Построение системы информационной безопасности в компании с нуля

Построение системы информационной безопасности в компании с нуля

Построение системы информационной безопасности в компании с нуля

Защита информации \\ 04.10.2010 11:57

Начальные мероприятия по защите информации.

Информационная безопасность, равно как и экономическая, собственная, всегда начинается с руководителя компании (владельца бизнеса), так как, если он относится к возможным проблемам безразлично, то и защищаться от них тоже не будет. Мне, как человеку, зарабатывающему на той самой информационной безопасности, отрадно видеть, что людей, которых потенциальные проблемы не волнуют, на самом деле, не так уж и много. Ведь любой бизнесмен прекрасно знает, что весь бизнес в России – это стабильная и постоянная угроза. Как только фирма начинает что-то делать – жди неприятностей. Желательно, конечно бы, заранее соломки подстелить, однако нужно знать место: - куда конкретно ее стелить. Скорее всего, таких мест окажется не одно и не два... Причем, угрозы информационной безопасности (далее - ИБ) компании, обычно стоят не на первом месте. Тем не менее, если организация дошла до понимания, что им нужно что-то делать в плане ИБ, то вместе с обсуждением «что и как» делать, несомненно будет вестись обсуждение «кто» будет делать и «сколько это будет стоить».

 

Попробуем рассмотреть эти вопросы.

 Для начала определим, что такое информационная безопасность?

Информационная безопасность организации —   состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

 

Информационная безопасность —   защита конфиденциальности, целостности и доступности информации.

 

Безопасность информации —   состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

 

(http://www.wikisec.ru/index.php?title=Информационная_безопасность)

Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

 

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.

 

Защита информации - представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

 

(http://www.wikisec.ru/index.php?title=Информационная_безопасность)

Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

 

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.

 

Защита информации - представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

 

Определений можно привести еще много, однако особой ясности они, на мой взгляд, не вносят. Вообще, терминологическая проблема в области информационной безопасности стоит очень остро. Терминов используется достаточно много: информационная безопасность, безопасность информации, безопасность информационной технологии, и, наконец, защита информации. Вроде бы все об одном и том же, однако, специалисты могут обсуждать разницу между этими понятиями часами, потому что во всей стране вряд ли наберется больше десятка человек, которые сходу и доступно смогут эту разницу пояснить. Чтобы не вступать в подобные «религиозные» споры, я давно озадачился поиском простого и понятного объяснения. Тем более что с владельцами или руководителями организаций общение все равно происходит на понятийном уровне, без использования специальных терминов. В процессе одной из таких бесед и было сформировано правило трех «Ч», иносказательно объясняющее суть и задачи информационной безопасности:

 

1.      Чтобы ничего не украли;

2.      Чтобы не было проблем с регуляторами;

3.      Чтобы было недорого.

 

Конечно, это сознательное упрощение. От подобного определения до подразделения информационной безопасности – огромный путь. С чего же начинать создание системы информационной безопасности, если раньше в компании такой функции никогда не было, либо была, но пала в неравном бою с бюджетом, ИТ и другими подразделениями?

 Вариантов, на самом деле, не так много: пытаться придумать самостоятельно, чем должна заниматься ИБ, либо нанять человека, который уже решал подобную задачу, либо обратиться к профильному консультанту. Каждый сам выбирает путь, по которому идет, но, в подавляющем большинстве случаев, для начала выбирают вариант два – нанять человека. Таким нехитрым образом люди пытаются переложить на него ответственность и надеются избавиться от лишней головной боли. Мы же ему зарплату платим, вот пусть и придумывает: что да как. К сожалению, действительно хороших специалистов, которые могут «потянуть» полноценные проекты по информационной безопасности очень немного, поэтому стоят они дорого и позволить себе их могут далеко не все. Хотя, по сравнению с «хорошими» ИТ-специалистами, ИБшники обычно дешевле. Тем не менее, пока руководство не имеет базы для сравнения: дорого или дешево стоит специалист, не понимает, какие задачи он должен решать и т.д., оно может лишь косвенно (по совету друзей, знакомых) оценить эти параметры, можно с уверенностью утверждать, что дорогого специалиста сразу нанимать никто не будет. А раз специалист недорогой и не очень квалифицированный, значит, самостоятельно он не справится, поэтому кто-то внутри организации должен взять его под свое крыло. Вот и начинают выбирать место для этого специалиста, рассматривать различные варианты организационной структуры и подчинения. Исторически информационную безопасность обычно подчиняют экономической (собственной, корпоративной). При таком подходе, сотрудника чаще всего формально проверят на «непричастность» и возьмут на работу. При этом основным пользователем сервисов предоставляемых специалистом ИБ будет лицо, которое его нанимает на работу. То есть чаще всего – начальник Службы безопасности. Соответственно, в первую очередь, ИБ-шник будет решать именно его задачи, а они подчас могут сильно отличаться от реальных потребностей организации. Ведь большинство начальников Служб безопасности вчера носили погоны, и, мягко скажем, далеки от понимания сути ИБ. Кроме того, в нашей стране, в реальную силу и возможности ИБ никто не верит, так ... «защита от пионеров». Поэтому, так часто слышишь от «коллег по цеху» жалобы, что до руководителя достучаться невозможно, бюджета нет и т.д. А откуда ему взяться бюджету-то? - если наняли тебя на конкретную должность, в конкретную клеточку оргструктуры, за пределы которой выйти практически невозможно. Помимо расположения ИБ в службе безопасности, существуют еще варианты: в ИТ, во внутреннем контроле (аудите), рисках, и наконец, предел мечтаний среднестатистического информационного безопасника – обособленное подразделение, напрямую подчиняющееся одному из первых лиц компании. Хотя большинству ИБшников прямое подчинение абсолютно не помогает, и даже наоборот, зачастую вредно. Нет такого форума или профессиональной конференции, посвященной вопросам информационной безопасности, где в последнее время не обсуждалась бы тема связи ИБ с (произносите с придыханием) «Бизнесом». В этом ИБшники ориентируются на своих коллег из ИТ, перенимая у них соответствующие выражения, и стараясь доказать полезность ИБ для «Бизнеса». При этом, на мифический «Бизнес» валят все, говоря, что он (Бизнес) должен осознать проблемы ИБ, а если не осознал, то ничего путного не получится. Поставить себя на место руководителя того самого «Бизнеса» и понять что ему реально нужно особо никто не пытается. У  руководителя забот много – финансы, бухгалтерия, персонал и т.д. Информационная безопасность в этом списке далеко не на первом месте. Поэтому, конечно, руководителю тяжело понять: почему он должен выделить значительную сумму денег непонятно на что. Тем более что компания на этом ничего не заработает. В этом вопросе очень большую роль играет харизма ИБшника. Насколько доступно он сможет объяснить необходимость и преимущества внедрения того или иного средства безопасности.

 

Поэтому не должно быть существенной разницы между тем, где находится информационная безопасность в оргструктуре, так как это вообще по своей сути не должность, а роль (функция)! Эта роль может быть выделенной, может быть совмещенной, а может быть распределена между различными сотрудниками или подразделениями. Главное, чтобы все работало!

 

Если обратиться к западному опыту, то основным практическим руководством по созданию ИБ является, несомненно, серия стандартов ISO 27000. Фактически, это пошаговое руководство, как и что делать. К сожалению, в нашей стране западные стандарты в большинстве случаев не работают (исключение, в основном, составляют дочерние организации западных компаний). Немалая заслуга в этом принадлежит доморощенным российским консультантам, которые заявляют клиенту, что стандарт в России неприменим, просто так работать не будет, так как у нас все особенное, поэтому консультанты добавляют к стандарту свой собственный опыт, зачастую перевирая или искажая смысл положений стандарта. Конечно, любому здравомыслящему человеку понятно, что стандарт на то он и стандарт, чтобы не выдумывать велосипед, поэтому дорабатывать его не требуется, нужно просто уметь правильно применять. К тому же, в организациях, занимающихся стандартизацией, люди работают далеко не глупые, за двадцать – тридцать лет применения стандартов, формулировки отработали. Есть даже термин «профессиональные услуги», то есть услуги, базирующиеся на профессиональных стандартах. К сожалению, в России рынка профессиональных услуг пока нет. Не доросли. На западе очень активно используют опыт профессиональных сообществ для оттачивания положений стандартов. Что мешает делать то же самое в России? – непонятно. Хотя, за последнее время появляются положительные сдвиги в правильном направлении, например, Центральный банк, с его комплексом стандартов по информационной безопасности, который широко обсуждался специалистами. Так что, если в качестве основы для создания ИБ  в компании правильно применить стандарты серии ISO 27000, результат будет куда более сносным, чем, если специалисты начнут заниматься “отсебятиной”. Тем не менее, следует отдавать себе отчет, что стандарт не панацея, а лишь средство, причем хорошее лишь для решения стандартных задач. В дальнейшем, по достижении определенного уровня зрелости организации, роль ИБ потребует корректировки.

 

Чем же, в основном, занимается ИБ в российских компаниях? Прежде всего, большинство руководителей или владельцев компаний до сих пор воспринимает ИБ как нечто техническое. Поэтому и занимается ИБ прежде всего:

-        установкой антивируса,

-        обновлениями программного обеспечения,

-        настройкой межсетевых экранов,

-        антиспамом и т.д.

 

С одной стороны, эта стадия – самая созидательная, так как ИБшники устанавливают и настраивают действительно нужные и полезные вещи. С другой, настройка не всегда удается с первого раза, да и народ у нас ограничений очень не любит. Когда выход на одноклассники закрыт, USB порты заблокированы, ICQ удалено, ИБ тем самым настраивает против себя почти всех пользователей компании. Ведь уровень безопасности особо не вырос, а вот работать стало реально неудобно. Особенно если учесть, что после установки и настройки средств безопасности обычно переходят к репрессиям. Находят злейшего врага внутри компании, осмелившегося (о, ужас!) попытаться синхронизировать контакты своего сотового телефона с почтовой программой и устраивают показательный «разбор полетов». В то же время в расчетном центре к программе клиент-банк и подписи Генерального директора доступ имеет вся бухгалтерия, так как токен с ключом лежит на столе главбуха. Таких историй можно рассказать много, банальные вещи, но так обстоят дела в подавляющем большинстве российских организаций. До стадии два – безопасности бизнес приложений обычно доходит только после ряда хищений, когда не обращать внимания уже просто нельзя. Лоскутная техническая безопасность не способна создать базу для полноценной защиты бизнес приложений, так как большинство проблем лежит отнюдь не в технической, а в организационной плоскости. Проведя аудит внутренних процессов и проанализировав полученные результаты, можно не только обнаружить слабые с точки зрения ИБ места, но и «накопать» достаточно возможностей для оптимизации бизнеса. Результаты подобных исследований всегда вызывают интерес руководства и повышают авторитет ИБ.

 

Напоследок рассмотрим еще одну ситуацию, когда ИБ уже налажена и работает как надо. Да-да, такие компании тоже есть. Если все работает и никаких нарушений ИБ не происходит, то со временем руководству начинает казаться, что ИБшники ничего не делают и зря получают зарплату. Поэтому, одним из важнейших элементов ИБ является умение продемонстрировать свою работу, облечь ее в понятную и доступную форму. ИБшникам приходится придумывать метрики, позволяющие оценить их работу. Количество и состав метрик зависит от пользователей, для которых они предназначены. Мой личный опыт показывает, что суммарное количество метрик для руководства не должно превышать десяти, иначе восприятие будет сильно затруднено.

В следующих номерах журнала мы продолжим раскрывать тему работы ИБ подразделения.


Денис Муравьев, Генеральный директор группы компаний «4х4 бюро профессиональных услуг»

 

Журнал "Директор по безопасности", Август 2010

Статьи Защита информации

Программно-технические методы анонимизации в сети интернет

Программно-технические методы анонимизации в сети интернет

Защита информации \\ 01.04.2014 22:39 \\ itzashita.ru - Блог по информационной безопасности \\ Комментарии()

В последнее время наметилась тенденция по ограничению приватности в сети Интернет. Это связано с ограничениями, которое налагает на пользователя государственное регулирование сети Интернет. Государственное регулирование Интернет существует во многих странах (Китай, Россия, Беларусь).

Эксперты ассоциации RISSPA провели первую встречу в Санкт-Петербурге

Защита информации \\ 26.11.2013 20:42 \\ info@b2blogger.com \\ Комментарии()

22 ноября 2013 года в Санкт-Петербурге состоялась первая встреча экспертов ассоциации профессионалов в области информационной безопасности RISSPA.

Спасайте Ваши денежки, да и домены тоже. Китайцы идут. Мошенничество и аферы в Интернете.

Защита информации \\ 31.07.2012 19:54 \\ itzashita.ru - Блог по информационной безопасности \\ Комментарии()

Афера "Asia Domain Name Registration scam" в Рунете! Вы зарегистрировали или купили домен и создали на нем сайт. Годы идут, сайт развивается, становится популярным. Вот уже и доход с него "закапал". Вы получаете свой доход, оплачиваете домен, хостинг и другие расходы...

Съем информации через WIFI

Защита информации \\ 23.06.2012 03:05 \\ Егор Ершов \\ Комментарии()

Мы уже не раз на своем сайте ZhukovZdes.Net обсуждали тему прослушивания и подглядывания через стены. Детально рассказывали и о направленных микрофонах, работающих по прямой видимости и о радиостетоскопах, в народе называемых вибродатчиками, контактными приборами, касались и лазерных микрофонов, снимающих вибрацию со стекол.

Виброакустическая защита помещений

Виброакустическая защита помещений

Защита информации \\ 04.06.2012 17:18 \\ Комментарии()

В данной статье рассмотрены характерные особенности естественных каналов утечки информации и описаны методы виброакустической защиты помещений.

Прослушивающие устройства

Прослушивающие устройства

Защита информации \\ 03.05.2012 09:28 \\ Комментарии()

В повседневной жизни прослушивающие устройства могут быть чрезвычайно полезны. Нередко маленькое шпионское устройство позволяет предотвратить опасность или заранее узнать о недоброжелательных намерениях третьих лиц.

Межсетевой экран

Межсетевой экран

Защита информации \\ 06.04.2012 17:16 \\ Комментарии()

Межсетевой экран представляет собой комплекс задач по предотвращению несанкционированного доступа, повреждения или хищения данных, либо иного негативного воздействия, которое может повлиять на работоспособность сети.

НЕКОТОРЫЕ ПРИКЛАДНЫЕ АСПЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ

Защита информации \\ 29.03.2012 18:01 \\ Мир и безопасность \\ Комментарии()

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать ее специфику, состоящую в том, что она является составной частью информационных технологий — области, развивающейся беспрецедентно высокими темпами.

Правила меняются во время игры

Защита информации \\ 03.08.2011 19:41 \\ ИнфоТехноПроект \\ Комментарии()

27 июля 2011 года Президент РФ Дмитрий Медведев подписал федеральный закон «О внесении изменений в Федеральный закон «О персональных данных» (Закон), принятый Госдумой 5 июля 2011 года и одобренный Советом Федерации 13 июля.

Книги

Системы охранной, пожарной и охранно-пожарной сигнализации

ISBN: 978-5-7695-6218-1
Год: 2010 (май)
Страниц: 512

 

 

Учебное пособие представляет собой 5-е издание, дополненное и переработанное. Книга незаменима при обучении специалистов по монтажу любых видов сигнализаций: пожарных, охранных и охранно-пожарных. Представлены также общие сведения об организации охраны на объекте.

Технические средства охраны

Системы охранной сигнализации: основы теории и принципы построения

ISBN: 978-5-9912-0025-7
Год: 2008
Страниц: 496

 

Учебное пособие поможет при прохождении теоретических курсов специалистами в области охраны. Здесь есть всё об эксплуатации технических средств охраны. Это второе, дополненное издание, созданное на основе лекций.

Технические средства охраны

Системы контроля и управления доступом

Год: 2010
Страниц: 272

 

Книга адресована широкому кругу лиц, занятых в области службы безопасности на различного уровня объектах. Прилагается перечень нормативных материалов.

 

Технические средства охраны

вверх