Организация службы защиты информации

Владимир БЕЗМАЛЫЙ

MVP, KL CT, MCP, CompTIA Security+

Сегодня сложно найти человека, который ни разу не слышал о происшествиях в области информационной безопасности. Все чаще и чаще мы слышим о различных угрозах в этой области. Практически не проходит и дня, чтобы не прочесть о новых атаках со стороны злоумышленников (нередко успешных, впрочем, никто не знает, сколько подобных атак по разным причинам проходит необнаруженными), вирусных эпидемиях, атаках со стороны обиженных сотрудников. Вы удивлены? А зря! Именно атаки со стороны обиженных сотрудников становятся наибольшей угрозой вашей безопасности.

Картина безрадостная. Но что же все-таки делать? Где искать выход? А выход состоит в создании выделенного высокопрофессионального подразделения – службы защиты информации или как иногда ее еще называют, службы компьютерной безопасности. Наверняка возникнет вопрос о том, зачем создавать еще одну службу. Ведь эти обязанности можно возложить на системного администратора или, в конце концов, создать отдельную единицу – администратора информационной безопасности. И подчинить его руководству подразделения ИТ.

Допустим, вы решили остановиться на одном из этих вариантов. Давайте посмотрим, к чему это приведет.

Создание подразделения

Итак, вы решили поручить системному администратору отвечать за информационную безопасность. Как правило, администратор решит, что он и так за нее отвечает, и уйдет, думая про себя, что руководство ничего в этом вопросе не понимает. Однако проблема состоит в том, что ваш администратор и так завален работой, а следовательно, на новые задачи у него нет ни сил, ни времени. Следовательно, либо задачи информационной безопасности будут отложены «на потом», либо он будет вынужден заниматься этими задачами в ущерб остальной работе. Выбирайте сами. Но вместе с тем, системный администратор, в силу своеобразного подхода к решению подобных задач будет решать их исключительно программно-техническими методами. К чему это приведет, догадаться несложно. Задача попросту решена не будет, ибо обеспечение информационной безопасности – это комплекс организационных и программно-технических мер и решить ее исключительно техническими методами невозможно.

Вариант два. Вы все же решили создать штатную должность администратора информационной безопасности в составе службы ИТ.

Да, этот вариант лучше первого. Однако и здесь есть неприятности. Ведь в таком случае деньги на защиту информации будут выделяться по остаточному принципу. Да и как вы думаете, будет руководство фирмы прислушиваться к мнению администратора безопасности? А если это мнение будет противоречить мнению руководства ИТ? Ведь очень часто предложения администратора ИБ будут «портить жизнь» службе ИТ. Как вы думаете, принципиальный и грамотный администратор ИБ надолго удержится в такой организации?

Как же быть? На самом деле, служба защиты информации в идеале должна напрямую подчиняться первому лицу в организации.

«Люди, ведающие воротами, оружием и охраной, зачастую действуют автономно от сотрудников, занимающихся ИТ, — комментирует ситуацию Крис Кристиансен, аналитик IDC. — Необходимо, однако, иметь информацию о том, кто был в здании, куда пошел, к каким информационным системам мог получить доступ. Две службы, отвечающие за безопасность, должны работать скоординировано, и тогда каждая из них станет сильнее». Наверное, в будущем мы увидим объединение служб физической и информационной безопасности, однако это эволюционный процесс, и на данном этапе еще довольно сложно найти людей, которые были бы специалистами в обоих вопросах.

Сегодня, увы, специалист в области информационной безопасности ничего не понимает в физической и наоборот. Поэтому насильственное слияние данных служб даст отнюдь не выигрыш в их работе. Если подчинить службу ИБ традиционной безопасности, то на службе ИБ будут просто экономить деньги. Зачем оплачивать непонятно что, если руководитель подразделения все равно ничего в этом не понимает?

Вместе с тем нужно заметить, что в случае подчинения службы физической безопасности службе ИБ мы получим картинку с точностью до наоборот.

Так что пока службы должны работать совместно, но не подчиняться друг другу.

При этом нельзя бездумно выдавать права службе информационной безопасности, потому что в таком случае она станет бесконтрольной. На предприятии должна быть создана устойчивая «треугольная» структура – «аудит — служба защиты информации — служба ИТ». В этом случае необходимо четко определить границы ответственности, чтобы служба безопасности (в данном случае информационной) не превратилась в никому не подвластного, все контролирующего монстра.

Как только мы говорим о средствах обеспечения информационной безопасности, все начинают вспоминать о межсетевых экранах и антивирусном ПО. Все верно, однако нельзя забывать, что всем этим управляет человек. Какое бы универсальное ПО вы ни купили, все равно нужен кто-то, кто сумеет это все настроить. Нет ничего хуже, чем антивирусное ПО с не обновляемыми базами. Каждое ПО нуждается в поддержке и настройке. Несложно посчитать, что содержание отдела ИБ из трех человек обойдется компании дешевле возможных убытков. Следует смириться с тем, что данный отдел никогда не будет приносить явную прибыль, ведь его назначение – уменьшить вероятные убытки.

«Аналитический центр InfoWatch проводил аналогичные исследования в России. Результаты оказались схожи с американскими. Мероприятия, которые предлагают ИТ-работники, не принимаются топ-менеджментом из-за кажущейся дороговизны. Решения о внедрении комплексных мер иногда блокируются на высшем уровне. Но в конечном итоге ущерб от утечек оказывается в разы больше, чем стоимость надежной системы от утечек. Те меры, которые в ИТ-подразделениях предпринимаются самостоятельно, недостаточно эффективны и не позволяют исключить внутренние инциденты», — комментирует Денис Зенкин, директор по маркетингу компании InfoWatch.

Сложность понимания проблем информационной безопасности кроется в самой природе компьютерной безопасности, ведь она ориентирована на виртуальный мир, состоящий из нулей и единиц. Это, увы, приводит к непониманию со стороны руководства компании и требует обоснования выделяемых денег на простые и понятные цели.

Но, предположим, вы сумели создать подразделение. Следующим вопросом будет – а где же найти персонал для этого подразделения. Ведь «кадры решают все».

Подбор персонала для обеспечения безопасности

Существует два возможных пути для поиска профессионалов. Первый – создание отдела ИБ за счет переподготовки и реорганизации службы ИТ. Для отражения вирусной атаки можно привлечь собственных программистов, однако их работа в этом случае останется невыполненной. И неизвестно, что обойдется дешевле — взять новый отдел или дергать своих сотрудников. «Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них. Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак». (Девид Соул, исполнительный вице-директор и директор информационной службы страховой компании Zurich North America).

Многие, и автор этой статьи в их числе, считают, что нельзя отвлекать ИТ-персонал на решение задач безопасности, потому что тогда безопасность будет обеспечиваться по остаточному принципу. Ведь основное в компании – получать прибыль, а не безопасность ради безопасности.

Поиск талантливых профессионалов в области безопасности может быть весьма трудным делом, а переподготовка имеющихся кадров в области информационных технологий, новичков в области безопасности, оказывается весьма долгой и дорогостоящей. Возможен еще один вариант – привлечение внешних компаний для решения проблем безопасности. Но в этом случае вам придется доверить этой компании все свои секреты.

Менеджеры, ведущие поиск талантливых, опытных специалистов по безопасности, знают, что их не так много. Разрыв между спросом на таких специалистов и предложением очень велик.

Какие же можно дать рекомендации?

1. Вам самим нужно понять для чего вы нанимаете специалиста. Ни один уважающий себя профессионал в области безопасности не захочет работать в компании, которая не понимает, для чего его нанимают.
2. Будьте готовы, что квалифицированная помощь стоит дорого.
3. Индустрия безопасности – очень закрытая область, поэтому стоит заранее обратить внимание на специалистов из секретных служб, армии. Университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов.
4. Можно искать специалистов в компаниях, предоставляющих услуги по безопасности.

Если вы решили обучать своих ИТ-специалистов, то перед вами встают следующие вопросы:

1. Как отбирать специалистов для работы в службе информационной безопасности?
2. Чему учить этих специалистов?

В том случае, если вы никак не можете найти специалистов на стороне, обратите внимание на свой персонал. Наиболее подходящие кандидатуры для переучивания – это системные администраторы. Ведь они обладают гораздо большими техническими знаниями и некоторыми знаниями в области безопасности. Подумайте об их возможной переподготовке. Но учтите, что нельзя заставить человека заниматься безопасностью из-под палки. Все кандидаты должны быть добровольцами. При отборе кандидатов обращайте внимание на наличие навыков межличностного общения. Основное в работе сотрудника информационной безопасности – умение общаться с людьми. Ведь эта работа связана не только и не столько с техникой и технологиями, сколько с умением заниматься организационными вопросами, составлять и даже быть немного психологом.

Разумеется, чтобы ИТ-инженеры стали специалистами по информационной безопасности, должны измениться акценты их сознания. По сути, им следует привить другие ценности: не развлекаться с ИТ-игрушками, а защищать предприятие. Вероятно, это самое сложное – научить людей мышлению охранников, защитников рубежей своего предприятия или организации.

Итак, вы получили специалистов. Что делать дальше?

А дальше их нужно учить. Причем учить несвойственным им ранее обязанностям и предметам.

В числе таких предметов должны быть:

1. Теоретические и методологические основы защиты информации.
2. Правовые основы защиты информации.
3. Основы криптографии.
4. Основы сетевой информационной безопасности.
5. Аудит информационной безопасности.
6. Создание организационных документов в области защиты информации (политика безопасности, правила при работе в Интернет, правила работы с электронной почтой, политика аутентификации и пр.).

Не рассчитывайте обойтись антивирусными программами, файерволами, системами обнаружения вторжений и т.д. Потому что наибольшее количество успешных атак на любую организацию – это атаки изнутри, от своих же сотрудников.

Факторы успеха

Но, предположим, вы создали подразделение, нашли хороших работников, теперь вы должны их удержать. Инструменты, признание и высокий уровень оплаты – вот основные факторы успеха.

Инструменты. Профессионалы, работающие в области информационной безопасности, стремятся стать профессионалами с большой буквы, асами своего дела, специалистами на вершине пирамиды. Использование передовых инструментов, самых новых технологий позволит им чувствовать себя на передовых рубежах своей профессии. Если вы обладаете разнообразной информационной средой, не забудьте сказать им об этом. Среди самых желанных «игрушек» для специалистов по безопасности можно назвать Nessus, LAN Guard, XSpider (сканеры сетевой безопасности), Snort (инструментарий обнаружения атак), RAT (Router Analysis Tool, системный тестер маршрутизаторов).

Покажите им их значимость. Для привлечения кандидатов в качестве дополнительных стимулов предложите оплату переподготовки, сертификации и участия в конференциях. Специалисты по безопасности «расцветают» от признания заслуг. Профессионалы в области безопасности могут потерять интерес к работе, если они не чувствуют поддержку руководства. Это, конечно, справедливо для любой категории сотрудников, но специалисты в области информационной безопасности имеют самый широкий доступ ко всем вашим секретам. Поэтому в спорах между сотрудниками ИТ и сотрудниками ИТ безопасности необходимо находить золотую середину (безопасность не мешает бизнесу, бизнес не мешает безопасности). Однако следует помнить о разумной достаточности безопасности. Если ваши секреты стоят 10 тысяч долларов, то неразумно покупать систему безопасности за 100 тысяч.

Основной инструмент признания – высокая оплата труда. Не забывайте, что зарплата специалиста по безопасности должна быть на высоком уровне.

Предложите сертификационные курсы. Несмотря на то, что большинство экспертов в области информационной безопасности считают, что сертификация не столь необходима как навыки и опыт, наличие сертификата по окончании курсов поднимает престиж курсов в глазах обучаемых и заставляет их относиться серьезнее к процессу обучения.

Постарайтесь, чтобы поставщики проводили обучение. Такие производители инструментов по безопасности, как Symantec, Cisco Systems и Check Point Software Technologies, представляют собственные курсы подготовки по своим продуктам. Но такие курсы стоят очень дорого.

Будьте в курсе событий. Необходимо, чтобы ваши сотрудники регулярно отслеживали угрозы с помощью таких ресурсов как www.security-lab.ru , www.bugtraq.ru и многих-многих других.

Безусловно, ни одна из указанных мер не поможет, если ваши специалисты в области информационных технологий не понимают необходимости введения мер безопасности. Помните, что реально информационной безопасностью на фирме занимаются все! А служба ИБ – только контролирует, обучает и управляет усилиями пользователей.