Тринадцать граней профессии

Логотип компании
Тринадцать граней профессии
Никогда бизнес не будет в полной мере доволен направлением ИБ, и наоборот. Это нужно принять как данность

Как алмаз становится по-настоящему драгоценным бриллиантом только после огранки, так и деятельность профессионала по информационной безопасности блистает мастерством только после многолетней огранки и шлифовки граней профессии. В этой статье я попытаюсь поделиться опытом по нескольким ключевым аспектам профессии специалиста по информационной безопасности.

Грань 1. Роль ИБ

Прежде всего необходимо понять, что роль информационной безопасности в компании именно такова, какой ее воспринимает бизнес. Именно так, не больше и не меньше. При этом представления о роли, целях и задачах ИБ могут быть самыми разными – от установки антивируса до поддержки выработки стратегии бизнеса. При прочих равных эффективность ИБ в компании тем выше, чем шире охват роли ИБ в ее деятельности. Специалист по ИБ оперирует и стремится расширять четыре ключевых направления деятельности:
1) Знание (все активы, ИТ-инфраструктура, бизнес-процессы и т. п.).
2) Контроль (состояние защищенности, изменения, каналы передачи информации и т. п.).
3) Защита (конфиденциальность, информационные активы, ИТ-инфраструктура, репутация и т. п.).
4) Влияние (на ИТ-инфраструктуру, планы развития, принимаемые решения, позицию руководства). 

Сразу оговорюсь: указанные направления никогда не будут охвачены в достаточной степени. Уровень охвата зависит и от специалиста по ИБ, и от руководства, и от массы других факторов. Никогда бизнес не будет в полной мере доволен направлением ИБ, и наоборот. Это нужно принять как данность. Большинству специалистов по ИБ не удается добиться той роли, которую они считают достаточной.

Грань 2. Взаимоотношения с бизнесом

Прежде всего при построении системы обеспечения информационной безопасности (СОИБ) и системы менеджмента информационной безопасности (СМИБ) важно понимать, что владельцы бизнеса и топ-менеджмент мыслят своими понятиями и категориями, а ИБ своими. Если этого не уяснить, можно породить конфликты, способные свести на нет поставленные цели. По сути вам придется вникать в потребности всех участников бизнес-процессов, интерпретировать понятия, цели, задачи и, возможно, заблуждения бизнеса для решения задач информационной безопасности. В процесс такой интерпретации необходимо вплетать цели информационной безопасности, и эта работа требует большого терпения и дипломатии. Важно помнить, что демонстрация договороспособности ценнее демонстрации правоты.

Грань 3. Современный облик службы безопасности

Современное представление подразумевает наличие трех направлений безопасности в компании: экономической, физической и информационной. Часто подразделение включает в себя директора по безопасности (CSO) и менеджеров по каждому из направлений. Забудьте про CISO! Взаимодействием с директорами и владельцами компании будет заниматься CSO, а вы будете взаимодействовать с CSO и руководителями департаментов в той степени и на том уровне, который воспринимается бизнесом.

При построении СМИБ в холдинге или группе компаний необходимо сформировать роли в отдельных юридических лицах, с которыми будет производиться взаимодействие по вопросам ИТ и ИБ. Часто эти роли представлены одним человеком.

Грань 4. Взаимоотношения с ИТ

Современный облик взаимоотношений с департаментом ИТ обусловлен как объективными, так и субъективными факторами. 

К объективным относится эволюция технической составляющей систем защиты информации. За последние 10-15 лет чаша весов склонилась от преобладания навесных средств защиты к встроенным в информационные системы и платформы механизмам контроля и защиты. И если 15 лет назад подразделения ИБ и ИТ обслуживали преимущественно собственные средства и системы, конкурировали и состязались в полномочиях и бюджетах, то теперь у них общие информационные системы. Исключение составляют инфраструктурные сетевые и специализированные системы защиты. В новой парадигме куда сложнее подготовить специалиста по ИБ, который досконально знает все особенности используемых прикладных информационных систем, чем натаскать инженера по прикладным системам по вопросам ИБ и координировать его работу.

К субъективным можно отнести особенности менеджмента компании, человеческий фактор и восприятие роли ИБ руководством компании и владельцами бизнеса.

Все эти факторы определяют новый облик службы ИБ: координирующие, управляющие функции и комплайнс обеспечивает менеджер по ИБ в связке с руководством ИТ-департамента, а эксплуатацией и выполнением требований занимаются специалисты ИТ-подразделений. Исключение составляют специализированные системы контроля и защиты.

Грань 5. Угрозы и уязвимости

Всем, кто занимается информационной безопасностью, необходимо понять, что не существует никаких угроз информационной безопасности. Существуют только угрозы бизнесу. И работать необходимо исходя из этих реалий. Это помогает понимать роль информационной безопасности для бизнеса, а не тратить силы на доказывание владельцам бизнеса своей роли. Всякий раз вам необходимо связать обнаруженную или вероятную уязвимость с какой-то угрозой, которую, в свою очередь, связать с угрозой бизнесу. 

Когда вы поймете, какие угрозы бизнесу воспринимаются как актуальные, вы сможете попробовать построить обратную цепочку – от уязвимостей к актуальным угрозам. Помните: формировать мнение бизнеса об актуальности тех или иных угроз – непростая задача.

Грань 6. Риски

C рисками та же история, что и с угрозами. Существуют только те риски, которые воспринимает бизнес. Других просто не существует! Начинающие специалисты по информационной безопасности часто упоминают троицу: конфиденциальность, целостность, доступность. Со временем для многих становится очевидным, что их обучали обеспечивать прежде всего конфиденциальность, но на практике требуется обеспечивать непрерывность бизнес-процессов и устойчивость функционирования информационных систем. 

Оценка рисков приводит к тому, что обеспечение конфиденциальности необходимо только для очень узкого круга информации. Например, финансовой, тендерной и т. п. Если компания разрабатывает ПО, то ей куда страшнее потерять исходные тексты, документацию и базы, нежели они будут украдены!

При всем разнообразии методов оценки рисков все количественные оценки разбиваются либо о расчетные формулы, в которых решающее значение имеет субъективный «корректирующий коэффициент», либо о необходимость сбора массы данных от производственных, финансовых и управляющих подразделений. Попробуйте обеспечить такой сбор данных, их достоверность и т. п. Вы столкнетесь с жестким противодействием и прослывете негодяем, который «всех достал и заставляет выполнять массу никому не нужной работы». 

Качественная оценка рисков часто проводится раньше, чем количественная. На ее результаты и особенно оценку этих результатов сильно влияет мнение руководства. После проведения качественной оценки попробуйте предоставить результаты количественной, отличные от принятых ранее.

Грань 7. Средства и системы защиты информации

Прежде всего необходимо классифицировать средства и системы защиты информации. Все они, помогающие обеспечить информационную безопасность, можно разделить на четыре класса как по степени первоочередности применения, так и по влиянию на аспекты безопасности:
1. Системы и средства, обеспечивающие базовые механизмы защиты, формирующие «периметр» и функционирующие на нем. Данный класс обеспечивает выполнение правила: все информационные технологии, включенные в периметр, могут делать что угодно, находиться в любом состоянии внутри периметра, но влияние на них извне и влияние их вовне контролируется. К таким системам и средствам можно отнести межсетевые экраны, защищенные шлюзы и прокси, антиспам, антивирусы на периметре и т. п.
2. Системы и средства, обеспечивающие базовые механизмы защиты внутри периметра на системном уровне (средства AD, антивирусы, средства архивирования, встроенные механизмы ИС и т. п.).
3. Системы и средства, выполняющие свои функции на прикладном уровне (DLP, IPS, WAF, SIEM, IDS и т. п.).
4. Системы и средства поддержки системы менеджмента информационной безопасности. Сюда можно отнести системы автоматизации менеджмента рисков, построения моделей, аналитические системы, системы отчетности и т. п. 

 Тут важно понимать, что очередность внедрения тоже идет от первого к четвертому классу. Любая система автоматизирует одно из указанных выше направлений. 

При выборе средств и систем защиты обращайте внимание не на те, которые кажутся лучшими на момент выбора, а на те, которые долго держатся среди лучших и есть уверенность, что они будут стабильно развиваться и оставаться в лидерах. Опыт показывает, что продукт-лидер в той или иной области – событие временное. Сегодня он впереди, а завтра разработчик или прекратил его поддержку продукта, или обанкротился, или его купил другой вендор, или… И не забывайте, все системы содержат уязвимости и недокументированные возможности/недостатки. Часто о них не знают даже поставщики.

При оценке стоимости важно помнить, что система защиты стоит ровно столько, насколько ее используют. Если вы уверены, что сможете эффективно использовать 20% функций системы – попробуйте договориться о снижении цены или рассмотрите другие средства. Часть функций обеспечивается лицензиями – не набирайте в корзину все сразу. И помните: каким бы красивым ни представлялось средство в презентации вендора или поставщика, любое коробочное решение через какое-то время становится ландшафтным. И еще помните, что руководству не нравится увеличение бюджета на информационную безопасность – но уменьшение бюджета вызывает еще больше вопросов.

Грань 8. Вендоры и интеграторы

С производителями средств и систем защиты информации нужно дружить. Лучше всего наладить общение непосредственно с разработчиками – им очень часто не хватает прямых контактов с потребителями. В этом случае всегда можно организовать бартер: вы предоставляете им площадку для пилота, формулируете потребности в функционале систем, а от них получаете продукт, заточенный под ваши потребности. По этой же причине старайтесь приобретать средства и системы непосредственно у производителя или, если это не предусмотрено жесткой политикой вендора, и всегда советуйтесь с вендором при выборе поставщика.

Не могу рассказать, как осуществляются продажи средств и систем защиты информации (зато знаю, к кому обращаться за советом), но приобретение редко происходит без опроса друзей и знакомых по отрасли. Часто совет коллеги имеет определяющее значение по отношению к маркетингу производителей или поставщиков. Нужно отметить, что за последние годы в отрасли сформировалось некое доверительное сообщество специалистов, которое оказывает значительное влияние на выбор тех или иных средств, систем и услуг. Формирование репутации в этом сообществе очень важно не только для специалистов, но для всех участников отрасли ИБ.

Грань 9. Стандарты и требования регуляторов

Стандарты, требования, рекомендации, лучшие практики… Их внедрение и применение всегда проводится через призму конкретных условий применения и тщательную адаптацию к реальным условиям. Какими бы строгими ни были требования, они никогда не смогут учесть всех тонкостей и особенностей каждой компании.

При формировании СМИБ и СОИБ важно не ударяться в крайности. Те, кто знает, до каких состояний на предприятиях доводят системы менеджмента качества, поймут меня. Формируйте документы, которые будут применяться. Всегда смело адаптируйте стандарты и рекомендации к особенностям вашей компании. Просите у друзей и коллег поделиться их наработками и делитесь с ними сами!

Грань 10. Интерпретация

Каждый сотрудник на своей позиции в компании видит только часть общего. Нет человека, который видит всё. Это относится к любым процессам и активам компании. По сути, любая информационная система или процесс отражается частично в различных видах деятельности. Бухгалтер видит вашу систему в финансовой плоскости, администратор системного отдела департамента ИТ – в технической, пользователь ИС – в прикладной, специалист, отвечающий за сетевую инфраструктуру, – в виде используемых узлов, адресов и каналов, а потребитель отчетов вообще про нее ничего не слышал. 

Проблемы использования всех информационных систем, ИТ- и сетевой инфраструктур также воспринимаются по-разному. Это необходимо учитывать. Поскольку специалистам по ИБ часто приходится иметь дело с проблемами, а точнее, с людьми, воспринимающими эти проблемы по-своему, то и решения этих проблем лежат на всех уровнях восприятия. Как я уже указывал выше, вам придется интерпретировать и вплетать вопросы ИБ во все бизнес-процессы компании. Хочу пожелать вам удачи в этом непростом деле.

Грань 11. Учет и контроль

Есть мнение, что защитить канал или систему куда проще, чем их контролировать. И это действительно так. С точки зрения информационной безопасности порядок задач по отношению к защищаемой инфраструктуре должен быть следующий: знать предмет, контролировать предмет, защищать предмет, влиять на предмет или его состояние. 

Контроль ИТ-инфраструктуры помогает накапливать такой уровень знаний, который позволит формировать очевидные решения по защите. Необходимо отметить, что в половине случаев решения по изменению архитектуры, порядку взаимодействия или применению конкретной информационной системы влияют на защищенность информации больше, нежели закупка и внедрение дополнительных дорогостоящих средств защиты.

Грань 12. Аутсорсинг

Старайтесь переводить на аутсорсинг все инфраструктурные проекты и информационные системы. Причина – просто дешевле! Вы можете взять в штат специалистов, но соотношение полезной нагрузки и фонда оплаты труда вряд ли окажется эффективным. Компании же, занятые обслуживанием, как правило, обладают классными инженерами и большим опытом обслуживания систем, подобных вашим. К тому же уволить своего сотрудника сложнее, чем приостановить действие договора на обслуживание. А в некоторых случаях вы сможете отказаться от прямой технической поддержки вендора и воспользоваться правами и средствами аудита и мониторинга нанятой компании соответствующего профиля.

Конечно, речь не идет о специальных системах, которые должны эксплуатироваться собственными специалистами по ИБ. А вот обслуживание таких систем тоже можно передать на аутсорсинг.

Грань 13. Это вы сами

Роль личности во всех сферах деятельности очень высока. Какие бы технические средства ни применялись, они не могут функционировать самостоятельно, без специалистов, и не способны охватить все направления бизнеса компании. Эффективность защиты зависит прежде всего от человека, и заменить специалиста по информационной безопасности попросту нечем! Необходимо формировать репутацию и демонстрировать доверие в компании и отрасли.
И напоследок несколько советов специалистам по ИБ: http://goo.gl/NPjO6G

Читайте также
Как сегодня медицина может использовать экосистемы, какие задачи решать с их помощью и на что опираться при их создании — рассказывает IT-World.

Опубликовано 11.09.2015

Похожие статьи