Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

СМИБ: «человеческое лицо» технической защиты

Алексей Евменков, директоро по ИБ компания ISsoft, Республика Баларусь

При построении системы менеджмента ИБ (СМИБ) немалую часть работ составляет внедрение технических защитных мер. В международном стандарте ИСО 27001 из 114 задекларированных защитных мер примерно треть так или иначе являются именно техническими. Рассмотрим особенности внедрения таких мер и роль технических специалистов.

Технические защитные меры

Все защитные меры СМИБ можно условно разделить на организационные, процессные и технические (при этом, естественно, практически любая защитная мера является сплавом организационных, процессных и ИТ-решений). Классические примеры собственно технических защитных мер – внедрение антивирусной защиты, DLP, обеспечение безопасной архитектуры сети, разделение (segregation) в сетях и т.п.

Назовем основные особенности технических защитных мер:

  • они реализуются посредством ИТ-решений/инструментов;
  • обычно ресурсы на их реализацию предоставляются ИТ-подразделениями, на которые ложится и ответственность за такие меры.

Каково место технических защитных мер в СМИБ? В данном случае мы подразумеваем построение комплексной СМИБ, а не внедрение какого-либо элемента (например, DLP или системы мониторинга). Базовая схема СМИБ представлена на рис. 1.

В международном стандарте ISO/IEC 27001:2013 представлены более 114 защитных мер, сгруппированных по областям ИБ. На рис. 2 можно увидеть, какие из них являются техническими.

«Человеческие» проблемы

Там, где есть люди, всегда возникают и «человеческие» проблемы – отсутствие мотивации, нежелание понять позицию другого и пр. И важно вначале разрешить сложности именно такого рода, а уж потом браться за проблемы, связанные с технологиями.

При масштабном внедрении СМИБ (например, для получения сертификата ИСО 27001) в «точках соприкосновения» ИТ и ИБ начинаются трения, конфликты, а в результате подпроекты не продвигаются, деньги и время теряются. Цель у подразделений ИТ и ИБ, вроде бы, – общая, но в практических деталях их интересы не сходятся.

Чаще всего эти интересы пересекаются в следующих областях:

  • инициация и планирование СМИБ – первоначальный технический аудит, планирование технических защитных мер;
  • разработка и внедрение СМИБ – руководство техническими проектами, подтверждение каждой процедуры с участием ИТ, тренинги для технических специалистов;
  • эксплуатация СМИБ – эксплуатация, оптимизация и модернизация технических защитных мер, пентесты, разбор инцидентов и рисков, BCP.

Для того, чтобы лучше понять, как обеспечить наиболее эффективную работу службы ИБ с технарем, сначала попытаемся понять последнего. Обычно он любит тишину, отсутствие излишнего внимания к своей персоне и «непонятные» задачи вроде конфигурирования железок. Как правило, он не любит публичности, участия в «политических» разборках, взаимодействия с руководством и вообще ни с кем.

При этом вариантов взаимодействия ИТ- и ИБ-специалистов при внедрении СМИБ – всего два: представители мира ИБ обращаются в ИТ-подразделение, и наоборот. Предлагаем несколько советов, которые помогут добиться эффективного партнерства в каждом из этих случаев (если коммуникация неизбежна, то пусть она будет конструктивной).

ИБ-специалист обращается в ИТ-отдел:

  • изучите «птичий» язык ИТ. У выходцев из сферы ИТ с этим проблем не возникнет, но если вы пришли из другой области, то даже ваш CISM не сильно поможет при обсуждении ИТ-вопросов. Изучите тему хотя бы на уровне терминов, а лучше – добейтесь ее глубокого понимания. Очень неплохо пройти сертификацию CCNA – по крайней мере, у вас появится необходимая база;
  • «впишитесь» в общие планы ИТ, синхронизируйтесь с ними. Да, ваш проект СМИБ очень важен, но у других отделов, оказывается, тоже есть свои проекты и планы. Вам легче будет интегрировать свою активность в общих планы развития ИТ-отдела, чем «пропихивать» отдельно. Совет простой – постараться принести пользу, а не просто навязать свои бирюльки;
  • договоренности обязательно нужно фиксировать. Такие уж это люди, технари, – не совсем проектные. Фиксируйте договоренности в протоколах и кратких письмах, при необходимости привлекайте руководство, сохраняйте прозрачность коммуникаций;
  • основа любых нормальных отношений – уважение. Если вы уважаете другую сторону, то сделаете максимум для того, чтобы понять иную точку зрения, найти оптимальное решение. Об этом можно много читать, но лучше найти достойных людей вокруг, и ориентироваться на них, учиться поступать так, как они.

Технарь общается со специалистом по ИБ:

  • поймите контекст, в котором работает ИБ-подразделение. Изучите структуру СМИБ, проникнитесь сложностью и многоплановостью проекта. В идеале, нужно попытаться понять, как ИБ-специалисты воспринимают свой проект внедрения СМИБ. Для них ИТ-проекты – лишь одна из частей СМИБ. Выясните, каковы общие планы развития ИБ, какие планируются следующие шаги;
  • предугадывайте запросы ИБ. Проактивность предотвращает возникновение проблем, из-за которых служба ИТ может оказаться «крайней» при срыве сроков и т.п.;
  • gридется активно коммуницировать с ИБ, что не совсем «в природе» ИТ-специалистов, а значит, нужно ее апгрэйдить.

Для понимания «человеческих» проблем нужно учитывать «базовый» конфликт интересов ИТ и ИБ, связанный с различием их основных функций, целей и методов достижения оных (см. табл.). ИБ-отдел в меньшей степени заинтересован в удобстве пользования информационными системами, для него важнее конфиденциальность, и при несбалансированном подходе к делу могут возникать проблемы для бизнеса.

Основные функции, цели и методы их достижения в сферах ИТ и ИБ

Показатель ИБ ИТ
Основные функции Обеспечение безопасности информации – конфиденциальность, целостность и доступность Обеспечение мобильности, скорости, доступности, целостности систем
Цель Защита информации Удобство использования для бизнеса, функциональность
Метод достижения Ограничение Открытость

Как разрешить, казалось бы, нерешаемый конфликт удобной открытости ИТ и ограничений со стороны ИБ? Как и любую другую проблему – за счет поиска баланса, который зависит от множества факторов – типа предприятия, важности охраняемой информации и пр. А главное, необходимо максимально объективно оценить риски, связанные с активом/проектом, причем совместно с бизнесом (см. в «!БДИ» №10 интересное описание взаимодействия ИБ с бизнесом в статье «Человек, который всегда говорит «нет»). Бизнес является финальной точкой, он и определяет баланс. А ваши задачи – предложить этот баланс, поучаствовать в реализации, не загубить результат.

«Технологические» проблемы

Это проблемы, связанные со сложностью внедрения технических мер, с компетентностью персонала. Как правило, они решаются гораздо проще «человеческих»: зачастую дело можно поправить, просто обратившись к более компетентным специалистам, к вендорам, обучив своих сотрудников. Тем не менее, как показывает практика, при внедрении технических защитных мер у сотрудников ИТ-отдела отмечаются более или менее постоянные слабые места.

  • Управление активами – сложности с ответственностью. Владелец актива отвечает за классификацию информации, ее обозначение, обновление, распространение и уничтожение, за обеспечение безопасного хранения и предоставление прав другим лицам. Это – огромный пласт ответственности, которую ИТ-отдел не желает на себя принимать. А потому, на этапе определения ответственности за конкретные категории активов, важно четко определить, что это означает на практике, описать в инструкциях, провести необходимые тренинги.
  • Управление доступом - процесс первичен, а техническое решение – вторично. ИТ-специалисты заслуженно гордятся своими решениями, но важнее налаженность процесса, нежели само использование модных технологий или продуктов. Управление доступом (рис. 3) означает, что доступ к активам санкционирован и ограничен с применением принципов need to know, least privilege.

  • Аудит прав – слишком редко осуществляется. В жизненный цикл управления правами помимо очевидных этапов Заказ/Утверждение/Предоставление входит и аудит прав. ИТ-специалисты не хотят им заниматься, поскольку его сложно реализовать, а тем более автоматизировать (попробуйте, к примеру, просканировать все права в большой базе SVN). К тому же, вообще непонятно, зачем это делать. Однако можно упомянуть немало ситуаций, в которых необходим аудит прав. Например, увольнение ключевого сотрудника, перевод сотрудника на другой проект или на иную роль – скажем, технический специалист становится разработчиком.
  • Безопасность ИТ-сервисов. Для начала, ИТ-отделу хорошо бы иметь список предоставляемых бизнесу сервисов. Следующий шаг – установление уровней услуг (SLA). Далее следует последовательная проработка вопросов ИБ в подконтрольных ИТ-системах – блокирование аккаунтов после нескольких неудачных попытках ввода пароля, закрытие активных сессий после долгого бездействия и т.п.

Таков далеко не полный список ситуаций, в которых ИТ-отдел «буксует» и требуется дополнительное внимание ИБ-специалистов и бизнеса. Например, к ним можно добавить процесс управления изменениями (изменения конфигураций сети без тестирования, без нотификации заинтересованных сторон), логирование действий администраторов, защита логов от исправлений, общий мониторинг систем, конфигурирование WiFi (сотрудник может открыть свою беспарольную WiFi-точку с входом в корпоративную сеть), игнорирование безопасного удаления инфомации и многое другое.

Известный безопасник Брюс Шнайер говорит: «Если вы думаете, что технологии могут решить ваши проблемы безопасности, то вы не понимаете ни самих проблем, ни сути технологий». Итак, успехов вам в решении «человеческих», а затем и технологических проблем!

Тэги: 
Оцените материал:
Total votes: 82

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.