвигает требования к ИТ-службам по реализации тех или иных решений для обеспечения безопасности, по внедрению и настройке средств защиты, проводит расследование инцидентов, решает аналитические задачи.

Помимо этого можно отметить, что в последнее время очень часто встречаются ситуации, когда на службы ИТ-безопасности возлагаются такие задачи, как создание систем обеспечения непрерывности бизнеса, опять же в виде процессно-ориентированного решения, выстраивание процессов борьбы с внутренним и внешним мошенничеством и др.

Таким образом, современные службы безопасности должны обеспечивать не столько защиту непосредственно информации, информационной системы, сетей и серверов, сколько безопасность бизнеса и его защиту от ИТ-угроз, управление ИТ-рисками. С точки зрения бизнес-руководства это становится частью общего процесса управления операционными и бизнес-рисками.

Спонсор проекта

Если уровень организационных изменений при комплексном обеспечении ИБ действительно сравним с внедрением ERP-системы, каков же должен быть руководящий рычаг, кто на предприятии должен быть заинтересован в проекте, чтобы эти изменения действительно могли осуществиться? И кто сейчас на самом деле является спонсором проектов ИБ? Михаил Башлыков из КРОКа данный вопрос увязывает с уровнем зрелости процессов ИБ в компании: «Как правило, это подразделения по информационной и экономической безопасности, а также ИТ-подразделения. Реже в такой роли выступает высшее руководство фирмы или владельцы бизнеса, так как компании, имея перед собой определенные цели снизить совокупную стоимость владения ИТ-инфраструктурой и добиться максимально быстрого периода окупаемости инвестиций в нее, сокращают затраты на первых стадиях внедрения и эксплуатации информационных систем. Вовлеченность руководства в процесс управления информационной безопасностью всё ещё невелика, поэтому успех реализации таких проектов во многом зависит от личной настойчивости и опыта директора по ИТ или ИБ. Совсем скоро мы придем к тому, что особое внимание будет уделяться не просто внедрению систем защиты, но и регламентированию и выстраиванию процессов безопасности. В последние годы ситуация меняется в лучшую сторону».

Дмитрий Голубцов (CompuTel) связывает выбор спонсора проекта с целью проведения работ: «Если нужно построить систему для общего аудита и контроля деятельности компании, то заказчиками таких проектов являются топ-менеджеры и собственники бизнеса, а в случае создания систем для предупреждения сбоев и борьбы с их последствиями спонсорами часто становятся руководители ИT-служб». Однако Андрей Рогожин из АМТ-ГРУП более категоричен и считает, что только при поддержке топ-менеджмента комплексный ИБ-проект может быть успешен: «Без реального спонсорства со стороны высшего руководства организации проект по внедрению системы менеджмента ИБ имеет практически нулевые шансы на успех, так как только высшие руководители обладают необходимыми административными и ресурсными полномочиями».

Критерии успеха

Наконец, любого руководителя интересуют критерии успешности проекта по комплексному обеспечению ИБ. Как по его окончании можно оценить результат работы компании-подрядчика? «Результативность системы информационной безопасности, как правило, измеряется степенью соответствия ожидаемого результата; это может быть перечень контрольных точек, таких как отсутствие инцидентов, или снижение общего количества инцидентов, или получение сертификата соответствия, или прохождение аттестации, — отвечает Михаил Башлыков. — Эффективность же проекта определяется уровнем возврата инвестиций, то есть оценкой, окупает себя система или нет». С этим в общем согласны все опрошенные нами эксперты. Среди ключевых показателей (контрольных точек) Дмитрий Голубцов выделяет следующие: количество прецедентов в области ИБ, прозрачность процессов ИБ, инфор­мированность сотрудников, соблюдение политик ИБ, соответствие внешним стандартам и требованиям регулирующих актов.

В свете закона «О персональных данных»

С января 2008 года в связи с появлением закона «О персональных данных» в жизни многих компаний наступят перемены. Во-первых, в соответствии со статьей 20 этого закона компания, оперирующая персональными данными, обязана уведомить Россвязьохранкультуру о том, что она является таковым оператором. Далее все зависит от того, к какому классу относится информационная система (ИС), в которой оператор обрабатывает данные, а также от их категории. В частности, ИС первого и второго класса должна быть сертифицирована по требованиям безопасности, а оператор при этом должен иметь лицензию ФСТЭК на осуществление деятельности по технической защите информации. «В принципе это вполне разумные требования с государственной точки зрения, — комментирует Алексей Сабанов, коммерческий директор компании Aladdin Software Security R.D. — ФСТЭК контролирует применение технических средств защиты информации (кроме криптографии), ФСБ контролирует правильность разработки, применения, распространения и обслуживания криптографических преобразований информации, Минсвязи нормирует и контролирует корректность передачи информации по каналам связи».

Сергей Будыкин, советник директора по специальным работам компании «Оптима-интеграция» (ГК «Оптима»), придерживается более осторожной точки зрения: «Сейчас еще рано говорить о типовых изменениях, ведь создание нормативной базы не завершено. На данный момент выпущено всего три документа, имеющих отношение к исполнению закона “О персональных данных”. В принципе из них уже можно понять, как будет исполняться этот закон. Обозначаются сроки, в которые организация должна заявить о себе в качестве оператора персональных данных. Определена процедура включения организации в реестр таких операторов. Очевидно, что ответственность, связанную с накоплением, обработкой, хранением и передачей данных, в основном будет нести оператор. Вместе с тем опубликованные материалы говорят лишь о методических вопросах защиты информационных систем, но не заявляют конкретных требований».

Понятно, что в компаниях должны быть проведены некие организационные изменения для работы с персональными данными сотрудников и клиентов, как-то изменятся и нормативные документы предприятий. «Скорее всего разумные руководители уберут из баз данных о своих сотрудниках все лишнее, так проще удовлетворить требования закона, особенно по первой категории, — говорит Алексей Сабанов. — Там, где нельзя отказаться от использования этих данных, будут применяться повышенные меры защиты в соответствии с требованиями закона. В подавляющем большинстве предприятий в трудовых договорах и контрактах о приеме на работу в скором времени “на всякий случай” может появиться дополнительный пункт о том, что работник “не возражает” против хранения и обработки его персональных данных в кадровой системе».

«Документы кадровых служб могут быть дополнены специальными пунктами, предполагающими письменное разрешение владельца персональных данных на их занесение в информационную систему и обработку техническими средствами, — считает Сергей Будыкин. — В целом изменения будут незначительными, поскольку деятельность кадровых служб четко регламентирована, а вопросам обеспечения безопасности информационных систем предприятий и сохранности бумажных архивов уделялось соответствующее внимание и до появления закона». Что касается изменений на уровне программных продуктов, то советы экспертов таковы: «Подавляющая доля информации (в том числе и адресная база Microsoft Outlook на рабочих местах) может быть отнесена владельцем к четвёртой категории, защита которой производится на усмотрение оператора, — полагает Алексей Сабанов. — Правильная трактовка закона может не потребовать от мелких и средних компаний существенных вложений в информационную безопасность. Крупным и средним операторам предстоит потрудиться, а подчас и существенно потратиться. Для защиты данных необходимо разделить и защитить доступ пользователей; применять механизмы строгой аутентификации для персонификации действий тех, кто имеет доступ к данным; шифровать критические разделы базы данных, а иногда и всю базу; иметь надежный аудит».

«Но сначала надо взглянуть на проблему с другой стороны, — советует Сергей Будыкин. — Создание любой информационной системы в защищенном исполнении предполагает разработку модели угроз, на основе которой определяется класс защищенности системы. Конфиденциальность передачи данных в общем случае обеспечивается использованием средств криптографической защиты информации и механизма электронной цифровой подписи».