25.09.2013

Работаем без опасностей

"БИТ" (бизнес & информационные технологии), № 7 (30), сентябрь, 2013<br>
Экспертное мнение Максима Чиркова, руководителя направления развития сервисов ЭП компании "Аладдин Р.Д."
  1. Есть ли конфликт интересов ИБ и прочих служб ИТ? Если да, то как его решать?
  2. Есть стандартные организационно-технические и режимные меры и методы политики ИБ. А какие нестандартные меры вы могли бы рекомендовать?
  3. Произошло ЧП (утечка, DDоS-атака и т.д.). Чьими силами должны устраняться его последствия?
  4. Служба ИТ на аутсорсинге. Как в таком случае реализуются задачи ИБ?
  5. Новые каналы утечек – справляются ли с ними современные системы ИБ? Можете ли вы их назвать?
  6. Достаточна ли законодательная и нормативно-правовая база в РФ? Какие тонкости не прописаны в законодательных и подзаконных актах? Что, по-вашему, следует изменить, что добавить или убрать?
  7. Какая часть финансирования ИТ в целом, по вашему мнению, должна расходоваться на ИБ (%)?

Андрей Степаненко

Андрей Степаненко, эксперт компании "Код Безопасности"

1. Да, конфликт есть практически во всех компаниях. Выходов из ситуации много, каждый из вариантов имеет свои плюсы и минусы. По моему мнению, самый действенный – назначение общего куратора для ИТ и ИБ от руководства компании, который будет обладать достаточными полномочиями и следить за соблюдением баланса интересов.

2. Наша самая дорогая информация относится к ноу-хау в разработках. В этой области самым эффективным вариантом защиты является соблюдение баланса между доступными и скрытыми знаниями, когда кража исходных кодов не может привести к простому копированию наших технологий.

3. Всё зависит от типа ЧП, но в реагировании и устранении последствий могут принимать участие почти все подразделения компании, не только ИБ и ИТ, но и юристы, службы безопасности и другие. Если система реагирования на инциденты спроектирована грамотно, то такие цепочки прописываются ещё на этапе её проектирования для всех возможных типов инцидентов, а затем отрабатываются на тестовых примерах.

6. Нынешнее регулирование мало соотносится с бизнес-потребностями. В результате – массовое внедрение "бумажной" безопасности, как это сейчас происходит, например, с защитой ПДн. В этом смысле показательна американская практика, где разработка отраслевых рекомендаций, максимально адаптированных к специфике деятельности, поставлена на поток.

7. Затраты на ИБ очень сильно зависят от конкретных условий и целей.

Сергей Яремчук

Сергей Яремчук, специалист по ИБ, член Экспертного совета журнала "Системный администратор"

1. Любая защитная мера – это всегда компромисс между удобством работы пользователя и снижением рисков для бизнеса, приходится искать золотую середину. Но ИБ в большинстве своем имеет непосредственное отношение и к ИТ (и даже совмещают должности), а поэтому говорить о конфликте интересов не приходится, они решают одну задачу и должны постоянно взаимодействовать.

2. Используются, в общем, стандартные методы. Обычно большая проблема убедить сотрудников, что нужно делать именно так, чтобы минимизировать риски. Пользователю нет никакого дела до рисков, переучиваться он тоже не хочет, а нередко даже саботирует указания. Вот здесь и приходится искать методы, чтобы сотрудник сам захотел работать по-новому.

3. Вопрос неоднозначный, но на каждый случай должен быть чёткий план действий. Если DDоS-атака, то для отражения достаточно взаимодействия ИТ и провайдера. Чтобы разобраться с последствиями, может потребоваться согласие руководства на дополнительное финансирование. С утечкой придётся разбираться большему числу сотрудников.

4. Иногда в таком случае они даже упрощаются. Переходу на аутсорсинг обычно предшествует аудит, по результатам которого разрабатываются новые политики безопасности, а все основные моменты отражаются в договоре. С учётом дефицита кадров сейчас не считается чем-то страшным передача на аутсорсинг и ИБ. Специалисты могут лучше оценить ситуацию и внести коррективы, а, следовательно, уменьшаются риски.

5. Все новые каналы – это почти забытые старые. Разнообразие систем ИБ позволяет перекрыть практически все возможные каналы, но наибольший эффект при меньших вложениях и усилиях даёт обучение сотрудников.

7. ИБ финансируется хорошо в случае обнаружения инцидентов, в остальное время приходится доказывать целесообразность действий. Современные средства ИБ позволяют достичь высокого уровня безопасности, но и затраты будут немалыми. В зависимости от размера организации и рода деятельности (а значит, и рисков) цифра может быть в пределах 15-30%

Максим Чирков

Максим Чирков, руководитель направления по развитию сервисов ЭП компании "Аладдин Р.Д."

1. Интересы служб ИТ и ИБ заметно различаются и конфликты нередки. На характер взаимоотношений влияет организационная структура – находится ли служба ИБ в подчинении ИТ, или она выделена в самостоятельное подразделение. Один из распространённых конфликтов – нежелание служб взаимодействовать друг с другом. Для разрешения ситуации целесообразно утвердить на уровне руководителя компании регламент взаимодействия и сферы ответственности. Диалог и здоровая конкуренция между ИБ и ИТ очень важны, ведь только в этом случае возможно оперативное решение общих задач по созданию безопасных и эффективных информационных систем для бизнеса.

2. "Аладдин Р.Д.", являясь производителем средств защиты информации, регулярно предлагает рынку новые, в том числе нестандартные, решения. Несомненно, перед выпуском нового продукта или технологии они проходят "обкатку" внутри компании. Тем не менее для обеспечения ИБ своей организации мы в основном опираемся на лучшие мировые практики и проверенные решения.

3. В зависимости от характера ЧП должны привлекаться профильные департаменты, например, юридический – в случае расследования инцидентов утечек. Если же оставаться в плоскости вопросов ИТ и ИБ, то распределение ответственности при подобном сценарии находится на стыке данных служб. И это очень сложный момент. В итоге только строго регламентированная совместная работа по устранению последствий может минимизировать потери и не допустить инцидентов в будущем.

4. С одной стороны, в договоре с сопровождающей ИТ-компанией можно предусмотреть требования и "прописать" ответственность в случае нарушения политик ИБ. С другой, достаточно трудно контролировать технически внешние ИТ-службы. Если говорить об утечках, то на рынке уже существуют продукты, позволяющие в ряде сценариев безболезненно отдавать на ИТ-аутсорсинг свои информационные системы без риска потери данных, так как они находятся в зашифрованном виде, например, "КриптоБД". При этом управление доступом к данным остается в ведении внутренней службы ИБ.

7. Бытует мнение, что финансирование ИБ должно составлять порядка 10% от общих затрат на ИТ. Однако с этим сложно согласиться. В идеале это малосвязанные бюджеты, и затраты на ИБ должны быть достаточными для минимизации допустимого уровня вероятности актуальных угроз.

Вячеслав Медведев

Вячеслав Медведев, ведущий аналитик отдела развития компании "Доктор Веб"

1. Конфликт вызван неопределённостью роли ИБ-специалистов в организации. Чем должны заниматься сисадмины, начальству, как правило, более-менее ясно, но вот отличие сисадминов от безопасников понимается не всегда. А ещё чаще их роли в глазах топ-менеджеров тождественны по функциональности. Иногда встречаются ситуации, когда сисадмины и безопасники делят зоны ответственности. Скажем, вторые заведуют шлюзами компании, а первые отвечают за всё остальное. Признать такую ситуацию нормальной нельзя. Её осложняет раздражение сисадминов по поводу "руководящей роли" безопасников: "Нам тут науказывали, а как это должно работать, отвечать уже нам". Это конфликт изжить не удастся никогда: любые ограничения – это и дополнительная работа, и недовольство пользователей ограничениями, которое выплескивается на исполнителей.

На это накладывается проблема неосведомленности всех ИТ-специалистов об уровне современных угроз. По данным HP Enterprise Security, порядка 94% (почти 100%) угроз ИБ не известны компаниям. На рынке отсутствует полноценная и постоянно обновляемая аналитика – дайджест угроз. В результате и для безопасников, и для сисадминов является открытием то, что система защиты бессильна перед современными угрозами.

Как минимизировать противостояние? Только чётким структурированием. В компании должны быть люди, имеющие статус директора по безопасности и директора по ИТ (что, кстати, требуется и по нормативным актам). Все требования и нормы безопасности должны разрабатываться по инициативе отдела ИБ, но при участии отдела ИТ.

3. Отдел ИБ должен обеспечить обнаружение атаки, контролируя средства, ИТ-отдел должен обеспечить устранение последствий. Совместно они должны провести расследование и анализ инцидента. ИБ вместе с ИТ необходимо выработать меры по предотвращению подобных инцидентов в будущем, ИТ должен внедрить, ИБ принять в эксплуатацию. Естественно, пригодится и обучение сотрудников. Но все это можно чётко выполнить, только если заранее была выработана процедура действий на случай инцидента.

4. Во избежание разногласий все процедуры должны быть задокументированы и утверждены главами соответствующих подразделений. Задачи подразделений ИБ остаются теми же самыми, что и при собственном подразделении ИТ.

5. Вопрос должен стоять иначе: современные каналы утечек – справляются ли с ними подразделения ИБ и их конкретные специалисты? Ответ: нет, не справляются. По двум причинам. В малых компаниях нет денег на приобретение соответствующих средств, а также на содержание необходимого количества специалистов нужного уровня. Вторая причина – нет понимания, какие средства защиты нужно применять.

6. Любая нормативная документация не соответствует требованиям времени. Особенно в сфере ИТ и ИБ. Она от них отстаёт на время разработки этой документации.

Все публикации