Wikiadmin: Новая страница: «Как алмаз становится по-настоящему драгоценным бриллиантом только после огранки, так и...»

2019-11-29T20:48:46Z

Новая страница: «Как алмаз становится по-настоящему драгоценным бриллиантом только после огранки, так и...»

Новая страница

Как алмаз становится по-настоящему драгоценным бриллиантом только после огранки, так и деятельность профессионала по информационной безопасности блистает мастерством только после многолетней огранки и шлифовки граней профессии. В этой статье я попытаюсь поделиться опытом по нескольким ключевым аспектам профессии специалиста по информационной безопасности.

==Грань 1. Роль ИБ==

Прежде всего необходимо понять, что роль информационной безопасности в компании именно такова, какой ее воспринимает бизнес. Именно так, не больше и не меньше. При этом представления о роли, целях и задачах ИБ могут быть самыми разными – от установки антивируса до поддержки выработки стратегии бизнеса. При прочих равных эффективность ИБ в компании тем выше, чем шире охват роли ИБ в ее деятельности. Специалист по ИБ оперирует и стремится расширять четыре ключевых направления деятельности:

Знание (все активы, ИТ-инфраструктура, бизнес-процессы и т. п.).
Контроль (состояние защищенности, изменения, каналы передачи информации и т. п.).
Защита (конфиденциальность, информационные активы, ИТ-инфраструктура, репутация и т. п.).
Влияние (на ИТ-инфраструктуру, планы развития, принимаемые решения, позицию руководства).
Сразу оговорюсь: указанные направления никогда не будут охвачены в достаточной степени. Уровень охвата зависит и от специалиста по ИБ, и от руководства, и от массы других факторов. Никогда бизнес не будет в полной мере доволен направлением ИБ, и наоборот. Это нужно принять как данность. Большинству специалистов по ИБ не удается добиться той роли, которую они считают достаточной.

==Грань 2. Взаимоотношения с бизнесом==

Прежде всего при построении системы обеспечения информационной безопасности (СОИБ) и системы менеджмента информационной безопасности (СМИБ) важно понимать, что владельцы бизнеса и топ-менеджмент мыслят своими понятиями и категориями, а ИБ своими. Если этого не уяснить, можно породить конфликты, способные свести на нет поставленные цели. По сути вам придется вникать в потребности всех участников бизнес-процессов, интерпретировать понятия, цели, задачи и, возможно, заблуждения бизнеса для решения задач информационной безопасности. В процесс такой интерпретации необходимо вплетать цели информационной безопасности, и эта работа требует большого терпения и дипломатии. Важно помнить, что демонстрация договороспособности ценнее демонстрации правоты.

==Грань 3. Современный облик службы безопасности==

Современное представление подразумевает наличие трех направлений безопасности в компании: экономической, физической и информационной. Часто подразделение включает в себя директора по безопасности (CSO) и менеджеров по каждому из направлений. Забудьте про CISO! Взаимодействием с директорами и владельцами компании будет заниматься CSO, а вы будете взаимодействовать с CSO и руководителями департаментов в той степени и на том уровне, который воспринимается бизнесом.

При построении СМИБ в холдинге или группе компаний необходимо сформировать роли в отдельных юридических лицах, с которыми будет производиться взаимодействие по вопросам ИТ и ИБ. Часто эти роли представлены одним человеком.

==Грань 4. Взаимоотношения с ИТ==

Современный облик взаимоотношений с департаментом ИТ обусловлен как объективными, так и субъективными факторами.

К объективным относится эволюция технической составляющей систем защиты информации. За последние 10-15 лет чаша весов склонилась от преобладания навесных средств защиты к встроенным в информационные системы и платформы механизмам контроля и защиты. И если 15 лет назад подразделения ИБ и ИТ обслуживали преимущественно собственные средства и системы, конкурировали и состязались в полномочиях и бюджетах, то теперь у них общие информационные системы. Исключение составляют инфраструктурные сетевые и специализированные системы защиты. В новой парадигме куда сложнее подготовить специалиста по ИБ, который досконально знает все особенности используемых прикладных информационных систем, чем натаскать инженера по прикладным системам по вопросам ИБ и координировать его работу.

К субъективным можно отнести особенности менеджмента компании, человеческий фактор и восприятие роли ИБ руководством компании и владельцами бизнеса.

Все эти факторы определяют новый облик службы ИБ: координирующие, управляющие функции и комплайнс обеспечивает менеджер по ИБ в связке с руководством ИТ-департамента, а эксплуатацией и выполнением требований занимаются специалисты ИТ-подразделений. Исключение составляют специализированные системы контроля и защиты.

==Грань 5. Угрозы и уязвимости==

Всем, кто занимается информационной безопасностью, необходимо понять, что не существует никаких угроз информационной безопасности. Существуют только угрозы бизнесу. И работать необходимо исходя из этих реалий. Это помогает понимать роль информационной безопасности для бизнеса, а не тратить силы на доказывание владельцам бизнеса своей роли. Всякий раз вам необходимо связать обнаруженную или вероятную уязвимость с какой-то угрозой, которую, в свою очередь, связать с угрозой бизнесу.

Когда вы поймете, какие угрозы бизнесу воспринимаются как актуальные, вы сможете попробовать построить обратную цепочку – от уязвимостей к актуальным угрозам. Помните: формировать мнение бизнеса об актуальности тех или иных угроз – непростая задача.

==Грань 6. Риски==

C рисками та же история, что и с угрозами. Существуют только те риски, которые воспринимает бизнес. Других просто не существует! Начинающие специалисты по информационной безопасности часто упоминают троицу: конфиденциальность, целостность, доступность. Со временем для многих становится очевидным, что их обучали обеспечивать прежде всего конфиденциальность, но на практике требуется обеспечивать непрерывность бизнес-процессов и устойчивость функционирования информационных систем.

Оценка рисков приводит к тому, что обеспечение конфиденциальности необходимо только для очень узкого круга информации. Например, финансовой, тендерной и т. п. Если компания разрабатывает ПО, то ей куда страшнее потерять исходные тексты, документацию и базы, нежели они будут украдены!

При всем разнообразии методов оценки рисков все количественные оценки разбиваются либо о расчетные формулы, в которых решающее значение имеет субъективный «корректирующий коэффициент», либо о необходимость сбора массы данных от производственных, финансовых и управляющих подразделений. Попробуйте обеспечить такой сбор данных, их достоверность и т. п. Вы столкнетесь с жестким противодействием и прослывете негодяем, который «всех достал и заставляет выполнять массу никому не нужной работы».

Качественная оценка рисков часто проводится раньше, чем количественная. На ее результаты и особенно оценку этих результатов сильно влияет мнение руководства. После проведения качественной оценки попробуйте предоставить результаты количественной, отличные от принятых ранее.

==Грань 7. Средства и системы защиты информации==

Прежде всего необходимо классифицировать средства и системы защиты информации. Все они, помогающие обеспечить информационную безопасность, можно разделить на четыре класса как по степени первоочередности применения, так и по влиянию на аспекты безопасности:

Системы и средства, обеспечивающие базовые механизмы защиты, формирующие «периметр» и функционирующие на нем. Данный класс обеспечивает выполнение правила: все информационные технологии, включенные в периметр, могут делать что угодно, находиться в любом состоянии внутри периметра, но влияние на них извне и влияние их вовне контролируется. К таким системам и средствам можно отнести межсетевые экраны, защищенные шлюзы и прокси, антиспам, антивирусы на периметре и т. п.
Системы и средства, обеспечивающие базовые механизмы защиты внутри периметра на системном уровне (средства AD, антивирусы, средства архивирования, встроенные механизмы ИС и т. п.).
Системы и средства, выполняющие свои функции на прикладном уровне (DLP, IPS, WAF, SIEM, IDS и т. п.).
Системы и средства поддержки системы менеджмента информационной безопасности. Сюда можно отнести системы автоматизации менеджмента рисков, построения моделей, аналитические системы, системы отчетности и т. п.
Тут важно понимать, что очередность внедрения тоже идет от первого к четвертому классу. Любая система автоматизирует одно из указанных выше направлений.

При выборе средств и систем защиты обращайте внимание не на те, которые кажутся лучшими на момент выбора, а на те, которые долго держатся среди лучших и есть уверенность, что они будут стабильно развиваться и оставаться в лидерах. Опыт показывает, что продукт-лидер в той или иной области – событие временное. Сегодня он впереди, а завтра разработчик или прекратил его поддержку продукта, или обанкротился, или его купил другой вендор, или… И не забывайте, все системы содержат уязвимости и недокументированные возможности/недостатки. Часто о них не знают даже поставщики.

При оценке стоимости важно помнить, что система защиты стоит ровно столько, насколько ее используют. Если вы уверены, что сможете эффективно использовать 20% функций системы – попробуйте договориться о снижении цены или рассмотрите другие средства. Часть функций обеспечивается лицензиями – не набирайте в корзину все сразу. И помните: каким бы красивым ни представлялось средство в презентации вендора или поставщика, любое коробочное решение через какое-то время становится ландшафтным. И еще помните, что руководству не нравится увеличение бюджета на информационную безопасность – но уменьшение бюджета вызывает еще больше вопросов.

==Грань 8. Вендоры и интеграторы==

С производителями средств и систем защиты информации нужно дружить. Лучше всего наладить общение непосредственно с разработчиками – им очень часто не хватает прямых контактов с потребителями. В этом случае всегда можно организовать бартер: вы предоставляете им площадку для пилота, формулируете потребности в функционале систем, а от них получаете продукт, заточенный под ваши потребности. По этой же причине старайтесь приобретать средства и системы непосредственно у производителя или, если это не предусмотрено жесткой политикой вендора, и всегда советуйтесь с вендором при выборе поставщика.

Не могу рассказать, как осуществляются продажи средств и систем защиты информации (зато знаю, к кому обращаться за советом), но приобретение редко происходит без опроса друзей и знакомых по отрасли. Часто совет коллеги имеет определяющее значение по отношению к маркетингу производителей или поставщиков. Нужно отметить, что за последние годы в отрасли сформировалось некое доверительное сообщество специалистов, которое оказывает значительное влияние на выбор тех или иных средств, систем и услуг. Формирование репутации в этом сообществе очень важно не только для специалистов, но для всех участников отрасли ИБ.

==Грань 9. Стандарты и требования регуляторов==

Стандарты, требования, рекомендации, лучшие практики… Их внедрение и применение всегда проводится через призму конкретных условий применения и тщательную адаптацию к реальным условиям. Какими бы строгими ни были требования, они никогда не смогут учесть всех тонкостей и особенностей каждой компании.

При формировании СМИБ и СОИБ важно не ударяться в крайности. Те, кто знает, до каких состояний на предприятиях доводят системы менеджмента качества, поймут меня. Формируйте документы, которые будут применяться. Всегда смело адаптируйте стандарты и рекомендации к особенностям вашей компании. Просите у друзей и коллег поделиться их наработками и делитесь с ними сами!

==Грань 10. Интерпретация==

Каждый сотрудник на своей позиции в компании видит только часть общего. Нет человека, который видит всё. Это относится к любым процессам и активам компании. По сути, любая информационная система или процесс отражается частично в различных видах деятельности. Бухгалтер видит вашу систему в финансовой плоскости, администратор системного отдела департамента ИТ – в технической, пользователь ИС – в прикладной, специалист, отвечающий за сетевую инфраструктуру, – в виде используемых узлов, адресов и каналов, а потребитель отчетов вообще про нее ничего не слышал.

Проблемы использования всех информационных систем, ИТ- и сетевой инфраструктур также воспринимаются по-разному. Это необходимо учитывать. Поскольку специалистам по ИБ часто приходится иметь дело с проблемами, а точнее, с людьми, воспринимающими эти проблемы по-своему, то и решения этих проблем лежат на всех уровнях восприятия. Как я уже указывал выше, вам придется интерпретировать и вплетать вопросы ИБ во все бизнес-процессы компании. Хочу пожелать вам удачи в этом непростом деле.

==Грань 11. Учет и контроль==

Есть мнение, что защитить канал или систему куда проще, чем их контролировать. И это действительно так. С точки зрения информационной безопасности порядок задач по отношению к защищаемой инфраструктуре должен быть следующий: знать предмет, контролировать предмет, защищать предмет, влиять на предмет или его состояние.

Контроль ИТ-инфраструктуры помогает накапливать такой уровень знаний, который позволит формировать очевидные решения по защите. Необходимо отметить, что в половине случаев решения по изменению архитектуры, порядку взаимодействия или применению конкретной информационной системы влияют на защищенность информации больше, нежели закупка и внедрение дополнительных дорогостоящих средств защиты.

==Грань 12. Аутсорсинг==

Старайтесь переводить на аутсорсинг все инфраструктурные проекты и информационные системы. Причина – просто дешевле! Вы можете взять в штат специалистов, но соотношение полезной нагрузки и фонда оплаты труда вряд ли окажется эффективным. Компании же, занятые обслуживанием, как правило, обладают классными инженерами и большим опытом обслуживания систем, подобных вашим. К тому же уволить своего сотрудника сложнее, чем приостановить действие договора на обслуживание. А в некоторых случаях вы сможете отказаться от прямой технической поддержки вендора и воспользоваться правами и средствами аудита и мониторинга нанятой компании соответствующего профиля.

Конечно, речь не идет о специальных системах, которые должны эксплуатироваться собственными специалистами по ИБ. А вот обслуживание таких систем тоже можно передать на аутсорсинг.

==Грань 13. Это вы сами==

Роль личности во всех сферах деятельности очень высока. Какие бы технические средства ни применялись, они не могут функционировать самостоятельно, без специалистов, и не способны охватить все направления бизнеса компании. Эффективность защиты зависит прежде всего от человека, и заменить специалиста по информационной безопасности попросту нечем! Необходимо формировать репутацию и демонстрировать доверие в компании и отрасли.

Тринадцать граней профессии ИБ - История изменений

Wikiadmin: Новая страница: «Как алмаз становится по-настоящему драгоценным бриллиантом только после огранки, так и...»