2.1 Задача Информационной безопасности
Для чего нам ИБ? Вроде бы простой вопрос, но каждый раз, когда я задаю его молодым специалистам (а иногда и немолодым), то вижу небольшое недоумение в глазах собеседника. Вопрос этот задается не потому, что я играю во вредного профессора, который “валит” студентов на экзамене. Очень важно иметь в голове четкое представление о том, для чего мы занимаемся ИБ. Это понимание придает смысл всем нашим последующим действиям в этом направлении.
Еще раз вернемся к нашему вопросу: “Для чего нам ИБ?”. Многие тут же ответят: “Для защиты информации!”. Тут сразу возникает два вопроса:
1) Что за информация?
2) Что значит “защищать” информацию?
Давайте попробуем разобраться с этими вопросами.
2.1.1 Активы (Assets)
Под активами компании можно понимать любую сущность, которая используется в бизнес-процессах. Т.к. наша книга об информационной безопасности, то и активы мы будем рассматривать только те, которые каким либо образом связаны с цифровым миром (создают, передают или хранят информацию, либо сами являются информацией). В целом, такие активы можно разбить на две большие группы:
1. Материальные: компьютер, почтовый сервер, промышленный станок и т.д.
2. Нематериальные: патент, имидж компании, список клиентов и т.д.
При этом каждый актив (информационный) обязательно имеет свою ценность, даже если мы эту ценность не знаем. И здесь мы наконец подошли к самой первой задаче, которой должен заняться любой безопасник в любой компании: “Определить ключевые активы компании, их ценность и приоритеты при выборе стратегии ИБ”.
Казалось бы, простая и очевидная задача. Однако, оказывается, что 60-70% безопасников (исключительно из моего опыта), понятия не имеют, какие именно цифровые активы важны для их компании. Типичный диалог с такими коллегами:- Какие у вас основные бизнес-инструменты в компании? Что весьма критично для работы организации?
- Ммм… Не знаю, ну может быть почта. Компьютеры тоже в принципе важны.
- У вас есть интернет магазин? Или может быть портал, где вы оказываете какие-то услуги для ваших сотрудников?
- Да, есть. Его тоже наверно надо защитить.
- Может быть какие-то еще базы данных? Или файловое хранилище, где хранятся важные документы?
- Да, что-то есть, но надо уточнить у руководства.
Парадокс, но часто к самому первому пункту любой стратегии ИБ приходят в последнюю очередь. Большинство действует по наитию: “Надо бы фаервол новый поставить, ну и антивирусы на компы накатить”. Хотя, возможно все что требуется этой компании - ежедневный бэкап 1С на флешку.
Не стоит даже задумываться о каких-либо защитных мерах, пока вы не знаете какие активы есть у вашей компании. Я согласен, что это непросто и требует непосредственного участия руководства компании. Но без этого этапа все ваши дальнейшие действия, как попытка установить ворота в бескрайней пустыне (т.е. абсурдны).
2.1.2 Ценность активов (Asset Value)
Допустим, вы определили главные цифровые активы вашей компании. Что дальше? Возможно кто-то скажет: “Теперь надо выбирать, а затем покупать защитные средства”. Ни в коем случае. Вы, конечно, уже большой молодец, если знаете, чем дорожит (или должна дорожить) компания. Но эти данные бесполезны без оценки их стоимости. Я уже писал ранее, что каждый актив должен иметь свою ценность. При этом ценность может выражаться в двух видах:
1) Количественная. Как правило, в денежном выражении. Самая удобная мера, когда вы точно знаете, либо сколько стоит актив (например 10 000 рублей), либо сколько стоит его потеря (например 1 000 000 рублей). Сколько стоит 1 день простоя вашего дата-центра? Сколько стоит 1 час простоя промышленного цеха? Сколько стоит восстановление данных со сломавшегося диска вашего бухгалтера? Сколько стоит 1 час недоступности вашего интернет магазина? К сожалению, не все можно выразить в цифрах. Как посчитать потери вашей компании, если вдруг уволенный менеджер “сольет” всю базу ваших клиентов? Возможно, кто-то из клиентов уйдет от вас, а возможно и нет. Как оценить потери от неработающей электронной почты в течение дня? Может именно в этот день, вашим сотрудникам никто не посылал важные письма. А возможно из-за этого вы проиграли тендер на сотни миллионов. А как оценить ухудшение имиджа компании в результате утечки пользовательских данных? Здесь подойдет только качественная оценка активов.
2) Качественная. Данную оценку можно сформировать только совместно с руководством компании. Вы рассматриваете каждый актив, который невозможно оценить в количественном выражении. Обсуждаете возможные последствия после потери, утечки или недоступности актива и совместно определяете уровень критичности. Как правило, используют 4 метки: Низкий (Low), Средний (Middle), Высокий (High) и Критический (Critical).
К чему все это? Зная цифры или хотя бы уровни критичности, гораздо проще идти к руководству за очередным ИБ-бюджетом. Без этих данных даже не стоит рассматривать покупку каких-либо средств защиты. Никого не хочу обидеть, но слишком часто ИБ-шники выбирают защитные меры и оборудование по принципу: “О, классная штука, было бы неплохо купить такую, поработаю с ней. Будет отличной строчкой в резюме”. Но далеко не все компании могут себе позволить такой подход. При этом, если показать бизнесу стоимость его активов (и самое главное - стоимость их потери), то ИБ уже не выглядит пустой тратой денег.
2.1.3 КЦД (CIA)
Если помните, мы сформулировали два вопроса в начале второй главы по поводу защиты информации:
1) Что за информация?
2) Что значит “защищать” информацию?
На первый вопрос мы ответили в двух предыдущих параграфах про активы. Но что же значит защищать информацию? Сделать ее недоступной для хакеров и спрятать на жестком диске в сейфе? А что, если в качестве этой “информации” будет интернет-магазин? Спрятав его от всех, мы просто остановим бизнес. Да, сайт никто не взломает, но и денег он больше приносить не будет… Зачем тогда его защищать?
Здесь мы подобрались к главной аксиоме, вокруг которой строится любая ИБ система: “Информационная безопасность должна обеспечивать конфиденциальность, целостность и доступность информации”. Да, мы пришли к тому самому знаменитому треугольнику КЦД (CIA - confidentiality, integrity, availability):
Но что это значит? Давайте приведем пример. Вы идете в банк и открываете счет на 100 тысяч рублей. При этом, вы не хотите, чтобы кто-то другой узнал, сколько именно у вас денег на счету (здесь банк должен обеспечить конфиденциальность). Вы также надеетесь, что эта сумма будет неизменна и хакер не сможет “вывести” ваши средства (здесь банк должен обеспечить целостность). И, в конце концов, было бы неплохо иметь возможность снять свои деньги в любой момент, а не раз в год (банк должен обеспечить доступность средств).
Пример выше ярко иллюстрирует все три задачи ИБ. Однако бывают случаи, когда нужна исключительно конфиденциальность или только доступность. Главное, что нужно помнить - ИБ всегда должна помогать работе организации, а не мешать. Поверьте, никого не интересует безопасность ради безопасности. Тот же пример с банком. Кто захочет открывать счет в банке, который не может обеспечить конфиденциальность, целостность и доступность? ИБ в данном случае помогает бизнесу. Это принципиально важный момент, осознав который, “безопаснику” будет гораздо проще выстраивать стратегию защиты, а затем обосновывать очередной бюджет перед руководством компании. Мы поговорим об этом подробнее чуть позже.
2.1.4 Смена парадигмы ИБ
На заре появления цифровых технологий никто особо не задумывался об информационной безопасности. Первые мысли об ИБ появились только тогда, когда ИТ стало проникать в бизнес-процессы компаний (или учреждений). Т.к. доля информационных технологий сначала была крайне мала, то при выборе стратегии по защите цифровых данных приоритетом была конфиденциальность. Т.е. главная задача ИБ-шника тех времен: “Лишь бы эти данные никуда не утекли”. Затем уже думали о целостности и в последнюю очередь — о доступности. Пример. Представьте фабрику, где все товары собирают вручную. С поставщиками общаются в основном по телефону. Вдруг у них появляется компьютер, где они ведут бухгалтерию (вместо старой тетрадки) и электронная почта, с помощью которой они отправляют отчеты своему руководителю. Если эти “новые” информационные системы вдруг сломаются, то фабрика продолжит работать. Да, будут некоторые неудобства, но гораздо важнее, чтобы эта информация не попала в руки конкурентов (или же налоговой полиции). Таким образом, если представить прошлую парадигму ИБ в виде треугольника, где приоритет задач идет снизу вверх, то получится следующая картина:
Однако прогресс не стоит на месте. Информационные технологии прочно вошли как в нашу личную жизнь, так и в рабочие процессы практически всех компаний. Бизнес многих организаций целиком и полностью зависит от цифровых технологий и сервисов. Именно этот факт привел к смене парадигмы ИБ. На первую полосу вышла “доступность”. Это весьма логично, т.к. НЕдоступность напрямую влияет на доход бизнеса. Представьте, если поисковик Google вдруг станет недоступен. Для самой компании это будет полная катастрофа. Уже после доступности подобные компании задумываются о целостности (будет неприятно если предоставляемые сервисом данные будут неверными) и в самую последнюю очередь – о конфиденциальности. Отчасти это объясняет все последние нашумевшие утечки учетных записей пользователей. Не проходит и месяца без подобного инцидента. При этом, сами сервисы оказываются недоступными гораздо реже, т.е. их “доступность” на высоком уровне. В итоге, картинка современной парадигмы ИБ выглядит следующим образом:
Повторюсь, что это касается исключительно бизнеса, в котором информационные системы играют очень важную роль или являются основным инструментом заработка.
Тем не менее, такая смена парадигмы наложила сильный отпечаток на “мировоззрение” современных ИБ-шников, которое кардинально отличается от мировоззрения “старых” ИБ-специалистов. Это, в свою очередь, отражается на выборе стратегии киберзащиты. Можно с уверенностью сказать, что сегодня еще один первоочередный вопрос для любого ИБ специалиста - приоритетная задача по защите информации. Что это будет? Конфиденциальность, целостность или доступность? В большинстве книг пишут, что необходимо обеспечивать все три аспекта без каких либо приоритетов. Но это практически невозможно. Баланс здесь едва ли возможен, и реальная жизнь всегда расставляет приоритеты. Это не значит, что чем-то можно абсолютно пренебречь. Нет. Это исключительно вопрос приоритетов и планирования. Вы должны выбрать свою парадигму ИБ для каждой категории важной информации или критичного для бизнеса цифрового сервиса. Только после этого можно переходить к выбору стратегии по защите этих ресурсов.
Автор: Евгений Ольков, CTO TS Solution
Больше учебных материалов по ИБ и ИТ направлениям вы найдете на учебном портале . После регистрации вам станут доступны статьи, курсы и вебинары о решениях Кода Безопасности, UserGate, Positive Technologies, Check Point и других вендоров.
