Этапы построения системы IT-безопасности

В статье «Из чего состоит типовая система IT-безопасности» [1] мы попробовали разобраться с ключевыми компонентами типовой системы IT-безопасности и пришли к выводу, что именно комплексный подход к организации защиты информа­ционного пространства является одним из обяза­тельных условий её эффективности.

Однако далеко не каждой компании для защиты её информа­ционного пространства требуется весь спектр рассмо­тренных нами программно-технических, админи­стративно-организа­ционных и нормативно-правовых меро­приятий. Акценты и приоритеты при формировании IT-защиты напрямую зависят от размера предприятия, характера его деятельности, количества клиентов и многих других определяющих факторов. Кроме того, нельзя сбрасывать со счетов и уже имеющиеся компоненты системы защиты, в которые могут быть вложены немалые финансовые ресурсы. Поэтому, приступая к практической реализации, невозможно обойтись без пред­вари­тельного анализа уже имеющейся инфра­структуры, на основе которого и будет строиться проект будущей системы IT-безопасности.

Аудит

Начать стоит с полного аудита имеющихся технических средств, перифе­рийных устройств, сетевой инфра­структуры, программного обеспечения, механизмов функцио­нирования сущест­вующей ИТ-службы предприятия. Ясно, что для построения полно­ценной системы защиты должно быть, как минимум, известно, что же в реальности надо будет защищать. Какие рабочие станции, какие серверы, точки доступа, маршру­тизаторы, принтеры, линии связи и так далее. В частности, необходимо составить список исполь­зуемого в работе программного обеспечения, причём именно такого ПО, без которого невозможны или сильно затруднены те или иные бизнес-процессы. В идеале — чем меньше программ, не имеющих отношения к их прямым рабочим обязан­ностям, доступно конечным пользо­вателям — тем надёжнее и эффективнее будет работать вся система.

Также хотелось бы особо отметить важность интервью­ирования всех пользо­вателей (на базе опросных листов) — часто именно сбор жалоб и пожеланий конечных пользо­вателей помогает выявить многие неявные проблемы в работе IT-системы.

Кроме того, проведение подобного аудита позволяет решить и некоторые другие задачи, например, избавиться от сбоев и определить «узкие места» в работе IT-системы, выявить потребность в модер­низации и реконструкции, организовать и улучшить поддержку IT-системы, разработать корпоративные стандарты поддержки IT-системы, и в конечном итоге — повысить эффективность работы всей компании.

Однако качест­венный аудит — задача далеко не простая, и собст­венными силами самой компании провести его не всегда реально, да и вовсе не обязательно, благо услуга IT-аудита довольно широко распро­странена на рынке. Более того, именно независимая проверка оказывается наиболее объективной, без оглядки на чьё-либо мнение вскрывая промахи в работе (а порой — не просто промахи…) как IT-службы компании, так и её руко­водящего состава. Как правило, по результатам такого аудита клиент получает подробный отчёт, в котором, в частности, отражены такие направления, как:

• состояние кабельной системы,
• реализация резервного копирования,
• наличие избыточного трафика в сети,
• наличие ошибок в трафике,
• список пользо­вателей с целью предо­ставления рекомендаций по внедрению политики безопасности,
• наличие незащи­щённых дисковых ресурсов,
• состояние безопасности IT-системы для выявления потен­циальных угроз несанкцио­нированного доступа,
• инвен­таризация программных и аппаратных средств,
• загруженность каналов связи для определения и локализации критических участков инфра­структуры сети,
• перечень запущенных служб и так далее.

Также может быть проведена оценка эффективности работы информа­ционной системы, её готовности к внедрению новых сервисов, даны рекомендации по легализации исполь­зуемого ПО, внедрению новых программных и аппаратных решений. И одной из самых главных задач IT-аудита в нашем случае будет являться выявление наиболее уязвимых с точки зрения безопасности компонентов информа­ционного пространства компании.

Акценты

Безусловно, исполь­зование самых дорогих, мощных и современных решений на всех этапах построения системы IT-безо­пасности может только повысить общий уровень защищённости. Однако, скорее всего, столь бескомп­ромиссный подход к решению данной задачи может оказаться как раз тем случаем, когда батарейки к наручным часам будут занимать два чемодана… Поэтому разработка действительно эффективной системы информа­ционной безопасности каждого конкретного предприятия или компании в условиях ограни­ченности бюджета и чело­веческих ресурсов должна в полной мере соответ­ствовать возможным убыткам, которые может понести компания при поражении того или иного компонента IT-системы. Соответ­ственно, акценты и приоритеты при формировании информа­ционной защиты должны прежде всего основываться на перечне наиболее уязвимых точек и процессов IT-системы, полученном как раз в ходе рассмот­ренного чуть выше независимого аудита. Да и в целом финансовые затраты на обес­печение безопасности не должны превышать тот оптимальный уровень, за которым пропадает эконо­мический смысл их применения или, ещё хуже — теряется возможность просто нормально работать в такой системе.

Грубо говоря, если вся работа вашей компании зависит от надёжности интернет-канала, значит, именно его защите и резерви­рованию надо уделить перво­очередное внимание. Если же на первом месте — электронный документо­оборот и при утере какого-нибудь чертежа завод попросту встанет, значит, при распределении бюджета приоритет следует отдать системам хранения и резервного копирования данных. Если же основные убытки вы можете понести в случае утечки конфиден­циальной информации, то основные средства придётся направить на качест­венную защиту от несанкцио­нированного доступа, шифрование и DLP-системы (Data Loss / Leak Prevention). Вообще каждую систему защиты следует разрабатывать индиви­дуально, учитывая даже такие особенности конкретной компании, как её организа­ционную структуру, объём и характер информа­ционных потоков, количество и характер выполняемых операций, функцио­нальные обязанности персонала, количество и характер клиентов, график суточной нагрузки и так далее, но анализ рисков — перво­очередной фактор.

Разумеется, подобная расстановка акцентов при форми­ровании бюджета будущей системы IT-безопасности отнюдь не означает, что где-то можно сознательно оставлять «дыры» в защите. Наоборот — подобный подход должен улучшить степень защиты IT-пространства, сконцен­трировав основные усилия в наиболее ответственных узлах системы, предот­вращая совершенно излишнее распыление средств. Впрочем, в некоторых случаях достаточно и фраг­ментарного подхода к построению системы защиты. Так, если бюджет катастро­фически ограничен, то может оказаться наиболее разумным сосредоточить его весь на противо­действии угрозам строго определённых типов, предста­вляющих наибольшую опасность в данной конкретной компании, или же защите только конкретных, критически важных узлов системы. В простейшем случае это уже упомянутая нами в предыдущих статьях защита рабочих станций малого офиса с помощью анти­вирусных систем уровня Kaspersky Small Office Security. Однако и в этом случае желательно иметь в виду переход в обозримом будущем к комплексному методу защиты, в который уже принятые меры должны будут органично вписаться.

На полученную в ходе аудита оценку приоритетов необходимо опираться и при разработке политики безопасности предприятия. Бессмысленно вкладывать деньги только лишь в программно-технические средства для защиты от утечек информации в отрыве от строгой кадровой политики, разработки соответ­ствующих нормативно-правовых документов, обязательных к исполнению работниками предприятия, без соответ­ствующего контроля за действиями сотрудников.

Таким образом, для построения максимально эффективной системы информационной безопасности недостаточно одного лишь комплексного подхода — в основе всех без исключения её составляющих, о которых мы писали в статье «Из чего состоит типовая система IT-безопасности» [1], должен лежать основанный на объективных данных независимого аудита анализ текущего состояния дел в этой области, а также оценка возможных убытков при поражении инфра­структуры, определение наиболее опасных типов угроз и «чувствительных» точек IT-пространства компании.

Оценка затрат

Но правильно выделить и распределить бюджет без пред­вари­тельной оценки затрат на внедрение и обслу­живания системы IT-безопасности вряд ли получится. Можно, конечно, оторвать от сердца некую произвольную сумму денег (сколько не жалко…), а дальше пусть IT-отдел «крутится» как хочет… Но тут почему-то сразу вспоминается известный мульт­фильм про то, как заказчик требовал сшить ему семь шапок из одной шкурки… В идеале не конфи­гурация системы безопасности должна быть следствием выделенного бюджета, как у нас часто принято, а вовсе даже наоборот. Задачи, которые требуют решения, должны быть опреде­ляющим фактором при выделении финансовых и человеческих ресурсов.

На сегодняшний день нормой, с точки зрения специалистов по IT-безопасности, считается, если затраты на обес­печение режима информа­ционной безопасности составляют до 30% всех затрат на инфор­ма­ционную систему в случае повышенных требований к безо­пасности (например, в банках, на критических производствах) и до 10-20% стоимости информа­ционной системы на обычных предприятиях (объекты гостайны, напомню, мы не рас­сматриваем). В этом случае система безопасности себя дейст­вительно оправдывает, и её пользователи вполне могут чувствовать себя достаточно защищёнными. В общем случае эти деньги должны пойти, например, на следующее:

• IT-аудит;
• проектные работы;
• закупка и настройка программно-технических средств защиты;
• обеспечение физической безопасности;
• обучение персонала;
• управление и поддержка системы (админист­рирование безопасности);
• периодическая модернизация и аудит системы ИБ.

И опять же — в отечест­венном малом и среднем бизнесе далеко не каждой компании по плечу всё это правильно просчитать и спрог­нозировать. Да и вряд ли в этом есть смысл. У специ­алистов, занимающихся информа­ционной безопас­ностью, имеются и опыт, и вполне адекватные методики, позволяющие оценить совокупную стоимость владения подсистемы ИБ. Причём при грамотном расчёте таких базовых составляющих, как затраты на контроль системы и предуп­реждение нарушений, общие затраты на безо­пасность могут быть существенно снижены, так как придётся меньше тратить на компен­сацию последствий нарушений политики безопасности, притом что уровень защиты будет близок к макси­мально возможному.

Разумеется, мы рассмотрели основные этапы подготовки к внедрению системы IT-безопасности в весьма упрощённом виде, на практике существует великое множество нюансов, требующих порой весьма нестан­дартного подхода. Но, думается, даже этот краткий обзор поможет отнестись к процессу создания системы IT-безопасности с должной долей ответственности. Самое же разумное при этом — не полагаться на студентов, готовых за чашку «Доширака» установить пиратские анти­вирусы, а вос­поль­зоваться услугами профессионалов. Безопасность — как раз тот случай, когда скупой платит даже не дважды, а, наверное, на порядки больше.