arrod-back new-mail arrow atom Ресурс 2 cod-modern comp connect data-cod detail email fingerprint home input-user iso justice lan libra lifebuoy people planet rub shield speedtimer stat storage tel timer

Как создать комплексную систему ИБ в компании

25 августа 2021
Время прочтения - 19 минут
  • #security
  • #экспертиза

Источник

Систему информационной безопасности в компании можно назвать иммунитетом бизнеса. Она должна работать как единый слаженный механизм и охватывать все уровни защиты информации: законодательный, организационный, программно-аппаратный, физический и морально-этический. Только при наличии всех элементов, работающих в единой концепции, достигается синергетический эффект. Отсутствие или изъяны в каком-то из этих элементов делают всю систему уязвимой, что особенно рискованно в периоды активности хакеров.

Что мешает организовать системный подход к информационной безопасности в компаниях? Рассмотрим основные факторы.

 

Рост угроз ИБ и числа хакерских атак на фоне пандемии

Глобальные перемены — катализатор хакерской активности. С 2020 года мы становились свидетелями самых громких инцидентов ИБ. Быть готовым ко всему крайне сложно. Но практика показывает, что в вопросах ИБ имеет значение скорость реакции, и даже после регистрации факта атаки, ее можно локализовать, если для этого под рукой имеются подходящие инструменты.

 

Множество разнородных решений на рынке ИБ с высоким ценником

Обычно ИБ-инструменты набирают по принципу «это дешевле» или «это легче внедрить». Каждый раз исследовать рынок в поисках идеального решения, которое требуется здесь и сейчас, — неудобно. Некоторые инструменты оказываются слишком дорогими. Даже при острой необходимости быстро разморозить и согласовать на них бюджет — задача не из простых.

 

Долгое внедрение и настройка оборудования и ПО

Если компания приобрела новый инструмент, возникает другая задача — грамотно все настроить и внедрить, и сделать это оперативно. Здесь компании часто сталкиваются с отсутствием практического опыта в настройке. В редких случаях помогают вендоры, но делают они это в отрыве от полноценной картины ИБ-системы заказчика, и каждый — со своей позиции.

 

Отсутствие внутренних ИБ-компетенций при проектировании и организации целевой архитектуры ИБ

При организации ИБ собственными силами ИТ-специалисты концентрируют внимание в первую очередь на своей зоне ответственности и могут пропустить аспекты, связанные с неключевыми бизнес-процессами. Наём квалифицированных специалистов в штат тоже не помогает решить задачу оптимально по времени и по финансам.

Кажется, что обеспечить техническую целостность и захватить «слепые» зоны помогает внедрение SIEM-системы, которая объединяет весь инструментарий в единую схему. Но такой шаг учитывает лишь программно-аппаратный уровень безопасности, а законодательные, административные и морально-этические уровни остаются без внимания. Инструмент довольно дорогой, поэтому без экспертного подхода к внедрению и настройке его приобретение можно считать неудачной инвестицией.

 

Неосведомленность о законодательных требованиях к безопасности, продиктованных спецификой отрасли

Сфера, в которой функционирует предприятие, имеет не меньшее значение. От специфики информации, с которой работает компания, зависит набор инструментов для ее защиты, а также предъявляемые законодательные требования.

Владельцы медицинских информационных систем (МИС) должны располагать не только целевой системой ИБ, требуемой для подключения к ЕГИСЗ, но и действующими сертификатами ФСБ, ФСТЭК.

В мае 2021 года Госдума приняла законопроект о штрафных санкциях за нарушение безопасности объектов критической инфраструктуры (КИИ). ФСТЭК планирует увеличить число проверок объектов КИИ и привлечь другие ведомственные органы к их проведению.

Защита информации, и в особенности государственной тайны, на государственных информационных системах (ГИС) — действительно сложная и ответственная задача. Требования к безопасности ГИС изложены и закреплены в Приказе ФСТЭК № 17 от 11.02.2013 и в Постановлении Правительства РФ № 555 от 11.05.2017

152-ФЗ «О персональных данных» по-своему окрашивает целевую ИБ-архитектуру компаний из различных сфер:

  • ретейл (как электронная коммерция, так и офлайн-сегмент) с CRM-системами и программами лояльности;
  • медицинские, страховые и банковские организации, обрабатывающие различные категории персональных данных;
  • онлайн-сервисы с формами регистрации;
  • веб-ресурсы, собирающие файлы cookie.

Самостоятельно мониторить все законодательные изменения и гибко подстраиваться под них — задача не из легких. Однако для операторов персональных данных большинство провайдеров уже предоставляют комплексную услугу «Защищенный облачный сегмент, аттестованный в соответствии с требованиями ФЗ-152».

 

Эффект «лоскутного одеяла»

Нередко в процессе построения комплексной ИБ-системы может возникнуть несогласованность инструментов между собой. Предпосылки к этому могут быть разными:

  • у компании несколько подрядчиков, участвующих в организации ИБ-архитектуры, из-за чего возникает децентрализованный контроль и конфликты инструментов на стыке систем;
  • в результате резких глобальных изменений в бизнесе;
  • усложнение, масштабирование и(или) появление новых бизнес-процессов;
  • появление новых активов, нуждающихся в защите;
  • слияние, поглощение, присоединение компаний.

 

Модули безопасности необходимо интегрировать в общую ИБ-систему так же оперативно, как происходят изменения. Частым итогом в стремлении к этому становится хаос в системе информационной безопасности с несогласованными сегментами ИБ и непрозрачными принципами работы всей системы.

 

Временная потребность в ИБ-инструментах

Нередко ИБ-инструменты необходимы для временных проектов — организация тестовых сред, государственные инициативы, юридические проекты или перевод сотрудников на удаленку. Компания вынуждена приобретать нужные инструменты при заранее известном исходе событий: по истечении сроков проекта неутилизованные до конца инструменты останутся висеть на балансе организации мертвым грузом.

Вывод очевиден: необходим комплексный подход к организации ИБ-системы, гибко решающий перечисленные проблемы, а также учитывающий цели, отраслевую специфику и масштабы бизнеса.

 

Подходы к организации комплексной системы ИБ

Базовый набор инструментов, актуальных сегодня для любой организации для достижения комплексности ИБ-системы, выглядит следующим образом:

• IPS/IDS-системы, обеспечивающие безопасность инфраструктуры и приложений от внешних вторжений, в том числе от DDoS-атак;

• WAF (Web Аpplication Firewall) — средство защиты веб-приложений для обнаружения и блокировки сетевых атак;

• централизованная антивирусная защита на уровне серверов и конечных устройств пользователей, защищающая от троянов и вирусов-шифровальщиков;

• корпоративная почта с защитой от спама, вирусов и настроенными политиками, снижающими вероятность получения фишинговых писем и спам-рассылок;

• виртуальные рабочие места (VDI) с двухфакторной аутентификацией и установленным антивирусом;

• защищенное хранилище данных с безопасным удаленным доступом через приложение.

 

Каждый из инструментов ориентирован на различные цели. Облачное исполнение позволяет всем им органично работать как единый слаженный механизм и масштабироваться на проекты любой сложности.

Обычно первым делом компании предпринимают попытку организовать систему самостоятельно и сразу сталкиваются с описанными выше проблемами: отсутствие бюджета на крупные единовременные затраты, нехватка экспертизы при поиске или внедрении новых инструментов, неясная картина об отраслевых требованиях к ИБ-системе.

При обращении к нескольким подрядчикам по аутсорсингу не всегда удается выстроить единую ИБ-систему: если брать инструменты точечно у разных интеграторов или вендоров, эффекта «лоскутного одеяла» не избежать. В то же время комплексный подход одного провайдера, обладающего широкой экспертизой, эту проблему позволяет решить. Сервис «единого окна» помогает организовать слаженную согласованную систему информационной безопасности.

 

Возможности организации комплексной системы ИБ с помощью провайдера

Задача провайдера несколько шире, чем у вендора или интегратора, — он стремится предоставить не только ресурсы или инструменты. Провайдеры широкого спектра услуг информационной безопасности пришли к выводу, что рынок нуждается в комплексных ИБ-решениях под ключ с расширенным стеком инструментов для возможности выбора.

Удобным дополнением к этой идее стал сервисный формат «подписки», с помощью которого можно оперативно подключать/отключать модули ИБ. Можно использовать даже дорогие решения — их стоимость будет оптимально распределяться во времени и безболезненно ощущаться для бюджета. А партнерские отношения провайдера с вендорами и глубокая экспертиза в их решениях позволяют еще лучше оптимизировать затраты.

За счет обширного опыта исполнитель всегда в курсе актуальных отраслевых и законодательных нюансов, может безошибочно определить класс информационной системы и категорию данных, обрабатываемых в ней. В зависимости от этого подобрать необходимые инструменты из существующего на рынке мультивендорного предложения.

Провайдер комплексной ИБ-системы может полностью погрузиться в проект: разработать целевую архитектуру ИБ для конкретного заказчика, предоставить несколько линий поддержки для оперативного реагирования на инциденты безопасности, в том числе заняться сопровождением всех продуктов вендоров. Все вопросы в таком случае закрываются через единую точку взаимодействия.

При недостаточной картине актуального состояния ИБ-системы эксперты способны провести аудит ИБ и протестировать инфраструктуру на устойчивость к хакерским атакам (Pentest). Выводы и документация, которые они предоставят, будут полезны для построения целевой ИБ-архитектуры.

 

С таким подходом можно закрыть сразу несколько уровней защиты информации:

  • Мультивендорный набор ИБ-инструментов по подписке помогает оперативно и гибко надстраивать ИБ-систему на техническом уровне.
  • Размещение инфраструктуры в защищенном дата-центре на территории России позволит поддерживать безопасность на физическом и законодательном уровнях.
  • Привлечение экспертизы сертифицированных специалистов помогает решить вопрос с обеспечением безопасности на административном, морально-этическом и законодательном уровнях.

 

Централизованный контроль и экспертная поддержка позволяют убрать «слепые» зоны и снизить риски ИБ

Обеспечивая защиту информации на всех уровнях, удается достичь комплексности — одного из главных принципов информационной безопасности. Без него ИБ-система лишена смысла и экономического обоснования.

Выстраивание комплексной системы ИБ на аутсорсинге позволяет добиться большей гибкости:

1.  Собирать конструктор из инструментов, закрывающий актуальные задачи заказчика.

2.  Использовать понятный KPI услуги, за счет которого система ИБ становится прозрачной.

3.  Продолжать держать фокус на ключевых бизнес-задачах и работать в привычной парадигме, но уже с большей уверенностью в комплексной безопасности компании.

Такой подход выигрывает на фоне децентрализованной организации системы ИБ — она становится прозрачной и целостной, исчезают «слепые» зоны, улучшается контроль процессов, за счет чего снижаются риски ИБ.