Работаем без опасностей
Экспертное мнение Максима Чиркова, руководителя направления развития сервисов ЭП компании "Аладдин Р.Д."
- Есть ли конфликт интересов ИБ и прочих служб ИТ? Если да, то как его решать?
- Есть стандартные организационно-технические и режимные меры и методы политики ИБ. А какие нестандартные меры вы могли бы рекомендовать?
- Произошло ЧП (утечка, DDоS-атака и т.д.). Чьими силами должны устраняться его последствия?
- Служба ИТ на аутсорсинге. Как в таком случае реализуются задачи ИБ?
- Новые каналы утечек – справляются ли с ними современные системы ИБ? Можете ли вы их назвать?
- Достаточна ли законодательная и нормативно-правовая база в РФ? Какие тонкости не прописаны в законодательных и подзаконных актах? Что, по-вашему, следует изменить, что добавить или убрать?
- Какая часть финансирования ИТ в целом, по вашему мнению, должна расходоваться на ИБ (%)?
Андрей Степаненко, эксперт компании "Код Безопасности"
1. Да, конфликт есть практически во всех компаниях. Выходов из ситуации много, каждый из вариантов имеет свои плюсы и минусы. По моему мнению, самый действенный – назначение общего куратора для ИТ и ИБ от руководства компании, который будет обладать достаточными полномочиями и следить за соблюдением баланса интересов.
2. Наша самая дорогая информация относится к ноу-хау в разработках. В этой области самым эффективным вариантом защиты является соблюдение баланса между доступными и скрытыми знаниями, когда кража исходных кодов не может привести к простому копированию наших технологий.
3. Всё зависит от типа ЧП, но в реагировании и устранении последствий могут принимать участие почти все подразделения компании, не только ИБ и ИТ, но и юристы, службы безопасности и другие. Если система реагирования на инциденты спроектирована грамотно, то такие цепочки прописываются ещё на этапе её проектирования для всех возможных типов инцидентов, а затем отрабатываются на тестовых примерах.
6. Нынешнее регулирование мало соотносится с бизнес-потребностями. В результате – массовое внедрение "бумажной" безопасности, как это сейчас происходит, например, с защитой ПДн. В этом смысле показательна американская практика, где разработка отраслевых рекомендаций, максимально адаптированных к специфике деятельности, поставлена на поток.
7. Затраты на ИБ очень сильно зависят от конкретных условий и целей.
Сергей Яремчук, специалист по ИБ, член Экспертного совета журнала "Системный администратор"
1. Любая защитная мера – это всегда компромисс между удобством работы пользователя и снижением рисков для бизнеса, приходится искать золотую середину. Но ИБ в большинстве своем имеет непосредственное отношение и к ИТ (и даже совмещают должности), а поэтому говорить о конфликте интересов не приходится, они решают одну задачу и должны постоянно взаимодействовать.
2. Используются, в общем, стандартные методы. Обычно большая проблема убедить сотрудников, что нужно делать именно так, чтобы минимизировать риски. Пользователю нет никакого дела до рисков, переучиваться он тоже не хочет, а нередко даже саботирует указания. Вот здесь и приходится искать методы, чтобы сотрудник сам захотел работать по-новому.
3. Вопрос неоднозначный, но на каждый случай должен быть чёткий план действий. Если DDоS-атака, то для отражения достаточно взаимодействия ИТ и провайдера. Чтобы разобраться с последствиями, может потребоваться согласие руководства на дополнительное финансирование. С утечкой придётся разбираться большему числу сотрудников.
4. Иногда в таком случае они даже упрощаются. Переходу на аутсорсинг обычно предшествует аудит, по результатам которого разрабатываются новые политики безопасности, а все основные моменты отражаются в договоре. С учётом дефицита кадров сейчас не считается чем-то страшным передача на аутсорсинг и ИБ. Специалисты могут лучше оценить ситуацию и внести коррективы, а, следовательно, уменьшаются риски.
5. Все новые каналы – это почти забытые старые. Разнообразие систем ИБ позволяет перекрыть практически все возможные каналы, но наибольший эффект при меньших вложениях и усилиях даёт обучение сотрудников.
7. ИБ финансируется хорошо в случае обнаружения инцидентов, в остальное время приходится доказывать целесообразность действий. Современные средства ИБ позволяют достичь высокого уровня безопасности, но и затраты будут немалыми. В зависимости от размера организации и рода деятельности (а значит, и рисков) цифра может быть в пределах 15-30%
Максим Чирков, руководитель направления по развитию сервисов ЭП компании "Аладдин Р.Д."
1. Интересы служб ИТ и ИБ заметно различаются и конфликты нередки. На характер взаимоотношений влияет организационная структура – находится ли служба ИБ в подчинении ИТ, или она выделена в самостоятельное подразделение. Один из распространённых конфликтов – нежелание служб взаимодействовать друг с другом. Для разрешения ситуации целесообразно утвердить на уровне руководителя компании регламент взаимодействия и сферы ответственности. Диалог и здоровая конкуренция между ИБ и ИТ очень важны, ведь только в этом случае возможно оперативное решение общих задач по созданию безопасных и эффективных информационных систем для бизнеса.
2. "Аладдин Р.Д.", являясь производителем средств защиты информации, регулярно предлагает рынку новые, в том числе нестандартные, решения. Несомненно, перед выпуском нового продукта или технологии они проходят "обкатку" внутри компании. Тем не менее для обеспечения ИБ своей организации мы в основном опираемся на лучшие мировые практики и проверенные решения.
3. В зависимости от характера ЧП должны привлекаться профильные департаменты, например, юридический – в случае расследования инцидентов утечек. Если же оставаться в плоскости вопросов ИТ и ИБ, то распределение ответственности при подобном сценарии находится на стыке данных служб. И это очень сложный момент. В итоге только строго регламентированная совместная работа по устранению последствий может минимизировать потери и не допустить инцидентов в будущем.
4. С одной стороны, в договоре с сопровождающей ИТ-компанией можно предусмотреть требования и "прописать" ответственность в случае нарушения политик ИБ. С другой, достаточно трудно контролировать технически внешние ИТ-службы. Если говорить об утечках, то на рынке уже существуют продукты, позволяющие в ряде сценариев безболезненно отдавать на ИТ-аутсорсинг свои информационные системы без риска потери данных, так как они находятся в зашифрованном виде, например, "КриптоБД". При этом управление доступом к данным остается в ведении внутренней службы ИБ.
7. Бытует мнение, что финансирование ИБ должно составлять порядка 10% от общих затрат на ИТ. Однако с этим сложно согласиться. В идеале это малосвязанные бюджеты, и затраты на ИБ должны быть достаточными для минимизации допустимого уровня вероятности актуальных угроз.
Вячеслав Медведев, ведущий аналитик отдела развития компании "Доктор Веб"
1. Конфликт вызван неопределённостью роли ИБ-специалистов в организации. Чем должны заниматься сисадмины, начальству, как правило, более-менее ясно, но вот отличие сисадминов от безопасников понимается не всегда. А ещё чаще их роли в глазах топ-менеджеров тождественны по функциональности. Иногда встречаются ситуации, когда сисадмины и безопасники делят зоны ответственности. Скажем, вторые заведуют шлюзами компании, а первые отвечают за всё остальное. Признать такую ситуацию нормальной нельзя. Её осложняет раздражение сисадминов по поводу "руководящей роли" безопасников: "Нам тут науказывали, а как это должно работать, отвечать уже нам". Это конфликт изжить не удастся никогда: любые ограничения – это и дополнительная работа, и недовольство пользователей ограничениями, которое выплескивается на исполнителей.
На это накладывается проблема неосведомленности всех ИТ-специалистов об уровне современных угроз. По данным HP Enterprise Security, порядка 94% (почти 100%) угроз ИБ не известны компаниям. На рынке отсутствует полноценная и постоянно обновляемая аналитика – дайджест угроз. В результате и для безопасников, и для сисадминов является открытием то, что система защиты бессильна перед современными угрозами.
Как минимизировать противостояние? Только чётким структурированием. В компании должны быть люди, имеющие статус директора по безопасности и директора по ИТ (что, кстати, требуется и по нормативным актам). Все требования и нормы безопасности должны разрабатываться по инициативе отдела ИБ, но при участии отдела ИТ.
3. Отдел ИБ должен обеспечить обнаружение атаки, контролируя средства, ИТ-отдел должен обеспечить устранение последствий. Совместно они должны провести расследование и анализ инцидента. ИБ вместе с ИТ необходимо выработать меры по предотвращению подобных инцидентов в будущем, ИТ должен внедрить, ИБ принять в эксплуатацию. Естественно, пригодится и обучение сотрудников. Но все это можно чётко выполнить, только если заранее была выработана процедура действий на случай инцидента.
4. Во избежание разногласий все процедуры должны быть задокументированы и утверждены главами соответствующих подразделений. Задачи подразделений ИБ остаются теми же самыми, что и при собственном подразделении ИТ.
5. Вопрос должен стоять иначе: современные каналы утечек – справляются ли с ними подразделения ИБ и их конкретные специалисты? Ответ: нет, не справляются. По двум причинам. В малых компаниях нет денег на приобретение соответствующих средств, а также на содержание необходимого количества специалистов нужного уровня. Вторая причина – нет понимания, какие средства защиты нужно применять.
6. Любая нормативная документация не соответствует требованиям времени. Особенно в сфере ИТ и ИБ. Она от них отстаёт на время разработки этой документации.