Систему информационной безопасности в компании можно назвать иммунитетом бизнеса. Она должна работать как единый слаженный механизм и охватывать все уровни защиты информации: законодательный, организационный, программно-аппаратный, физический и морально-этический. Только при наличии всех элементов, работающих в единой концепции, достигается синергетический эффект. Отсутствие или изъяны в каком-то из этих элементов делают всю систему уязвимой, что особенно рискованно в периоды активности хакеров.
Что мешает организовать системный подход к информационной безопасности в компаниях? Рассмотрим основные факторы.
Рост угроз ИБ и числа хакерских атак на фоне пандемии
Глобальные перемены — катализатор хакерской активности. С 2020 года мы становились свидетелями самых громких инцидентов ИБ. Быть готовым ко всему крайне сложно. Но практика показывает, что в вопросах ИБ имеет значение скорость реакции, и даже после регистрации факта атаки, ее можно локализовать, если для этого под рукой имеются подходящие инструменты.
Множество разнородных решений на рынке ИБ с высоким ценником
Обычно ИБ-инструменты набирают по принципу «это дешевле» или «это легче внедрить». Каждый раз исследовать рынок в поисках идеального решения, которое требуется здесь и сейчас, — неудобно. Некоторые инструменты оказываются слишком дорогими. Даже при острой необходимости быстро разморозить и согласовать на них бюджет — задача не из простых.
Долгое внедрение и настройка оборудования и ПО
Если компания приобрела новый инструмент, возникает другая задача — грамотно все настроить и внедрить, и сделать это оперативно. Здесь компании часто сталкиваются с отсутствием практического опыта в настройке. В редких случаях помогают вендоры, но делают они это в отрыве от полноценной картины ИБ-системы заказчика, и каждый — со своей позиции.
Отсутствие внутренних ИБ-компетенций при проектировании и организации целевой архитектуры ИБ
При организации ИБ собственными силами ИТ-специалисты концентрируют внимание в первую очередь на своей зоне ответственности и могут пропустить аспекты, связанные с неключевыми бизнес-процессами. Наём квалифицированных специалистов в штат тоже не помогает решить задачу оптимально по времени и по финансам.
Кажется, что обеспечить техническую целостность и захватить «слепые» зоны помогает внедрение SIEM-системы, которая объединяет весь инструментарий в единую схему. Но такой шаг учитывает лишь программно-аппаратный уровень безопасности, а законодательные, административные и морально-этические уровни остаются без внимания. Инструмент довольно дорогой, поэтому без экспертного подхода к внедрению и настройке его приобретение можно считать неудачной инвестицией.
Неосведомленность о законодательных требованиях к безопасности, продиктованных спецификой отрасли
Сфера, в которой функционирует предприятие, имеет не меньшее значение. От специфики информации, с которой работает компания, зависит набор инструментов для ее защиты, а также предъявляемые законодательные требования.
Владельцы медицинских информационных систем (МИС) должны располагать не только целевой системой ИБ, требуемой для подключения к ЕГИСЗ, но и действующими сертификатами ФСБ, ФСТЭК.
В мае 2021 года Госдума приняла законопроект о штрафных санкциях за нарушение безопасности объектов критической инфраструктуры (КИИ). ФСТЭК планирует увеличить число проверок объектов КИИ и привлечь другие ведомственные органы к их проведению.
Защита информации, и в особенности государственной тайны, на государственных информационных системах (ГИС) — действительно сложная и ответственная задача. Требования к безопасности ГИС изложены и закреплены в Приказе ФСТЭК № 17 от 11.02.2013 и в Постановлении Правительства РФ № 555 от 11.05.2017
152-ФЗ «О персональных данных» по-своему окрашивает целевую ИБ-архитектуру компаний из различных сфер:
- ретейл (как электронная коммерция, так и офлайн-сегмент) с CRM-системами и программами лояльности;
- медицинские, страховые и банковские организации, обрабатывающие различные категории персональных данных;
- онлайн-сервисы с формами регистрации;
- веб-ресурсы, собирающие файлы cookie.
Самостоятельно мониторить все законодательные изменения и гибко подстраиваться под них — задача не из легких. Однако для операторов персональных данных большинство провайдеров уже предоставляют комплексную услугу «Защищенный облачный сегмент, аттестованный в соответствии с требованиями ФЗ-152».
Эффект «лоскутного одеяла»
Нередко в процессе построения комплексной ИБ-системы может возникнуть несогласованность инструментов между собой. Предпосылки к этому могут быть разными:
- у компании несколько подрядчиков, участвующих в организации ИБ-архитектуры, из-за чего возникает децентрализованный контроль и конфликты инструментов на стыке систем;
- в результате резких глобальных изменений в бизнесе;
- усложнение, масштабирование и(или) появление новых бизнес-процессов;
- появление новых активов, нуждающихся в защите;
- слияние, поглощение, присоединение компаний.
Модули безопасности необходимо интегрировать в общую ИБ-систему так же оперативно, как происходят изменения. Частым итогом в стремлении к этому становится хаос в системе информационной безопасности с несогласованными сегментами ИБ и непрозрачными принципами работы всей системы.
Временная потребность в ИБ-инструментах
Нередко ИБ-инструменты необходимы для временных проектов — организация тестовых сред, государственные инициативы, юридические проекты или перевод сотрудников на удаленку. Компания вынуждена приобретать нужные инструменты при заранее известном исходе событий: по истечении сроков проекта неутилизованные до конца инструменты останутся висеть на балансе организации мертвым грузом.
Вывод очевиден: необходим комплексный подход к организации ИБ-системы, гибко решающий перечисленные проблемы, а также учитывающий цели, отраслевую специфику и масштабы бизнеса.
Подходы к организации комплексной системы ИБ
Базовый набор инструментов, актуальных сегодня для любой организации для достижения комплексности ИБ-системы, выглядит следующим образом:
• IPS/IDS-системы, обеспечивающие безопасность инфраструктуры и приложений от внешних вторжений, в том числе от DDoS-атак;
• WAF (Web Аpplication Firewall) — средство защиты веб-приложений для обнаружения и блокировки сетевых атак;
• централизованная антивирусная защита на уровне серверов и конечных устройств пользователей, защищающая от троянов и вирусов-шифровальщиков;
• корпоративная почта с защитой от спама, вирусов и настроенными политиками, снижающими вероятность получения фишинговых писем и спам-рассылок;
• виртуальные рабочие места (VDI) с двухфакторной аутентификацией и установленным антивирусом;
• защищенное хранилище данных с безопасным удаленным доступом через приложение.
Каждый из инструментов ориентирован на различные цели. Облачное исполнение позволяет всем им органично работать как единый слаженный механизм и масштабироваться на проекты любой сложности.
Обычно первым делом компании предпринимают попытку организовать систему самостоятельно и сразу сталкиваются с описанными выше проблемами: отсутствие бюджета на крупные единовременные затраты, нехватка экспертизы при поиске или внедрении новых инструментов, неясная картина об отраслевых требованиях к ИБ-системе.
При обращении к нескольким подрядчикам по аутсорсингу не всегда удается выстроить единую ИБ-систему: если брать инструменты точечно у разных интеграторов или вендоров, эффекта «лоскутного одеяла» не избежать. В то же время комплексный подход одного провайдера, обладающего широкой экспертизой, эту проблему позволяет решить. Сервис «единого окна» помогает организовать слаженную согласованную систему информационной безопасности.
Возможности организации комплексной системы ИБ с помощью провайдера
Задача провайдера несколько шире, чем у вендора или интегратора, — он стремится предоставить не только ресурсы или инструменты. Провайдеры широкого спектра услуг информационной безопасности пришли к выводу, что рынок нуждается в комплексных ИБ-решениях под ключ с расширенным стеком инструментов для возможности выбора.
Удобным дополнением к этой идее стал сервисный формат «подписки», с помощью которого можно оперативно подключать/отключать модули ИБ. Можно использовать даже дорогие решения — их стоимость будет оптимально распределяться во времени и безболезненно ощущаться для бюджета. А партнерские отношения провайдера с вендорами и глубокая экспертиза в их решениях позволяют еще лучше оптимизировать затраты.
За счет обширного опыта исполнитель всегда в курсе актуальных отраслевых и законодательных нюансов, может безошибочно определить класс информационной системы и категорию данных, обрабатываемых в ней. В зависимости от этого подобрать необходимые инструменты из существующего на рынке мультивендорного предложения.
Провайдер комплексной ИБ-системы может полностью погрузиться в проект: разработать целевую архитектуру ИБ для конкретного заказчика, предоставить несколько линий поддержки для оперативного реагирования на инциденты безопасности, в том числе заняться сопровождением всех продуктов вендоров. Все вопросы в таком случае закрываются через единую точку взаимодействия.
При недостаточной картине актуального состояния ИБ-системы эксперты способны провести аудит ИБ и протестировать инфраструктуру на устойчивость к хакерским атакам (Pentest). Выводы и документация, которые они предоставят, будут полезны для построения целевой ИБ-архитектуры.
С таким подходом можно закрыть сразу несколько уровней защиты информации:
- Мультивендорный набор ИБ-инструментов по подписке помогает оперативно и гибко надстраивать ИБ-систему на техническом уровне.
- Размещение инфраструктуры в защищенном дата-центре на территории России позволит поддерживать безопасность на физическом и законодательном уровнях.
- Привлечение экспертизы сертифицированных специалистов помогает решить вопрос с обеспечением безопасности на административном, морально-этическом и законодательном уровнях.
Централизованный контроль и экспертная поддержка позволяют убрать «слепые» зоны и снизить риски ИБ
Обеспечивая защиту информации на всех уровнях, удается достичь комплексности — одного из главных принципов информационной безопасности. Без него ИБ-система лишена смысла и экономического обоснования.
Выстраивание комплексной системы ИБ на аутсорсинге позволяет добиться большей гибкости:
1. Собирать конструктор из инструментов, закрывающий актуальные задачи заказчика.
2. Использовать понятный KPI услуги, за счет которого система ИБ становится прозрачной.
3. Продолжать держать фокус на ключевых бизнес-задачах и работать в привычной парадигме, но уже с большей уверенностью в комплексной безопасности компании.
Такой подход выигрывает на фоне децентрализованной организации системы ИБ — она становится прозрачной и целостной, исчезают «слепые» зоны, улучшается контроль процессов, за счет чего снижаются риски ИБ.
