42, или Правильная постановка задачи

Попробуем декомпозировать объемную задачу по обеспечению ИБ, разделив ее на четыре основных этапа:

1. Определение приоритетного направления развития ИБ по трем основным характеристикам: конфиденциальность, целостность, доступность.
2. Определение необходимых и допустимых мероприятий по обеспечению ИБ.
3. Определение этапов создания системы обеспечения и управления ИБ.
4. Совершенствование ИБ. Для пущей наглядности не буду конкретизировать некоторые моменты и, хотя "дьявол в деталях", попробую в эти самые детали не слишком углубляться.

Первый этап

Итак, наша компания занимается, к примеру, производством двигателей внутреннего сгорания. Наличествует развернутая филиальная структура, есть информация о разработках двигателей, персональные данные сотрудников и клиентов, данные о работе производственных мощностей. Учитывая исходные данные, можно указать наиболее важные факторы, которые, в свою очередь, основываются на известных особенностях сферы деятельности компании. Для такой компании важно обеспечить:

1. Конфиденциальность информации о конструкции двигателей (при наличии конкурентов).
2. Доступность данных о производственных мощностях, для управления процессами производства.
3. Целостность данных, передаваемых по каналам между филиалами.
4. Обеспечение соответствия требованиям регуляторов в отношении персональных данных.

Расположение пунктов может меняться в зависимости от уточняющей информации и по сути является результатом быстрого анализа рисков, реализуемых в каждом из пунктов. К примеру: раскрытая информация о стратегии компании в области инженерных разработок может привести в будущем к утере лидирующего положения и большим финансовым потерям, а приостановка лицензии по обработке ПДн грозит остановкой деятельности на определенный промежуток времени и счетными финансовыми рисками. С учетом ориентировки на бизнес-задачи устанавливаем более высокий приоритет защиты конфиденциальной информации (коммерческой тайны). Такая оценка примерна и не дает точного понимания о стоящих перед подразделением задачах, но позволяет определить основной фокус будущей системы обеспечения ИБ.

Второй этап

На каждом этапе мы будем полагаться на выводы, сделанные выше, поэтому как бы спорны они ни были, идем далее. Согласно предыдущему этапу, на первый план вышла конфиденциальность. Казалось бы, осталось ринуться в бой, закупить всевозможных систем защиты и закрыть "альма матер" от супостатов навсегда. Не так все просто: обязательно всплывут дополнительные условия. К примеру: наличие (или отсутствие) маленького штата специалистов ИБ, руководство, базирующееся на Каймановых островах, определенная принятая грань финансирования и прочие замечательные ограничения. Сформулируем наиболее часто встречающиеся условия. При определении мероприятий мы не можем:

1. Производить ручной контроль информации, т.к. ограничен штат.
2. Устанавливать аппаратные решения по обеспечению ИБ, по крайней мере, для руководства, из-за риска прекращения доступности и сложности в устранении неисправностей на месте (напоминаю, топ-менеджмент находится за океаном).
3. Закупить грандиозное решение, позволяющее закрыть весь периметр компании разом, с учетом наличия определенной грани при формировании бюджета.

С учетом перечисленного, характеристики нашей системы обеспечения ИБ сводятся к простым показателям:

• "наслаиваемая" установка ПО защиты – для упрощения процесса обслуживания;
• возможность централизованного управления – для эффективного использования существующего штата администраторов ИБ;
• стоимость решения в границах бюджетирования.

Третий этап

Предыдущие 2 этапа – первые шаги, которые сделает или уже сделал каждый из специалистов, вовлеченных в процесс обеспечения ИБ. А вот к этому этапу приходят компании, достигшие определенного уровня зрелости ИТ-инфраструктуры. Для нашей условной компании предпосылками прихода к зрелости могли стать следующие факторы: наметился рост капитализации, расширился штат, появились новые контракты с зарубежными контрагентами. Запустились проекты по автоматизации основных производственных процессов. Нередко службы, занимающиеся ИБ, занимают противодействующую позицию, пытаясь упорно замедлить процессы оптимизации, ориентируясь на предоставление единственного сервиса – услуги "ограничения", – либо уходят в "бумажные" мероприятия, отдаляясь от эпицентра урагана и сосредотачиваясь на обеспечении соответствия требованиям регуляторов, забывая при этом про изначально расчерченное поле с приоритетными задачами. И вот систем становится больше, чем людей, а наш специалист по ИБ по старинке тиражирует выстраданное когда-то решение, апеллируя знаменитой фразой "исторически сложилось". Соответственно, контролировать динамично меняющуюся ИT-среду удается с трудом, пока не приходит идея воспользоваться мировыми практиками и внедрить систему управления ИБ (СУИБ) и систему обеспечения ИБ (СОИБ).

С чего же начать?

Цель СУИБ как таковой – минимизация рисков, связанных с ИБ, для компании. Этакий взгляд сверху (Helicopter View) на текущие процессы, помогающий верно определить направление развития для совершенствования ИБ. Но углубляться в концептуальные размышления в данном случае не стоит. Представьте, что проведенный аудит показал несоответствие лучшим практикам ряда процессов, связанных с ИБ. К примеру:

• отсутствие процесса управления рисками, проведения аудитов;
• формализация процессов контроля и согласования;
• отсутствие процесса управления изменениями.

Все вышеперечисленные процессы подразумевают наличие входных данных от соответствующих систем, с помощью которых можно провести анализ защищенности инфраструктуры, собрать данные об активах, конкретизировать угрозы ИБ, актуальные для компании. Определить составляющие процессов, нуждающиеся в усилении (или создании). Это область действия СОИБ, а значит, по третьему этапу необходимо:

• определить основные процессы СУИБ, необходимые для компании;
• ввести и автоматизировать (или, при наличии, – усовершенствовать) процессы обеспечения ИБ (СОИБ);
• предложить компании понятные метрики ИБ для определения формата входных данных для СУИБ.

Понятность и прозрачность метрик особенно важна при реинкарнации службы ИБ. Во-первых, для изменения имиджа подразделения: когда мы уходим от описания общих трендов и отдельных инцидентов к формированию детализированного аргументированного представления об уровне защищенности компании. Во-вторых, функционально: когда мы перестаем отделять ИБ от других сфер и полноценно включаемся в бизнес-процессы. В эпоху KPI понятные результаты деятельности необходимы любой компании для успешного развития, они же служат и условным мерилом экономической эффективности (в том числе и определенного подразделения). Никто не будет платить за неизвестное чудище, которое только и делает, что периодически скалится и рычит. Нужен осязаемый результат.

Четвертый этап

Он самый долгожданный. Самосовершенствование той самой системы, которую выпестовал наш специалист по ИБ.

Насладимся результатами:

1. Процессы обеспечения определены и автоматизированы, есть понятные метрики уровня защищенности компании.
2. Служба функционирует в плотной связке с остальными структурными ячейками компании.
3. Компания знает о необходимости и значимости службы для ее (компании) процветания.

Пришло время реализации верховного замысла – внедрить полноценную СУИБ. Тот самый шаг к переходу на пресловутый GRC (Government Risk & Compliance), позволяющий говорить об ИБ как о еще одном процессе, без которого компания не может полноценно существовать. На этом этапе нет восприятия ИБ как чего-то чужеродного и непонятного, и, соответственно, запускается процесс непрерывного совершенствования и оптимизации. При этом наличествующая зрелость и уровень автоматизации инфраструктуры должны позволять подходить к процессам обеспечения ИБ с точки зрения управления рисками. Т.е. каждый вопрос об уровне защищенности компании, а также условия для принятия решений включают в себя результаты оценки рисков ИБ.

Но это идеальная ситуация. А пока ваша СУИБ и СОИБ еще не создана, на вопрос об уровне защищенности компании, можете смело отвечать цитатой из Д. Адамса – "42" – и думайте, что хотите.