Что имеем — не храним; потерявши — выстраиваем ИБ

Принято считать, что отношение к информационной безопасности в компании определяется её зрелостью. Чем более зрелой является компания, тем трепетнее и внимательнее она относится к защите информации и комплаенсу в этой области. Если продолжать мысль, то можно сказать, что за последние несколько лет «повзрослеть» пришлось многим отечественным компаниям.

В основном это связано с «морем» утечек. Они спровоцировали приближение оборотных штрафов. Для подготовки к ним организациям приходится перекраивать системы ИБ. Но что делать тем, кому нужно выстраивать ИБ с нуля?

Ответить на этот вопрос поможет чек-лист, в котором мы собрали практические советы, рекомендации и обязательные этапы, которые нужно пройти, чтобы выстроить систему внутренней безопасности там, где этого никогда не делали.

А поговорить?

Перед тем как выстраивать систему внутренней ИБ, нужно узнать, понимает ли руководство, что это такое и зачем она нужна.

Если понимает, то хорошо. С этим можно работать. Перед началом, конечно, всё равно стоит удостовериться в том, что будущие действия соответствуют ожиданиям менеджмента.

Но, скорее всего, понимания не будет, так как речь идёт про компании, в которых никогда не было ИБ. В таком случае первоначальная задача — объяснить руководству: что такое информационная безопасность. Зачем она нужна. И что может произойти, если её не будет.

Для этого советую использовать свежую статистику и отчеты. Скомпилируйте их и оформите в виде презентации. В ней должно быть три ключевых момента. Во-первых, это проблемы. Должно быть понятно, что они есть, даже если пока ничего не произошло. Например, по данным нашего исследования, 100% опрошенных компаний малого и среднего бизнеса сталкивались с попытками слива данных, а 81% — с попытками корпоративного мошенничества.

Во-вторых, бездействие. Инциденты не исчезнут, даже если их игнорировать, а разбираться с их последствиями долго и дорого. В-третьих, защищаться выгоднее, чем не защищаться. Тут нужно привести конкретные цифры. На одной стороне примерная стоимость того, что необходимо для работы, а на другой средняя «цена» одного инцидента. Естественно, защищаться должно быть выгоднее, чем ничего не делать.

Подготовка

Если руководство оказалось готово к организации внутренней ИБ, то вот подготовительные этапы, с которых надо начать:

1. Проведите личную встречу-интервью с топ-менеджментом. Это поможет выяснить и проранжировать риски на самом верхнем уровне. Понять, что руководство считает или не считает инцидентом и чего не хочет допустить. Остановки бизнес-процессов, кражи коммерческой тайны или чего-то еще.

Для этого до интервью выделите примерные риски, а потом задайте наводящие вопросы. Выясните, что руководство считает ненужным, чтобы в дальнейшем не расписывать этот риск.

2. Заполните матрицу рисков. Это нужно для того, чтобы категоризировать и подробнее расписать риски с разных сторон. Их вы получили после интервью с руководством, а шаблоны матриц есть в свободном доступе. Стартовая точка для заполнения матрицы — изучение информации в свободном доступе и взаимодействие с профессиональным сообществом.

Начать стоит с уточнения структуры инцидента. То есть описания того, как может реализоваться тот или иной риск на примере конкретного инцидента. Важно выделить источники возникновения, потенциальных нарушителей, вероятность наступления и возможные последствия.

Для этого нужно опросить специалистов, работающих с информацией или процессами непосредственно «на местах», а потом проработать все сценарии реализации.

Далее разработайте и предложите контрмеры. Это самая сложная часть, которая требует понимания нескольких вещей. Во-первых, это онтология внутренней ИБ в компании. Понимания того, кто является внутренним нарушителем, что он может сделать, по отношению к чему, какова вероятность и последствия этого, а главное, как можно этого избежать.

Во-вторых, приоритизация рисков. От всего на свете не защититься, и эффективнее всего разрабатывать контрмеры к самым возможным инцидентам, а не ко всем сразу. В противном случае банально не хватит ресурсов.

В-третьих, удобство. При реализации контрмер всегда будет желание «быть удобным». Не мешать бизнесу, не выходить за минимальный бюджет и не раздувать штат исполнителей. Но поскольку всем угодить невозможно, приходится искать компромиссы.

Сами контрмеры можно реализовать очень по-разному. Это креативная задача. Нужно просчитать какие инструменты или методики будет использовать возможный нарушитель и выбрать методы противодействия или средства защиты. Они могут быть как платные, так и бесплатные, единого шаблона нет. В качестве помощника и самопроверки можно использовать матрицу внутренних рисков. Она поможет ничего не забыть и обогатиться опытом.

После заполнения матрицы у всех причастных должна появиться общая картина ИБ: какие риски есть, как и кто их может реализовать, насколько это вероятно и больно во всех планах, а также какие контрмеры нужно им противопоставить.

3. Оформите и визуализируйте отчет. Это поможет защитить будущий «проект» и согласовать бюджет. Из отчета должно быть ясно, какие риски/проблемы есть, почему защищаться от них выгоднее, чем игнорировать, а также сколько будет стоить защита и какая.

Поскольку бумажные отчёты никто не любит — лучше сделать короткую презентацию. Она легче запомнится и при необходимости всегда будет под рукой.

Подытожим. Первым делом нужно изначально выделить и проранжировать риски, узнать, что менеджмент считает или не считает инцидентом, и за что он готов платить. После этого нужно «идти по местам». Общаться со работниками, изучать процессы и рабочие места. Понять, как тот или иной инцидент может быть реализован в этой компании. После этого идет разработка контрмер и отчета.

Действие, но какое?

Итак, руководство понимает важность ИБ, информация собрана, риски расписаны, бюджеты выделены, но это не отменяет того, что всё нужно делать с нуля. С чего начать?

С требований регуляторов или «запросов» бизнеса. Первое — предписания законов или федеральных служб, организаций. Например, если вы работаете с персональными данными, то должны соблюдать ФЗ-152. Если являетесь финансовой организацией — положения Центрального банка Российской Федерации. Работа с ними требует четкого понимания нормативных требований, перечисление которых должно быть подробным. Поэтому, чтобы материал не получился слишком большим, тема нормативных требований будет вынесена в следующую статью. В этой же расскажем про «запросы бизнеса» к ИБ.

Отталкиваемся от «запросов бизнеса»

Чтобы выстроить адекватную систему внутренней ИБ, исходя из «запросов бизнеса», нужно получить ответы на следующие вопросы:

  • что топ-менеджмент компании считает важным информационным активом?
  • какие риски они видят, от чего хотят защититься?
  • что можно посчитать инцидентом и насколько критичным?

По сути, после подготовительных этапов, описанных ранее, «запросы бизнеса» уже учтены. Осталось только согласовать возможные меры контроля. Все же эффективность ИБ-отдела и мер по защите данных зависит не только от ИБ-специалистов, но и от того, как сотрудники соблюдают правила безопасной работы с данными. Конечно, они должны быть этому обучены, и речь и про это пойдет далее.

Реализация

Вот список действий для построения системы внутренней ИБ:

1. Инвентаризация активов. Нужна для понимания «стартовых позиций»: сколько компьютеров в компании, где хранятся данные, какие из них являются конфиденциальными, персональными и т. д.

За информацией о количестве компьютеров, системе коммуникации и ИТ-инфраструктуре нужно обращаться к ИТ-отделу. Информацию о том, где и какие файлы хранятся, какое они имеют наполнение, нужно получать автоматизировано при помощи систем класса DCAP.

2. Аудит прав доступа. Нужен для того, чтобы узнать кому какая информация доступна и выявить превышения полномочий. Для этого также используется DCAP. Система покажет, к каким файлам пользователи имеют доступ в данный момент.

3. Построение атрибутивной модели доступа. В оригинале она называется ABAC (Attribute Based Access Control). Используется вместе с уже внедренной моделью доступа как дополнительный слой безопасности.

Построить ABAC можно через DCAP-систему. Она использует метки, помечает файлы на основе их содержимого. Далее ИБ-специалист может настроить правила блокировки при помощи этих меток. Например, заблокировать некоторым пользователям доступ к файлу с определенной меткой. Или сделать тоже самое, но если уже используется программа удалённого администрирования (TeamViewer, AnyDesk и т. п.)

4. Контроль и мониторинг действий пользователей. Нужен для предотвращения утечек, разоблачения мошенничества, отслеживания эффективности работы и т. д. Для этого используют DLP-системы. На старте работы с ними есть три направления:

Контроль пересылки файлов. Нужен для противодействия утечкам данных. Отслеживания того, кто куда и кому пересылает те или иные файлы. Решается предустановленными политиками безопасности, которые можно кастомизировать под специфические нужды.

«Люди». Большое направление, которое подразумевает ручное расследование инцидентов, выявления корпоративного мошенничества и т. д. Универсальной методички здесь нет — все люди разные. Тем не менее есть несколько общих моментов, с которых нужно начать.

Выделите группу риска. Это сотрудники, которые из-за зависимостей, «скелетов в шкафу» и других причин, могут представлять угрозу. Сливать данные, имитировать работу, саботировать выполнение проектов. Работа с группой риска состоит из контроля «маркеров»: упоминаний ЗП, руководства, финансовых проблем, бывших коллег, запрещенных или табуированных тем, сленговых слов и выражений и т. д.

Автоматический анализ активности и эффективности сотрудников. Не самая частая задача. Нужна для контроля рациональности рабочего времени. Как правило, решается автоматически, если в DLP есть модуль, отвечающий за сбор и анализ таких данных.

5. Обучение сотрудников принципам ИБ. Нужно, чтобы минимизировать человеческий фактор. Включает в себя теорию в виде реальных кейсов и практику в виде упражнений. Например, по выявлению фишинговых ссылок. Обучение выстраивается только в форме личных встреч или вебинаров.

6. Совершенствование. Информационная безопасность подчиняется циклу Деминга — «планирование-действие-проверка-корректировка» (Plan-Do-Check-Act). Любые предустановленные правила, политики и принципы, со временем будут нуждаться в корректировке. Например, если произойдут изменения в ИТ-инфраструктуре или бизнес-процессах, нужно будет пересмотреть эффективность текущих политик или ввести новые.

Вывод

Этот чек-лист поможет пошагово выстроить внутреннюю ИБ там, где вопрос защиты игнорировался или вообще не поднимался. Приведенные этапы наиболее общие, универсальные, так как выстраиваются от «запросов бизнеса». Этот путь является самым частым и практикоориентированным. Помогает компании лучше понять ценность информации и ориентироваться на результативность.

Также есть и другой путь — опираться на требования регуляторов. В зависимости от того, в какой сфере работает компания и чем занимается, количество требований может отличаться на несколько порядков. Тем не менее, есть общие ФЗ, документы и приказы, которые действительны для большинства компаний. Именно о них пойдет речь в следующем материале.

Алексей Дрозд, начальник отдела безопасности “СёрчИнформ”