Этапы построения системы IT-безопасности
В статье «Из чего состоит типовая система IT-безопасности» [1] мы попробовали разобраться с ключевыми компонентами типовой системы IT-безопасности и пришли к выводу, что именно комплексный подход к организации защиты информационного пространства является одним из обязательных условий её эффективности.
Однако далеко не каждой компании для защиты её информационного пространства требуется весь спектр рассмотренных нами программно-технических, административно-организационных и нормативно-правовых мероприятий. Акценты и приоритеты при формировании IT-защиты напрямую зависят от размера предприятия, характера его деятельности, количества клиентов и многих других определяющих факторов. Кроме того, нельзя сбрасывать со счетов и уже имеющиеся компоненты системы защиты, в которые могут быть вложены немалые финансовые ресурсы. Поэтому, приступая к практической реализации, невозможно обойтись без предварительного анализа уже имеющейся инфраструктуры, на основе которого и будет строиться проект будущей системы IT-безопасности.
Аудит
Начать стоит с полного аудита имеющихся технических средств, периферийных устройств, сетевой инфраструктуры, программного обеспечения, механизмов функционирования существующей ИТ-службы предприятия. Ясно, что для построения полноценной системы защиты должно быть, как минимум, известно, что же в реальности надо будет защищать. Какие рабочие станции, какие серверы, точки доступа, маршрутизаторы, принтеры, линии связи и так далее. В частности, необходимо составить список используемого в работе программного обеспечения, причём именно такого ПО, без которого невозможны или сильно затруднены те или иные бизнес-процессы. В идеале — чем меньше программ, не имеющих отношения к их прямым рабочим обязанностям, доступно конечным пользователям — тем надёжнее и эффективнее будет работать вся система.
Также хотелось бы особо отметить важность интервьюирования всех пользователей (на базе опросных листов) — часто именно сбор жалоб и пожеланий конечных пользователей помогает выявить многие неявные проблемы в работе IT-системы.
Кроме того, проведение подобного аудита позволяет решить и некоторые другие задачи, например, избавиться от сбоев и определить «узкие места» в работе IT-системы, выявить потребность в модернизации и реконструкции, организовать и улучшить поддержку IT-системы, разработать корпоративные стандарты поддержки IT-системы, и в конечном итоге — повысить эффективность работы всей компании.
Однако качественный аудит — задача далеко не простая, и собственными силами самой компании провести его не всегда реально, да и вовсе не обязательно, благо услуга IT-аудита довольно широко распространена на рынке. Более того, именно независимая проверка оказывается наиболее объективной, без оглядки на чьё-либо мнение вскрывая промахи в работе (а порой — не просто промахи…) как IT-службы компании, так и её руководящего состава. Как правило, по результатам такого аудита клиент получает подробный отчёт, в котором, в частности, отражены такие направления, как:
- состояние кабельной системы,
- реализация резервного копирования,
- наличие избыточного трафика в сети,
- наличие ошибок в трафике,
- список пользователей с целью предоставления рекомендаций по внедрению политики безопасности,
- наличие незащищённых дисковых ресурсов,
- состояние безопасности IT-системы для выявления потенциальных угроз несанкционированного доступа,
- инвентаризация программных и аппаратных средств,
- загруженность каналов связи для определения и локализации критических участков инфраструктуры сети,
- перечень запущенных служб и так далее.
Также может быть проведена оценка эффективности работы информационной системы, её готовности к внедрению новых сервисов, даны рекомендации по легализации используемого ПО, внедрению новых программных и аппаратных решений. И одной из самых главных задач IT-аудита в нашем случае будет являться выявление наиболее уязвимых с точки зрения безопасности компонентов информационного пространства компании.
Акценты
Безусловно, использование самых дорогих, мощных и современных решений на всех этапах построения системы IT-безопасности может только повысить общий уровень защищённости. Однако, скорее всего, столь бескомпромиссный подход к решению данной задачи может оказаться как раз тем случаем, когда батарейки к наручным часам будут занимать два чемодана… Поэтому разработка действительно эффективной системы информационной безопасности каждого конкретного предприятия или компании в условиях ограниченности бюджета и человеческих ресурсов должна в полной мере соответствовать возможным убыткам, которые может понести компания при поражении того или иного компонента IT-системы. Соответственно, акценты и приоритеты при формировании информационной защиты должны прежде всего основываться на перечне наиболее уязвимых точек и процессов IT-системы, полученном как раз в ходе рассмотренного чуть выше независимого аудита. Да и в целом финансовые затраты на обеспечение безопасности не должны превышать тот оптимальный уровень, за которым пропадает экономический смысл их применения или, ещё хуже — теряется возможность просто нормально работать в такой системе.
Грубо говоря, если вся работа вашей компании зависит от надёжности интернет-канала, значит, именно его защите и резервированию надо уделить первоочередное внимание. Если же на первом месте — электронный документооборот и при утере какого-нибудь чертежа завод попросту встанет, значит, при распределении бюджета приоритет следует отдать системам хранения и резервного копирования данных. Если же основные убытки вы можете понести в случае утечки конфиденциальной информации, то основные средства придётся направить на качественную защиту от несанкционированного доступа, шифрование и DLP-системы (Data Loss / Leak Prevention). Вообще каждую систему защиты следует разрабатывать индивидуально, учитывая даже такие особенности конкретной компании, как её организационную структуру, объём и характер информационных потоков, количество и характер выполняемых операций, функциональные обязанности персонала, количество и характер клиентов, график суточной нагрузки и так далее, но анализ рисков — первоочередной фактор.
Разумеется, подобная расстановка акцентов при формировании бюджета будущей системы IT-безопасности отнюдь не означает, что где-то можно сознательно оставлять «дыры» в защите. Наоборот — подобный подход должен улучшить степень защиты IT-пространства, сконцентрировав основные усилия в наиболее ответственных узлах системы, предотвращая совершенно излишнее распыление средств. Впрочем, в некоторых случаях достаточно и фрагментарного подхода к построению системы защиты. Так, если бюджет катастрофически ограничен, то может оказаться наиболее разумным сосредоточить его весь на противодействии угрозам строго определённых типов, представляющих наибольшую опасность в данной конкретной компании, или же защите только конкретных, критически важных узлов системы. В простейшем случае это уже упомянутая нами в предыдущих статьях защита рабочих станций малого офиса с помощью антивирусных систем уровня Kaspersky Small Office Security. Однако и в этом случае желательно иметь в виду переход в обозримом будущем к комплексному методу защиты, в который уже принятые меры должны будут органично вписаться.
На полученную в ходе аудита оценку приоритетов необходимо опираться и при разработке политики безопасности предприятия. Бессмысленно вкладывать деньги только лишь в программно-технические средства для защиты от утечек информации в отрыве от строгой кадровой политики, разработки соответствующих нормативно-правовых документов, обязательных к исполнению работниками предприятия, без соответствующего контроля за действиями сотрудников.
Таким образом, для построения максимально эффективной системы информационной безопасности недостаточно одного лишь комплексного подхода — в основе всех без исключения её составляющих, о которых мы писали в статье «Из чего состоит типовая система IT-безопасности» [1], должен лежать основанный на объективных данных независимого аудита анализ текущего состояния дел в этой области, а также оценка возможных убытков при поражении инфраструктуры, определение наиболее опасных типов угроз и «чувствительных» точек IT-пространства компании.
Оценка затрат
Но правильно выделить и распределить бюджет без предварительной оценки затрат на внедрение и обслуживания системы IT-безопасности вряд ли получится. Можно, конечно, оторвать от сердца некую произвольную сумму денег (сколько не жалко…), а дальше пусть IT-отдел «крутится» как хочет… Но тут почему-то сразу вспоминается известный мультфильм про то, как заказчик требовал сшить ему семь шапок из одной шкурки… В идеале не конфигурация системы безопасности должна быть следствием выделенного бюджета, как у нас часто принято, а вовсе даже наоборот. Задачи, которые требуют решения, должны быть определяющим фактором при выделении финансовых и человеческих ресурсов.
На сегодняшний день нормой, с точки зрения специалистов по IT-безопасности, считается, если затраты на обеспечение режима информационной безопасности составляют до 30% всех затрат на информационную систему в случае повышенных требований к безопасности (например, в банках, на критических производствах) и до 10-20% стоимости информационной системы на обычных предприятиях (объекты гостайны, напомню, мы не рассматриваем). В этом случае система безопасности себя действительно оправдывает, и её пользователи вполне могут чувствовать себя достаточно защищёнными. В общем случае эти деньги должны пойти, например, на следующее:
- IT-аудит;
- проектные работы;
- закупка и настройка программно-технических средств защиты;
- обеспечение физической безопасности;
- обучение персонала;
- управление и поддержка системы (администрирование безопасности);
- периодическая модернизация и аудит системы ИБ.
И опять же — в отечественном малом и среднем бизнесе далеко не каждой компании по плечу всё это правильно просчитать и спрогнозировать. Да и вряд ли в этом есть смысл. У специалистов, занимающихся информационной безопасностью, имеются и опыт, и вполне адекватные методики, позволяющие оценить совокупную стоимость владения подсистемы ИБ. Причём при грамотном расчёте таких базовых составляющих, как затраты на контроль системы и предупреждение нарушений, общие затраты на безопасность могут быть существенно снижены, так как придётся меньше тратить на компенсацию последствий нарушений политики безопасности, притом что уровень защиты будет близок к максимально возможному.
Разумеется, мы рассмотрели основные этапы подготовки к внедрению системы IT-безопасности в весьма упрощённом виде, на практике существует великое множество нюансов, требующих порой весьма нестандартного подхода. Но, думается, даже этот краткий обзор поможет отнестись к процессу создания системы IT-безопасности с должной долей ответственности. Самое же разумное при этом — не полагаться на студентов, готовых за чашку «Доширака» установить пиратские антивирусы, а воспользоваться услугами профессионалов. Безопасность — как раз тот случай, когда скупой платит даже не дважды, а, наверное, на порядки больше.