Строим систему ИБ: общая методология
Д. Ершов | ИКС | №8/2006
Как всякое серьезное дело, строительство системы информационной безопасности (СИБ) следует начинать с определения целей и необходимых результатов. Рассмотрим условия, без которых невозможно создать действительно надежную систему, не забывая о главном – бесконечности цикла обеспечения ИБ.
Основная цель обеспечения безопасности – сократить необязательные потери, особенно если они стали для компании ощутимыми. А потери – это любой ущерб (материальный, моральный, физический), наносимый субъектам посредством воздействия на информационные системы (ИС). Такими субъектами могут быть сотрудники предприятия, его владельцы-акционеры и просто «страдальцы», информация о которых хранится и обрабатывается в системе.
Создание СИБ предполагает несколько обязательных условий. И прежде всего это воля и решимость руководства заняться ИТбезопасностью всерьез. Рано или поздно в любой организации автоматизация процессов управления достигает такого уровня, что вопрос ИТ-безопасности становится одним из самых острых. Впрочем, когда руководство все-таки начинает понимать критичность проблемы безопасности ИС и ее ресурсов, оно представляет ее себе как чисто техническую.
Социотехническая основа, или Кадры решают все
На самом деле проблема безопасности ИТ не столько техническая, сколько организационно-техническая или даже социотехническая. Потому что цель СИБ – защитить одних людей от последствий действий других людей, а также от неприятностей техногенного и природного происхождения.
Когда руководство осознало наконец необходимость защиты автоматизированной ИС, возникает следующий вопрос: что должна представлять собой СИБ? Это не просто совокупность технических средств и ряда мероприятий по обеспечению ИБ. По сути, защита ИС – это процесс управления рисками, а безопасность – его результат. Создавая СИБ, мы фактически строим в компании еще одну полноценную систему управления – рисками и информационной безопасностью.
Любая система управления всегда включает в себя орган, управляющий определенными объектами. Его задача – знать, каково должно быть состояние объектов ИС и ее рабочей среды и каково оно на самом деле. Решить ее можно, лишь вырабатывая управляющие воздействия, направленные на минимизацию рисков, т.е. сокращение потерь, и только исходя из сопоставления двух этих уровней представления.
Но системы управления сами собой не возникают. И второе необходимое условие – создание некоего управляющего органа, профессионально решающего задачи ИБ. Это подразделение «офицеров безопасности» и будет строить и контролировать систему управления ИБ.
Что и как строить, или Вперед к бесконечному циклу
Исполнители назначены, но возникают вопросы: что им делать, как строить и что должно быть «внутри» СИБ? Ответ сильно зависит от того, какую ИС предстоит защищать. Определить критичные ресурсы и процессы, угрозы, проранжировать их поможет детальный анализ ИС. Затем нужно выработать некие правила и ограничения, нацеленные на минимизацию потерь от выявленных возможных угроз, и подумать, как эти правила реализовать на практике.
Итак, третий этап – разработка политики безопасности компании на основе анализа автоматизации бизнес-процессов, потребностей их в защите и защите информационных ресурсов. А правила и ограничения (собственно политика) должны быть направлены на то, чтобы все в ИС работало как положено, не доставляя сотрудникам неприятностей и не нанося ущерб бизнесу.
Теперь можно переходить к реализации решения. Иногда достаточно просто довести все правила до сотрудников: допустим, не приносить и не запускать сторонние программы. Однако, как известно, если нельзя, но очень хочется, то… Поэтому встает задача сделать так, чтобы эти правила и ограничения реально действовали. Так возникает необходимость применения разного рода технических средств защиты. (Фактически все средства защиты информации – СЗИ – лишь инструменты, позволяющие более надежно реализовать правила и ограничения политики безопасности.) Хотя одной«техникой» все равно не обойтись. Надо учитывать человеческий фактор и управлять рисками через управление как средствами защиты, так и непосредственно людьми. Системы у нас автоматизированные, т. е. человекомашинные, и люди – неотъемлемая их часть.
При этом нужно понимать, что сил «безопасников» из созданного подразделения на все не хватит. Потому что безопасность ИС зависит абсолютно от каждого. Кто-то должен помогать людям реализовывать установленные правила, т.е. необходимо предусмотреть меры по работе с сотрудниками. Если организация большая, а в подразделении ИБ всего несколько человек, то без соответствующей «инфраструктуры» они ничего не сделают, у них должны быть постоянно действующие помощники. И это четвертое обязательное условие построения СИБ – наличие института ответственных за ИБ в подразделениях компании и на технологических участках.
Пятое условие – соблюдение исполнительской дисциплины, без чего и бизнес-процессы-то трудно реализовать, не говоря уже о специальных мерах безопасности. Это означает, что все сотрудники компании должны быть мотивированы на выполнение правил и ограничений политики ИБ.
Следующий этап – оценка эффективности принятых политик и надежности реализации введенных правил и ограничений. Очень важно знать, насколько принятые меры и установленные средства повлияли на сокращение потерь. Ведь именно такова была изначальная цель.
А далее начинается тот самый бесконечный цикл: анализ результатов, пересмотр правил политики и мер, реализация новых мер, оценка результата… И так «ныне и присно и во веки веков…». Как в любой системе управления.
Подчеркнем, что сразу, за один цикл, адекватную систему защиты построить невозможно. Она создается итеративно. И даже если вам покажется, что цикл близится к завершению, не обольщайтесь: с течением времени меняются внешние и внутренние условия, угрозы, критичные процессы, ресурсы. А их надо учитывать, поскольку СИБ должна им соответствовать. Нельзя один раз сделать защиту и забыть – это непрерывный и бесконечный процесс.
Принцип разумной достаточности
Один человек, конечно же, проанализировать все, что делается в организации, не в силах. Число сотрудников, отслеживающих действенность СИБ и ее влияние на деятельность компании, а также глубина анализа зависят от квалификации специалистов, критичности бизнес-процессов, выделенных средств. Здесь и самим нужно работать, и задействовать специализированные организации. Обычно для анализа наиболее важных участков привлекают профессионалов в области ИБ. Но они не всегда знают специфику технологических процессов или знают ее недостаточно. Поэтому необходима совместная деятельность внутренних подразделений безопасности и профессионалов извне.
Другой аспект построения СИБ – интегрированность решений и мер. Если мы строим серьезную систему безопасности, она должна быть единой и действовать по общему замыслу. Как правило, «в начале пути» в организации уже есть некая система защиты, но «лоскутная», создававшаяся в соответствии с частным мнением тех ИТ-специалистов, которые какие-то меры безопасности когда-то внедряли. В результате – администратор раздает пароли, кто-то пытается управлять межсетевым экраном, кто-то борется с вирусами. Системы же как таковой нет. Это начальный, нулевой уровень. Но переходить на следующий, бездумно наращивая СЗИ, одна из типичных ошибок.
Строя и упрочняя систему, нельзя забывать о главном принципе управления рисками: разумной достаточности СЗИ для отражения угроз, которые реально присутствуют. Их недооценка или переоценка ведет либо к недостаточной защищенности ИС и ущербу для компании, либо к перерасходу средств. Поэтому создание СИБ суть задача минимизации потерь от инцидентов и затрат на безопасность.
Кто за что отвечает
Иметь в организации выделенное подразделение ИБ необязательно – нужны специально назначенные люди, офицеры безопасности, обязанность которых – не «работать руками», а координировать деятельность других. Поэтому их необходимо наделить соответствующими полномочиями и правами.
Руководитель подразделения безопасности решает кадровые, финансовые и прочие вопросы, управляет своими подчиненными, за все отвечает, все организует и координирует, в том числе взаимодействие с руководством. У него в подчинении должно быть несколько категорий сотрудников. Это «направленцы»-аналитики, курирующие безопасность на отдельных технологических участках. Они оценивают риски, эффективность принятых мер, разрабатывают предложения по реализации защитных мер, пишут документы, регламентирующие вопросы автоматизированной обработки информации в ИС. На администраторах ИБ – процедуры защиты, управление штатными и дополнительными СЗИ. Менеджеры по работе с персоналом внедряют правила политики безопасности через управление людьми.
Важно, чтобы все: и руководители всех рангов, и конечные пользователи, и администраторы технических средств (доменов, баз данных, безопасности и т.д.) – четко представляли себе, как действовать, чтобы инцидентов не возникало. А подразделение ИБ должно определять правила, доводить их до каждого и контролировать их исполнение.
Где взять кадры?
В зависимости от того, с каким видом деятельности была связана их прежняя работа, сотрудников подразделений ИБ можно разделить на три категории: 1) специалисты по ИТ (программисты, администраторы – они хорошо знают ИТ и плохо – безопасность); 2) выходцы из силовых структур: многие из них имеют полезные знания, навыки, опыт оперативной работы (как правило, это хорошие психологи – при этом некоторые из них совершенно ничего не понимают в ИТ, протоколах, сетях); 3) студенты, которые вроде бы учились, и даже по специальности, но не имеют практического опыта.
Так как подразделению ИБ приходится решать множество разноплановых задач, распределение обязанностей между этими специалистами обычно удается оптимизировать. Из специалистовпо ИТ получаются хорошие аналитики: они знают суть процессов, происходящих в системах. Из вторых – отличные руководители, менеджеры по работе с персоналом, специалисты по оформлению требований безопасности в виде политик, документов и т.д. Ну а студенты – «что вырастет».
Учиться, учиться и учиться…
Но откуда бы ни пришли сотрудники подразделения ИБ, часть необходимых знаний у них так или иначе отсутствует. Чтобы стать профессионалом, придется познавать все на практике, перенимать опыт, пополнять запас знаний самостоятельно и на курсах, читать книги, общаться в Интернете и т.д.
Не надо сразу пытаться «объять баобаб» – учиться всему сразу. Руководителю или аналитику нужно понимать проблему ИБ компании «с высоты птичьего полета», увидеть общую картину и оценить систему в целом. А администраторам или аналитикам-прикладникам по определенным технологиям требуется что-то более приземленное, но детальное в предметной области. Кто-то отвечает за разграничение доступа сотрудников и борьбу с нарушениями инсайдеров – это один курс обучения, другой занимается противодействием внешним угрозам (хакерам, вирусам и т.д.) – другой курс.
На начальной стадии работы подразделения ИБ чаще используется предметное обучение, а с развитием СИБ повышение квалификации должно происходить по мере появления новых задач.
ИТ-безопасность – элемент культуры
Есть ли какие-нибудь методики поддержания процесса защиты? Общие регламенты? Пока на федеральном уровне нет четких требований к СИБ, поэтому сравнивать не с чем, – каждый волен выбирать для себя модель, которую считает нужной. Впрочем, подвижки уже есть: международные стандарты, разного рода государственные, в том числе российские, требования, корпоративные правила. Однако чем больше разного рода ограничений, документов, регламентов, тем реже их читают и выполняют. Выход один: все правила ИТ-безопасности должны стать элементом культуры. Как требования личной гигиены или как «правильные» автомобили, где обязательны подушки и ремни безопасности, антиблокировочные системы тормозов, специальным образом сваренный и проверенный на крэштестах кузов…
Скоро длявсех станет очевидно, что создавать ИС без учета требований безопасности нельзя и их нужно закладывать еще при проектировании систем. Но одних компонентов безопасности недостаточно: ремни ремнями, а ездить-то надо по правилам, и здесь очень многое зависит от водителей (то бишь пользователей).
Разбор полетов
Самая типичная ошибка при построении СИБ – отсутствие понимания и поддержки со стороны руководства. Это обязательно даст о себе знать, и тогда неизбежна смена либо мнения руководителя, либо его самого. Вторая ошибка – решать текущие проблемы, не создавая серьезную систему, не назначая людей, не выделяя средства. Часто ответственным за ИБ назначается один человек, который за все отвечает, а сделать ничего не может.
Нельзя также смотреть на проблему ИБ как на чисто техническую. Например, руководство осознало необходимость закупки СЗИ. Купили иностранные, самые дорогие, установили, а результата нет. Не знают даже, как настроить все эти средства. Потому что никто не сказал, как должна работать СИБ, чтобы компания не несла потерь. Вопрос-то организационный, а не технический.
Другой недостаток – несоблюдение принципа разумной достаточности. Самый сложный вопрос – вопрос меры. Как найти золотую середину? Может, если перекрыть все, сделать только внутреннюю сеть, закрыть все входы-выходы в Интернет, «отрубить» все дискетки, CD-ROM, оставить мышь с клавиатурой, ИС станет полностью безопасной? Но даже если мы вообще не будем использовать компьютер, от информации-то никуда не деться. Она нужна для управления. Просто угрозы изменятся. Компьютерных угроз, может, и не возникнет, а информационные останутся.
Хотя в том, чтобы «отсечь лишнее», есть смысл: чем сложнее система, тем она опаснее. Магистральный путь повышения безопасности – снижение сложности системы. И здесь, кроме «хирургического», имеется и иной способ – унификация. Унифицированные ИС и эксплуатировать, и защищать проще: для них создаются типовые решения, которые тестируются не только разработчиком, но и при каждой конкретной реализации. А вот так называемые «зверинцы», когда в системе установлено множество разнообразных технических и программных средств, представляют большую угрозу, их защищать сложнее.