Создание отдела информационной безопасности

Практический опыт показывает, что для результативного и эффективного решения проблем информационной безопасности необходимо создавать соответствующее самостоятельное подразделение. Попытки решить проблему иным способом позволяют в лучшем случае добиться успеха частично. Вместе с тем стоит помнить, что не бизнес существует ради безопасности, а безопасность существует ради бизнеса.

В наше время трудно кого-либо удивить происшествиями в области информационной безопасности. Все чаще мы сталкиваемся с различными угрозами в этой области. Практически каждый день приносит все новые и новые сведения об атаках хакеров (заметим, только что обнаруженных и нередко успешных), вирусных эпидемиях, атаках со стороны обиженных сотрудников. Именно последние становятся наибольшей угрозой в различных организациях.

Картина вырисовывается безрадостная, а выход состоит в создании хорошо подготовленного подразделения - службы защиты информации, или, как ее еще называют, службы компьютерной безопасности.

Казалось бы, можно возложить эти задачи на системного администратора или в крайнем случае создать отдельную единицу - администратора информационной безопасности в составе ИТ-подразделений.

Допустим, вы решили выбрать один из этих двух вариантов. Давайте рассмотрим, к чему же это приведет.

В первом случае системный администратор, фыркнув про себя, повернется и уйдет, думая, что он и так занимается вопросами информационной безопасности. Но у него и без того масса работы, а следовательно, либо задачи по защите информации будут выполняться в последнюю очередь, либо качество остальной работы заведомо ухудшится. Кроме того, системный администратор, в силу своего подхода к решению подобных задач, постарается решить ее исключительно техническими методами. И это приведет к тому, что задача решена не будет, так как информационная безопасность - это комплекс организационно-технических мер, и одних лишь технических методов решения здесь недостаточно.

Второй вариант лучше предыдущего, но не намного. В этом случае финансирование защиты информации будет осуществляться по остаточному принципу. Будет ли руководство фирмы прислушиваться к мнению какого-то там администратора информационной безопасности? Тем более если мнение последнего будет противоречить мнению начальника службы ИТ? А ведь любое предположение администратора информационной безопасности будет "портить жизнь" персоналу ИТ-службы. Как вы думаете, долго ли начальник ИТ-службы будет терпеть самостоятельного администратора информационной безопасности?

Служба информационной безопасности должна быть самостоятельным подразделением и подчиняться напрямую первому лицу в организации.

"Люди, ведающие воротами, оружием и охраной, зачастую действуют автономно от сотрудников, занимающихся ИТ, - комментирует Крис Кристиансен, аналитик IDC. - Необходимо, однако, иметь информацию о том, кто был в здании, куда пошел, к каким информационным системам мог получить доступ. Две службы, отвечающие за безопасность, должны работать скоординированно, и тогда каждая из них станет сильнее". Наверное, в будущем мы увидим объединение служб физической и информационной безопасности, однако, на мой взгляд, это эволюционный процесс и на данном этапе еще довольно сложно найти людей, которые были бы специалистами в обоих вопросах.

В большинстве случаев специалисты в области информационной безопасности ничего не понимают в безопасности физической, и наоборот, поэтому насильственное слияние двух подразделений будет только мешать работе. Печальные свидетельства тому имеются в изобилии. При подчинении одной службы другой на подчиненной будут просто экономить. Зачем оплачивать то, чего не понимаешь! Мой практический опыт показал, что на данном этапе эти службы должны работать в тесном сотрудничестве, но не быть во взаимном подчинении.

Вместе с тем стоит помнить, что не бизнес существует ради безопасности, а безопасность существует ради бизнеса! На предприятии должна быть создана устойчивая "треугольная" структура - "аудит - служба защиты информации - ИТ-служба". Необходимо четко определить границы ответственности, чтобы служба информационной безопасности не превратилась в неподвластного никому, контролирующего все монстра.

Как только речь заходит о средствах защиты информации, все сразу вспоминают межсетевые экраны и антивирусные программы, но это не панацея. Какое бы приложение вы ни купили, потребуется человек, который будет его обслуживать. Нет ничего хуже, чем великолепное антивирусное программное обеспечение, которое содержит старые антивирусные базы. Руководство уверено, что антивирусная защита существует, но ввиду быстрого устаревания антивирусных баз его ценность равна нулю. То же касается и межсетевых экранов.

Нетрудно подсчитать, что содержание службы информационной безопасности из трех человек (минимальный состав отдела информационной безопасности - начальник, аналитик и администратор ИБ) обойдется компании намного дешевле возможных убытков. Следует смириться с тем, что данный отдел никогда не будет приносить явную прибыль, однако его назначение - уменьшить возможные убытки.

По сравнению с физической безопасностью, информационная находится еще на начальной стадии развития, образно говоря, в младенчестве. Она ориентирована на киберпространство, где все должно быть определено только при помощи нулей и единиц. Это приводит к непониманию со стороны руководства необходимости различных мер защиты. Чтобы обосновать приобретение соответствующих технических и программных средств, необходимо объяснить их назначение простым и понятным руководству языком.


Специалисты, где вы?

Существует два пути создания службы информационной безопасности. Первый - создание отдела информационной безопасности за счет подготовки, реорганизации и перераспределения ИТ-специалистов. Для отражения вирусной атаки можно привлечь собственных программистов, но в этом случае их основная работа окажется невыполненной. И неизвестно, что обойдется дешевле - набрать новый отдел или дергать своих сотрудников. "Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них. Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак", - говорит Девид Соул, исполнительный вице-директор и директор информационной службы страховой компании Zurich North America.

На практике трудно оценить урон, который может быть нанесен в результате хакерских атак. Можно оценить ущерб от вирусной атаки или от потери информации. Но как подсчитать ущерб, нанесенный репутации организации? Как правильно оценить ущерб от недополученной прибыли? Многие, и автор этой статьи в их числе, считают, что нельзя отвлекать ИТ-персонал от их прямых обязанностей для решения задач безопасности, потому что решение бизнес-задач отодвинет задачи обеспечения безопасности на задний план. Ведь основное дело компании - получать прибыль, а не обеспечить собственную безопасность.

Поиск талантливых профессионалов по безопасности может быть весьма трудным, а переподготовка имеющихся кадров в области ИТ и новичков в области безопасности - долгой и дорогостоящей. Возможен еще один вариант - привлечение внешних компаний для решения проблем безопасности. Но в этом случае вы должны будете избрать ту компанию, которой вы готовы доверить все свои секреты.

Менеджеры, ведущие поиск талантливых, опытных специалистов по безопасности, знают, что их не так много. Разрыв между спросом и предложением на таких специалистов очень велик.


Рекомендации по подбору персонала

  • Вам нужно понять, для чего вы нанимаете специалиста. Ни один уважающий себя профессионал в области безопасности не захочет работать в компании, которая не понимает, для чего его нанимают.
  • Будьте готовы к тому, что квалифицированная помощь стоит дорого.
  • Индустрия безопасности - очень закрытая область, поэтому стоит заранее обратить внимание на специалистов из секретных служб, армии.
    Университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов.
  • Можно искать специалистов в компаниях, предоставляющих услуги по безопасности.

Если вы по тем или иным причинам не желаете или не можете искать специалистов на стороне - обратите внимание на собственный персонал. Перед вами обязательно встанут вопросы отбора кандидатов и их обучения. Наиболее подходящие кандидаты - сетевые администраторы. Они обладают хорошими техническими знаниями и некоторым представлением о решении проблем безопасности. Кандидаты для переподготовки должны быть добровольцами. Нельзя заставить заниматься безопасностью "из-под палки". При отборе кандидатов обращайте внимание на наличие навыков межличностного общения. Основное в работе сотрудника информационной безопасности - умение общаться с людьми. Эта работа связана не только и не столько с техникой и технологиями, сколько с умением говорить с людьми, заниматься организационными вопросами, писать документы и даже быть немного психологом! Кроме того, если человек занимается безопасностью, то он должен понимать, что на этой работе друзей у него нет! Ведь ему всегда нужно понимать, что предают только свои!

ИТ-специалисты и значительная часть ИТ-руководителей нередко воспринимают ИТ как привлекательную дорогую игрушку, которую хочется "потрогать", изучить, проверить на прочность и т. п. Проблемы предприятия, в том числе проблемы информационной безопасности, этих людей волнуют в той степени, в какой позволяют приобретать эти самые игрушки за деньги предприятия.

Чтобы ИТ-инженеры стали специалистами по информационной безопасности, должны измениться акценты их сознания. Им следует не развлекаться с ИТ-игрушками, а защищать предприятие. Вероятно, это самое сложное - научить людей мышлению охранников, защитников рубежей своего предприятия или организации. Это все равно что из разгильдяев мальчишек сделать солдат и офицеров - защитников Отечества.

Итак, вы набрали кандидатов в подразделение. Чему их следует учить?

В учебную программу должны входить:

  • теоретические и методологические основы защиты информации;
  • правовые основы защиты информации;
  • основы криптографии;
  • основы сетевой информационной безопасности;
  • аудит информационной безопасности;
  • создание организационных документов в области защиты информации (политика безопасности, правила при работе в Internet, правила работы с электронной почтой, политика аутентификации и пр.).

Вы скажете, что это слишком много. Можно обойтись лишь антивирусными программами, файерволами, системами обнаружения вторжений и т. д.

На самом деле, нет. Попробуем продемонстрировать это на примере использования электронной почты.

Предположим, ваш сотрудник систематически передает информацию конкурентам посредством электронной почты. Что вы можете сделать, если обнаружили это? Оказывается - ничего! Если вы начнете проверять его почту (организационных документов у вас в фирме нет, напомню), то сразу возникнет вопрос - что нарушил ваш сотрудник? Положение о коммерческой тайне? Так его нет. Положение о недопустимости отсылки подобных документов через Internet? А каких подобных? Кроме того, ведь вы сами нарушаете Конституцию, в частности ее главы о личной переписке. Пока не принят документ о том, что вся переписка принадлежит фирме, по закону она - личная! Итак, я надеюсь, вы поняли, что без юридически значимых документов вы не сможете привлечь к ответственности вашего сотрудника. Мало того, еще и вас могут привлечь к суду.

Предположим, что вы создали подразделение, нашли хороших работников, теперь вы должны их удержать. Инструменты, признание значимости и высокий уровень оплаты - вот основные факторы успеха.

Инструменты. Профессионалы, работающие в области информационной безопасности, стремятся стать профессионалами с большой буквы, асами своего дела, специалистами на вершине пирамиды. Использование самых новых инструментов и технологий позволит им чувствовать себя на передовых рубежах своей профессии. Если вы обладаете разнообразной информационной средой, не забудьте сказать им об этом. Среди самых желанных "игрушек" для специалистов по безопасности можно назвать Nessus, LAN Guard, XSpider (сканеры сетевой безопасности), Snort (инструментарий обнаружения атак), RAT (Router Analysis Tool, системный тестер маршрутизаторов).

Признание значимости. Для привлечения кандидатов в качестве дополнительных стимулов предложите им оплату переподготовки, сертификации и участия в конференциях. Несмотря на то что большинство экспертов в области информационной безопасности считают, что сертификация не столь необходима, как навыки и опыт, наличие сертификата по окончании курсов поднимает их престиж в глазах учащихся и заставляет относиться серьезнее к процессу обучения. Такие производители инструментов по безопасности, как Symantec, Cisco Systems и Check Point Software Technologies, представляют собственные курсы подготовки по своим продуктам. Но такие курсы стоят очень дорого. Специалисты по безопасности "расцветают" от признания заслуг. Они могут потерять интерес к работе, если не чувствуют поддержку руководства. Это, конечно, справедливо для любой категории работающих, но специалисты этого профиля имеют самый широкий доступ ко всем вашим секретам. Поэтому в спорах между сотрудниками ИТ и сотрудниками ИТ-безопасности необходимо находить золотую середину (безопасность не мешает бизнесу, бизнес не мешает безопасности). Однако следует помнить о разумной достаточности безопасности. Если ваши секреты стоят 10 тыс. долл., то неразумно покупать систему безопасности за 100 тыс. долл.

Высокий уровень оплаты. Это основной инструмент признания. Не забывайте, что зарплата специалиста по безопасности должна быть на высоком уровне.

Необходимо, чтобы ваши сотрудники регулярно отслеживали угрозы с помощью таких ресурсов, как www.securitylab.ru (Россия), www.bezpeka.com (Украина), www.bugtraq.ru (Россия) и многих-многих других.

Безусловно, ни одна из указанных мер вам не поможет, если ваши специалисты в области ИТ не понимают необходимости введения мер безопасности.

Вместе с тем хотелось бы предостеречь сотрудников отделов информационной безопасности от опасности "задрать нос" и мыслей о том, что их будут бояться из-за статуса, а значит, будут слушать и уважать. Решающую роль в обеспечении безопасности будет решать их реальный авторитет как специалистов в своей области, а не статус и тем более не страх! Для успеха необходимо полноценное взаимодействие со всеми сотрудниками фирмы. Реально информационной безопасностью на фирме занимаются все! Служба ИБ - только контролирует, обучает и управляет усилиями пользователей, от уборщицы до директора. Первой и главной задачей сотрудников службы является умение зарабатывать реальный авторитет не статусом, не словами, а делами.

Владимир БЕЗМАЛЫЙ,
специалист по обеспечению безопасности,
MVP Consumer Security, Microsoft Security, Trusted Advisor

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

может securitylab.ru правильно (а не security-lab.ru)?

Аватар пользователя Al

Все советы абсолютно неприменимы с моей реализованной практикой. А потому я считаю их неправильными. Возможно, они справедливы для какой-то конкретной среды, или для большинства зарубежных компаний, но в моём конкретном случае всё организовано иначе, но тем не менее это работает.

Аватар пользователя savely

Ну, напиши (хотя бы наброском) как у тебя реализовано, посмотрим. Интересно. 

 

 

Аватар пользователя Al

Нет, это такое дело, что лучше не писать . Лично показать-рассказать - могу. А безопасность на то и безопасность, что она закрытая. Но всё реализовано в рамках отдела ИТ. Тут всё зависит от грамотности и политики руководства, а оно грамотное и умное. )))

Аватар пользователя Petro42

Не забывайте, что зарплата специалиста по безопасности должна быть на высоком уровне.

Не забывайте, что зарплата шофёра должна быть на высоком уровне... Не забывайте, что зарплата вахтёра должна быть на высоком уровне... Не забывайте, что зарплата программиста должна быть на высоком уровне... Не забывайте, что зарплата менеджера должна быть на высоком уровне... 

Не забывайте, ядрёна корень, что зарплата должна быть на высоком уровне! А иначе - дерьмовые дела будут у специалиста по безопасности, поскольку свои же всё спи..дят и продадут тому, кто даст больше...

Чертовски оторван автор от жизни и от народа в некоторых своих тезисах...

Аватар пользователя savely

>Нет, это такое дело, что лучше не писать .  

>Тут всё зависит от грамотности и политики руководства 

Тогда получается, что твоя схема неприменима в 95%. А наброски Влада - неприменимы только к тебе (ну, и еще к 5% "грамотных"). 

Проведу аналогию с шифрованием - все же знают КАК (алгоритм) шифрует ГОСТ или AES. Но от этого они хуже не становятся. А неизвестный проприетарный алгоритм может оказаться чем-то типа банального XOR... Просто тот, кто его писал - был не в курсе и взял за базу первую попавшуюся библиотеку без анализа.

Так же и скрытие структуры и задач службы ИБ не должно быть непременным условием ее работоспособности.  

 

Аватар пользователя mike

...Все же знают КАК (алгоритм) шифрует ГОСТ

Верно. Поляки уже сломали.

Аватар пользователя savely

Майк, а дай-ка ссылку нормальную, не на желтую прессу :)) 

Например 

https://www.pgpru.com/novosti/2011/soobschenijaovzlomeblochnogoshifragost2814789vrazgarusilijjpoegomezhdunarodnojjstandartizacii

Читаем:

Практический результат пока скромен: 2 в 64-ой известных открытых текста и 2 в 64-ой памяти для хранения пар "открытый текст/шифртекст" позволяют взломать ГОСТ в 2 в 8-ой быстрее, чем простой перебор. Но в плане криптоанализа это делает полностью справедливым утверждение о том, что "ГОСТ взломан".

P.S. Да и не по теме это. Или ты хотел какую-то аналогию провести? Тогда я ее не понял. 

 

Аватар пользователя mike

Или ты хотел какую-то аналогию провести? Тогда я ее не понял.

И правильно сделал. Это я так, сбодуна. Посткомандировочный синдром.

Аватар пользователя Al

"скрытие структуры и задач службы ИБ" - это как раз не секрет. Но то, КАК это реализовано - это безусловно закрытая информация. На мой взгляд, Владимир описывает типично западный случай, там всё очень узко специализировано. Когда я работал в этой системе, я сам с этим сталкивался.

Меня, например, ставят в тупик такие положения статьи:

"Предположим, ваш сотрудник систематически передает информацию конкурентам посредством электронной почты. Что вы можете сделать, если обнаружили это? Оказывается - ничего! Если вы начнете проверять его почту (организационных документов у вас в фирме нет, напомню), то сразу возникнет вопрос - что нарушил ваш сотрудник? Положение о коммерческой тайне? Так его нет. Положение о недопустимости отсылки подобных документов через Internet? А каких подобных? Кроме того, ведь вы сами нарушаете Конституцию, в частности ее главы о личной переписке. Пока не принят документ о том, что вся переписка принадлежит фирме, по закону она - личная! Итак, я надеюсь, вы поняли, что без юридически значимых документов вы не сможете привлечь к ответственности вашего сотрудника. Мало того, еще и вас могут привлечь к суду."

Да что за уверенность и вера, что кругом все глупее автора?! У меня всё это давно, очень давно реализовано. И я смею предположить, что я не одинок. Но это такая информация, которая по понятным причинам не распространяется. Ну и так далее по статье. Вот поэтому я так и написал.

 

 

 

Страницы