Подготовлена очередная статья для информационно-аналитического журнала сферы связи и информатизации ICTNEWS. Статья вышла в шестом номере журнала за 2015 год.
Авторы статьи:
- Ксения Шудрова, специалист Госкорпорации «Росатом», эксперт BISA, SEC.RU, Securitylab.ru, аспирант Сибирского государственного аэрокосмического университета, Россия;
- Антон Ракитский, начальник отдела информационной безопасности ООО «IT-TEAM SERVICE», Узбекистан.
Ниже приводим оригинальный текст статьи с дополнениями.
Статья ориентирована на руководителей, начальников служб ИТ и ИБ небольших организаций с ограниченным штатом специалистов, в том числе и без наличия выделенного штата по ИБ.
Вопросами обеспечения информационной безопасности сейчас озабочены, пожалуй, все современные руководители, особенно в компаниях ИТ-отрасли, а также руководители всех государственных организаций, которым требования по ИБ диктуются со стороны регуляторов и нормативных актов. Приводимые в статье рекомендации давно знакомы профессионалам, но, уверены, будут полезны начинающим специалистам и всем тем, кто по долгу службы выполняет задачи по обеспечению ИБ, совмещая их с основными функциями – поддержкой ИТ-инфраструктуры, локальной сети, программированием и разработкой.
В небольших организациях, особенно государственных, с общей численностью сотрудников до 100 человек, как правило, общий штат ИТ состоит из максимум 2-3 человек, чаще это один опытный сотрудник, на котором всё держится, и студент, работающий на полставки. При этом на ИТ-службу возложено всё - от закупки и ремонта техники (бывает и электрочайников), до поддержки пользователей, сопровождения сайта. Руководство организации, по требованиям регуляторов определить ответственных за обеспечение ИБ – возлагает на ИТ-службу ещё и функции обеспечения ИБ. Что в итоге получается – хорошо известно, безопасности время уделяется по остаточному принципу - отсутствие инцидентов, вирусных эпидемий, утечек данных руководством обычно никак не оценивается, считается, что так и должно быть.
В случае совсем ограниченного штата есть ещё и психологическая проблема – обеспечение ИБ подразумевает контроль и критический взгляд на ИТ, при самоконтроле объективный взгляд на проблему отсутствует. В случае возложения задач по ИБ на «молодого специалиста» проблема тоже не решается – он не захочет конфликтовать со старшим коллегой, который ещё и будет являться его начальником. Идеальным решением в этом случае является выведение штата ИБ в отдельное, независимое подразделение, с прямым подчинением высшему руководству, но это доступно далеко не всегда. Поэтому руководству нужно учитывать момент возможных конфликтов интересов ИТ и ИБ, столкновение парадигм «авось обойдется, столько раз уже проносило» и «держать, не пущать и запрещать, как бы чего не вышло».
Отступление для руководителя: Тезис про проникновение ИТ во все сферы жизни давно набил оскомину. Но в вопросах кадров это не всегда работает. С одной стороны прогресс очевиден, к примеру, уходит в прошлое профессия машинистки, вряд ли кто-то будет держать отдельного человека только для набора текстов, ведь сейчас у всех специалистов есть компьютеры, и они сами готовят документы. С другой стороны, штат ИТ по-прежнему состоит из одного-двух специалистов, которые раньше обслуживали вполне скромный парк техники, теперь же отвечают за работу всех информационных систем предприятия. Как долго сможет проработать предприятие без системы бухучета, ЭДО, электронной почты, локальной сети, общих сетевых ресурсов? Скорее всего, без этого теперь предприятие вообще не сможет работать. Многие задачи производства зависят от ИТ-подразделения, а штат специалистов остался тот же, что и во времена, когда большинство операций выполнялось вручную или можно было, в крайнем случае, обойтись без компьютера. Эту особенность можно наблюдать и в повышении зависимости от ИТ-сервисов. Раньше большинство компьютеров работали изолированно, обмен данными производился через дискеты. Теперь компьютер без подключения к сети остался только в режимном отделе, в остальных случаях автономно работать довольно сложно. А ведь поддержка ЛВС это тоже нагрузка на ИТ-персонал. И таких, внешне не очень важных задач – много. Логичным будет увеличение штата ИТ соразмерно проникновению информационных технологий и их важности для работы предприятия. Руководителю лучше пораньше озаботиться вопросом кадрового резерва, человек может (и должен) уйти в отпуск, перейти на другую работу, уйти на пенсию.
Для тех, кто давно занимается вопросами ИБ и/или кого проверяют вышестоящие органы, вопрос нормативной базы не стоит, при первой же проверке регулирующим органом будет указано, какие требования конкретных нормативов нарушены. Новоиспеченным специалистам можно порекомендовать конкретный стандарт ISO/IEC 27002:2008 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования», для Узбекистана ещё более конкретным и кратким является руководящий документ RH 45-185:2011 «Порядок разработки программы обеспечения информационной безопасности органов государственной власти и управления» (этот документ утратил силу, но может быть использован в качестве ориентира).
Практически все специалисты рекомендуют начинать с создания политики обеспечения ИБ. Здесь многие совершают распространенную ошибку: находят готовый шаблон в Интернете или просят у коллег, которые его уже сделали, редактируют, утверждают и рапортуют о выполнении этого пункта плана. Без учета специфики предприятия такой документ будет чистейшей формальностью, но может ещё и сослужить не очень хорошую службу – ведь при слепом копировании часто утверждается множество процедур, которые на практике в небольших организациях зачастую не применяются, например, процедуры резервного копирования, создание резервных центров обработки данных. Проверяющий орган наверняка обратит внимание на утвержденную процедуру и отсутствие её реализации на практике.
Если нет возможности привлечь внешних специалистов для разработки политики ИБ, то хорошим решением будет документирование существующих практик по обеспечению ИБ, например, процедур предоставления доступа к информационным сервисам предприятия, управления антивирусным ПО. Таким образом, постепенно будет формироваться действительно работающий документ, и для администратора, и для пользователей, и для руководства будут проясняться «правила игры», а значит, станет меньше обид у пользователей, которым перекрывают доступы.
Другой плюс создания политики ИБ это единообразие принимаемых решений, что очень полезно при текучке кадров, новым сотрудникам можно будет апеллировать не к сложившейся практике и собственному опыту, а к конкретному документу. Важно понимать, что политика ИБ это «живой» документ, его положения должны пересматриваться под нужды предприятия, только тогда он будет работать.
Высшему руководству, а особенно тем его представителям, на которых возложены обязанности по контролю за обеспечением ИБ, важно понимать, что в условиях ограниченного штата невозможно ожидать от администраторов по ИТ и ИБ высокого качества работ по всем направлениям, никто не сможет объять необъятного. Нужно быть готовыми к привлечению сторонних экспертов, которые смогут помочь и в разработке нормативов и подборе рациональных, адекватных механизмов обеспечения безопасности. К сожалению, часто как экспертами по ИБ себя позиционируют специалисты по продажам различных средств обеспечения безопасности. Средства и продукты действительно могут быть полезными, но на начальном этапе создания системы обеспечения ИБ значительно больший эффект даст переосмысление производственных процессов, разработка политики, обучение специалистов. А закупка конкретных продуктов должна стать лишь частью процесса обеспечения ИБ. Поэтому оптимальным вариантом является привлечение экспертов, несвязанных непосредственно с продажами ПО, в этом случае выше шанс получить объективную и беспристрастную оценку и совет.
Как и в вопросах пожарной безопасности, в ИБ задействованы все сотрудники, правильные действия рядового пользователя могут предотвратить возникновение больших проблем. Для этого все должны иметь общее представление о защите информации и быть лояльными к администраторам, а не считать их душителями свобод и бездельниками. Для этого желательно проводить семинары по ИБ для всех сотрудников предприятия (лучше регулярно), их можно организовать силами тех же внешних экспертов, о которых писали выше. На таких занятиях в понятной всем форме будет рассказано о проблемах, которые решает администратор ИБ, какие угрозы таит в себе использование современных технологий. Не лишним будет поведать и о, казалось бы, очевидных мерах по работе с носителями информации, необходимости информирования администраторов о подозрительной активности компьютеров, осторожности при работе с соцсетями и т.д.
Готовых специалистов по ИБ очень мало, а с опытом работы – и того меньше, все они как правило уже хорошо трудоустроены в крупных компаниях или сами работают консультантами, аудиторами. Поэтому предприятию придется способствовать повышению компетенции имеющихся специалистов – направлять на профильные курсы, способствовать самообразованию. Очень хорошо, если специалисты всегда в курсе современных тенденций по ИБ, благо сейчас есть несколько авторитетных ресурсов, в том числе русскоязычных, откуда можно почерпнуть, например информацию об обнаруженных уязвимостях и способах их устранения. Поможет и поддержка контакта с внешними экспертами по ИБ, которые в случае общего доверительного общения, смогут дать совет.