Керуючим Директором Qualys по Східній Європі, Кавказу і Центральної Азії, Павлом Сотниковим і співробітником IT -TEAM SERVICE Антоном Ракитського підготовлена стаття для інформаційно-аналітичного журналу сфери зв'язку та інформатизації ICTNEWS . Стаття вийшла в першому номері журналу за 2014 рік.
З огляду на стрімко зростаючу складність інформаційних систем і їх проникнення в життя підприємства, перед керівниками ІТ-департаментів в повний зріст постає проблема забезпечення їх безпеки. Прекрасно розуміючи, наскільки це складний процес і те, що багато підприємств знаходяться в самому початку цього шляху, пропонуємо основні правила, які допоможуть полегшити старт.
1.Знайте, що найбільш важливо для вашої організації
Найбільш очевидний крок, з якого потрібно починати процес забезпечення ІБ - визначитися з активами, які є життєво важливими для організації. Для банку це буде АБС (автоматизована банківська система), для інтернет-магазину - сайт і база даних. Якщо таких систем кілька - потрібно їх ранжувати за важливістю, критичності для бізнесу. При обмеженості засобів на забезпечення інформаційної безпеки, тобто практично завжди, дуже важливо спрямувати зусилля на захист найбільш важливих активів. Правильно розставлені пріоритети - найважливіший момент.
Продовженням інвентаризації є розстановка пріоритетів не тільки за шкалою «важливо - не важливо» в цілому, але і бачення вглиб проблеми - визначення критичності за трьома критеріями інформаційної безпеки - конфіденційності, цілісності та доступності. Якщо задуматися, то для різних активів і пріоритети будуть різні - для сайту компанії в першу чергу важлива цілісність і доступність, для клієнтської бази - конфіденційність, для білінгу - цілісність і т.д. Відповідно вибираються і рішення. Підходити до всіх проблем однаково - невірно, або не буде забезпечено необхідний рівень захисту, або все це буде коштувати невиправдано дорого.
2. Знайте і розумійте своїх ворогів
Тільки знаючи, хто вам загрожує, можна підготувати адекватний захист. Розглядаючи кожен інформаційної актив, потрібно визначитися, хто потенційний і найбільш ймовірний противник і порушник інформаційної безпеки. Це можуть бути і скривджені співробітники, і конкуренти, і мережеві злочинці всіх мастей. У кожному разі ми не можемо напевно знати мотиви зловмисників, але можемо оцінити рівень їх технічної підготовки і найбільш ймовірний вектор атаки, тобто що саме цікавить наших супротивників.
3. Ви не можете контролювати загрози, ви можете контролювати уразливості
На жаль, усунути загрози інформаційних активів практично неможливо, адже неможливо разом усунути всіх хакерів, творців комп'ютерних вірусів, так і від конкурентів нікуди не дітися. Виходить, що практично єдине, що можна зробити - зменшити вразливість по відношенню до погроз, саме для цього встановлюється антивірусне ПЗ, міжмережеві екрани, створюються системи багатофакторної аутентифікації і т.д. Все це - заходи по зниженню уразливості інформаційних систем.
Ось кілька наочних викладок:
• 75% атак використовують уже відомі уразливості, які могли бути закриті в результаті впровадження системи управління уразливими.
• Більш ніж 90% успішних атак базуються на найпростіших техніках.
• 96% успішних зломів можна було б уникнути, якби жертва впровадила ряд простих заходів безпеки.
• 85% кібер-атак можуть бути зупинені за допомогою впровадження процесу пошуку, оповіщення та усунення найважливіших кібер-проблем в короткий проміжок часу.
Великою підмогою в вибудовуванні захисту є відомий збірник 20 критичних заходів щодо інформаційної безпеки від SANS Institute.
Іншими словами, навіть таке авторитетне джерело як SANS Institute ставить процес пошуку і усунення вразливостей на чільне місце. А щоб процес працював - він повинен бути максимально автоматизований. Тут, як кажуть медики, препаратом вибору є система управління уразливими, наприклад QualysGuard. При цьому QualysGuard може виступати і в якості власне засоби пошуку вразливостей, і як засіб комплаенс-контролю, забезпечуючи контроль встановленого програмного забезпечення, і як засіб контролю безпеки конфігурації програмного забезпечення і устаткування.
4. Ідентифікація ризиків без їх усунення має нульовий ефект
Найважливішим кроком за підсумками робіт з виявлення вразливостей є їх усунення. Адже придбати сканер вразливостей і не встановлювати патчі на вразливі системи або провести аудит з інформаційної безпеки, але не вжити заходів щодо усунення невідповідностей - гроші, викинуті на вітер. Тому важливо перейти, в тому числі і в свідомості профільних керівників галузі, від логіки «виявлення» до логіки «управління», коли проблема не просто позначається, але і застосовуються різні заходи щодо зниження ризиків, наприклад, страхування і т.д.
5. Ви не можете зробити все, приймайте ризики
На жаль, незважаючи на всі зусилля, завжди залишається ризик, що щось може бути втрачено, забуте. Адже неспроста кажуть - дорогу здолає той, хто йде, боятися помилок не варто. Завжди важливо розуміти, що на реалізацію всіх можливих заходів щодо безпеки не вистачить ніяких бюджетів, відповідно з деякими ризиками потрібно буде змиритися. Ідеальний варіант, якщо ця теза буде зрозумілий і вищим керівництвом організації.
6. Фокусуйтеся на процесах, а не на звітах
Всім відомі випадки, що робота цілого колективу може бути зірвана через відсутність незамінного фахівця, який хоч і не керівник, але саме на його знаннях і досвіді все тримається. Хороша робота кадрової служби має забезпечити своєчасну підготовку кадрів, взаємозамінність і т.д. У питанні інформаційної безпеки теж потрібно намагатися так побудувати робочий процес, щоб на виході отримувати передбачуваний результат - прийнятні ризики і по можливості відсутність значних інцидентів. Побудова процесів - ціла наука, і тут важливо мати хоча б базові уявлення про процесний підхід і системі управління якістю, наприклад, на базі стандарту ISO 9000.
7. Люди - ключовий елемент безпеки
Система вразлива настільки, наскільки вразливе її найслабша ланка. Найчастіше таким ланкою є люди. Завдання фахівця з інформаційної безпеки складна подвійно, потрібно пройти між двох вогнів. З одного боку керівництво повинно розуміти, що і навіщо ви робите. З іншого важливо побудувати відносини з рядовими співробітниками, щоб вони знали вас в обличчя і сприймали як колегу і помічника, а не як «великого брата», який нишком стежить за ними і «стукає» начальству. Завдання дуже непросте.
При створенні статті були використані наступні джерела інформації: