Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

руководителям. Примеров, к сожалению, наша действительность

предлагает слишком много.

Ну, а если вспомнить о возможных «скрытых» целях

менеджмента, которые не соответствуют провозглашенным и носят

зачастую криминальный оттенок, то становится понятно, что

правильно организованная безопасность для них просто вредна,

так как преследует прямо противоположную цель: добиться

максимально возможной прозрачности в деятельности коллектива

по выполнению официально сформу лированных перед ним задач.

По мере развития любой отечественной компании и роста

стоимости ее информационных активов в той же мере развивается

и служба информационной безопасности. При этом стратегия и

тактика работы этой службы становится не только одной из

основных функций высшего менедж мента компании, но и ее

конкурентным преимуществом. Успех политики информационной

безопасности компании зависит, конечно, от организационных и

технических решений в области защиты информации. Но

эффективность кадровых решений — вот что дает настоящие

конкурентные преимущества. Или не дает. Давайте рассмотрим, ка-

ким уровнем компетентности должны обладать специалис ты

современной службы информационной безопасности российской

компании, и как он влияет на сумму конкурентных преимуществ

компании.

16.1 Место отдела ИБ в структуре организации

Сегодня ведущие отечественные компании создают две клю -

чевые позиции, отвечающие за информационную безопасность

(ИБ):

1) CISO (Chief Information Security Officer) директор по

информационной безопасности, который отвечает, главным

образом, за разработку и реализацию политики безопасности

компании, адекватной происходящим в ней бизнес-процессам.

2) BISO (Business Information Security Officer) менеджер/

специалист службы информационной безопасности, который

занимается практической реализацией политики ИБ на уров не

подразделения, например планово-экономического отдела, службы

маркетинга или автоматизации.

Согласно Gartner Research 2001 в компаниях, входящих в

список Global 2000, наблюдается несколько тенденций структуры

подчиненности специалистов по ИБ в рамках штатного расписания

организации.

Одна из них вывод CISO из структуры отдела

ИТ/автоматизации в подчиненность первому лицу компании

(изменение статуса). Причина в том, что директор по

информационным технологиям/ автоматизации (СЮ) и директор по

информационной безопасности (CISO) имеют разные

конфликтующие интересы. СЮ отвечает за работоспособность и

оперативность работы КИС. В то же время CISO заботится о

целостности и безопасности КИС с точки зрения непрерывности

или устойчивости бизнеса. Иными словами, компаниям придется

находить баланс между стремлением к наиболее быстрым спосо-

бам доставки информации и помехами, создаваемыми допол-

нительным контролем. Поэтому, как отмечает Gartner Research

2001, СЮ и CISO должны быть независимыми друг от друга, и оба

подчиняться первому лицу компании.

Другая тенденция (в некоторых компаниях) — слияние

департаментов информационной и физической безопасности в

связи с тем, что у них есть некоторые общие функции: на пример,

защита перспективных планов развития компании, решение задач

контроля и управления доступом, защита ак тивов компании и пр.

Наиболее продвинутые в отношении ИБ и управления рис ками

компании инвестируют средства в позицию СРО ( Chief Privacy

Officer), русский аналог заместитель директора по безопасности. В

этом случае CISO будет подчинен СРО.

Рассмотрим один из возможных вариантов места с лужбы ИБ в

компании.

Структура подчиненности службы ИБ компании.

Можно спрогнозировать, что рынком буду т востребованы

специалисты по ИБ с мощной технической и управленческой

составляющей, что традиционно является проблемой для рос-

сийского рынка труда.

К аналогичным выводам пришли аналитики консалтин говой

компании КПМГ [94], отметив, что в наиболее благо получных с

точки зрения ИБ компаниях эта функция вхо дит в компетенцию

высшего руководства. Согласно исследованию КПМГ, почти в

половине организаций ответственность за ИБ была определена на

уровне совета директоров, что наиболее характерно для

финансового сектора. Непосредственное участие топ-менеджмента

организации необходимо для постановки правильных целей в

области ИБ. Руководство должно обеспечить функцию

безопасности надлежащим уровнем инвестирования и ресурсов, а

также оценивать ее эффективность.

Профиль компетентности.

Если поиск компетентного специалиста на позицию BISO

вопрос сложный, но вполне решаемый (во всяком случае, на

московском и петербургском рынках труда), то поиск CISO, по всей

видимости, является самой настоящей проблемой по причине

несформированности профиля компетенции и отсутствия

подготовленных специалистов.

Действительно, главная задача CISO это оценка и управление

технологическими, производственными и иными рисками компании

в срезе информационной безопасности. Роль CISO по этим

вопросам предполагает, что данный специалист должен быть

способен идентифицировать риски и управлять ими в соответствии

с целями и задачами компании и уровнем ее развития. Свою

специфику также вносит сфера деятельности компании, ее размер

и стоимость информационных активов.

CISO, по-видимому, будет входить в верхний эшелон уп-

равления компанией, чтобы иметь возможность сбалансиро вать

потребности бизнеса и требования безопасности с учетом

усложняющихся технологий, возросшего числа действий зло-

умышленников и террористических актов, требований зако-

нодательства и ожиданий партнеров. Дело в том, что потребности

бизнеса систематически «входят в клинч» с потребностями

безопасности. CISO должен быть способен «переводить с русского

на русский», то есть с технического на тот язык, который могут

понять руководители бизнеса. В дополнение к солидному

образованию и опыту в области защиты информации CISO,

несомненно, должен обладать стратегическим скла дом ума,

фундаментальными познаниями в управлении предприятием и

лояльностью к компании. Для этого недостаточно только

технического (технологического) образования, также как и только

«защитного». Есть два пути замещения вакантной позиции CISO.

Один заключается в заполнении этой позиции аудиторами или

аналитиками в области безопасности. Проблема в том, что

хороший аналитик и хороший управленец не одно и то же. Это

люди с принципиально разным складом ума, струк турой мотивации

и компетентностью. Проще говоря, им нравится и они умеют

разное. Для совмещения «двух в одном» профессионала ана литика

в этом случае нужно значительно «подращивать» и укреплять по

менеджерской составляющей.

Второй путь привлечение готового или почти готового

специалиста из числа своих же сотрудников. В этом случае

профессиональная компетенция будет усилена еще и знанием

конкретного производства.

Сертификация CISO.

В настоящее время существуют три наиболее серьезных

системы сертификации специалистов по защите информации.

По данным Gartner Research, среди компаний, составляю щих

Global 2000, предпочтения в области сертификации рас-

пределяются следующим образом:

- сертификацию CISSP (компания ISC) при приеме на работу

или аттестации персонала требуют 40 % компаний;

- сертификат SANS 15 % компаний;

- другие (MCSE, CISA, АВСР, внутренняя сертификация) 25 %.

Функции CISO.

По мнению аналитиков, CISO должны быть способны вы-

полнять следующие функции:

- разработку политики в области ИБ, включая регламен ты,

стандарты, руководства;

- разработку принципов классификации информационных

потоков и управления ими с точки зрения безопасности;

- анализ рисков, их оценку;

- обеспечение персонала всех подразделений руководства ми

по исполнению политики безопасности, организацию со-

ответствующего обучения и инструктирования;

- консультирование менеджеров компании и исполнитель ского

персонала в пределах их компетенции по вопросам ин-

формационных рисков и защиты от них;

- согласование всех политик и регламентов для их успеш ного

внедрения на всех уровнях компании;

- работу в составе рабочих групп или экспертных сове тов,

оценивающих риски при внедрении новых технологий,

модернизации производс тва, формировании планов технического

обновления или иных изменениях в бизнесе, включение аспектов

ИБ в самые ранние этапы данных про ектов;

- совместная работа со службой безопасности в части, ка-

сающейся их обоих, например, в функционировании пропускной

системы;

- участие вместе с топ-менеджментом в управлении кризисом

или внештатной ситуацией в области защиты информа ции в случае

возникновения таковых;

- обеспечение высшего менеджмента компании регуляр ными

обзорами состояния информационной безопасности, отчетами о

внедрении политики безопасности;

- информационную поддержку топ-менеджеров в вопросах

изменения законодательства, технических новшеств, имею щих

отношение к сфере информационной безопасности.

Позволим себе несколько советов, которые могут помочь

российским компаниям подготовить своего CISO.

1. CISO это не башня из слоновой кости. С первых дней

появления CISO в составе совета директоров ему придется

находить общий язык с огромным количеством людей, вы-

полняющих самые разные фу нкции.

2. Открытость, с одной с тороны, и избирательные комму-

никации, с другой. Позиция предполагает следующую модель

поведения: много слушаю, много собираю информации, много

синтезирую мало говорю.

3. Возможно, есть смысл в административном помощ нике в

связи с высокой информационной загруженностью. Позиция

предполагает большую повседневную работу по информированию,

разъяснению огромному количеству лю дей принципов построения

системы ИВ и их личной роли в ее нормальном функционировании.

Если CISO не нравится заниматься этим, вряд ли он/она будет

очень успешен.

4. CISO не должен бояться слышать регулярное «нет» в ответ

на свои предложения и требования, во всяком случае, на первых

порах.

5. CISO сам должен быть хорошим менеджером и комму-

никатором его работа не может быть выполнена им в одиночку.

16.2 Подбор персонала отдела информационной

безопасности

Существует два пути создания отдела информационной

безопасности.

Первый — создание отдела информационной безопасности за

счет подготовки, реорганизации и перераспределения ИТ –

специалистов. Так, для отражения вирусной атаки можно привлечь

собственных программистов, но в этом случае их основная работа

окажется невыполненной. И неизвестно, что обойдется дешевле,

взять нового специалиста или дергать своих сотрудников.

«Хорошая безопасность означает предотвращение вирусов и атак,

их своевременное обнаружение и немедленную реакцию на них.

Если вы не создаете команду для обеспечения этого процесса, вы

подвергаете свою компанию более высокому риску, связанному с

последствиями внешних атак». (Девид Соул, исполнительный вице-

директор и директор информационной службы страховой компании

Zurich North America) [118].

Фактически, нельзя оценить урон, который может быть нанесен

в результате хакерских атак. Многие считаю т, что нельзя отвлекать

ИТ - персонал от решения его задач для решения задач

безопасности, потому что решение бизнес задач поставит задачи

обеспечения безопасности на дальний план. Ведь основное в

компании получать прибыль, а не безопасность ради безопасности.

Поиск талантливых профессионалов по безопасности мо жет

быть весьма трудным, а переподготовка имеющихся кад ров в

области информационных технологий, новичков в области

безопасности, весьма долгой и дорогостоящей.

Возможен еще один вариант привлечение внешних компаний

для решения проблем безопасности. Но в этом случае будет

избрана компания, которой придется доверить все сек реты.

Менеджеры, ведущие поиск талантливых, опытных спе-

циалистов по безопасности, знают, что их не так много. Раз рыв

между спросом на таких специалистов и предложением очень

велик.

Какие же можно дать рекомендации?

1. Руководители компании сами должны понять для чего они

нанимают специалиста. Ни один уважающий себя профессионал в

области безопасности не захочет работать в ком пании, которая не

понимает, для чего его нанимают.

2. Необходимо быть готовым, что квалифицированный

специалист по ИТ-безопасности стоит дорого.

3. Индустрия безопасности очень закрытая область, поэтому

стоит заранее обратить внимание на специалистов из секретных

служб, армии.

4. Университеты, которые имеют хорошие учебные программы

с курсами по информационной безопасности» также могут

предоставить начинающих специалистов.

5. Можно искать специалистов в компаниях, предоставля ющих

услуги по безопасности.

Итак, руководс тво компании получило специалистов. Что

делать дальше?

После того, как наняты хорошие работники, их надо удер жать.

Инструменты, признание и высокий уровень оплаты вот основные

факторы успеха.

Инструменты. Профессионалы, работающие в области ин-

формационной безопасности, с тремятся стать профессиона лами с

большой буквы, асами своего дела, специалистами на вершине

пирамиды. Использование передовых инструментов, самых новых

технологий позволит им чувствовать себя на передовых рубежах

своей профессии. Если предприятие обладает разнообразной

информационной средой, это сильный фактор для

заинтересованного труда специалиста по ИТ-безопасности. Среди

самых желанных «игрушек» для специалистов по безопасности

можно назвать Nessus, LAN Guard, XSpider (сканеры сетевой

безопасности), Snort (инструментарий обнаружения атак), RAT

(Router Analysis Tool, системный тестер маршрутизаторов).

Признание и значимость. Для привлечения кандидатов в

качестве дополнительных стимулов могут быть оплата пере-

подготовки, сертификации и участия в конференциях. Специалисты

по безопасности «расцветают» от признания заслуг.

Профессионалы в области безопасности могут потерять инте рес к

работе, если они не чувствуют поддержку руководства.

Это, конечно, справедливо для любой категории работающих,

но специалисты в области информационной безопасности име ют

самый широкий доступ ко всем вашим секретам. Поэтому в спорах

между сотрудниками ИТ и сотрудниками ИТ безо пасности

необходимо находить золотую середину (безопасность не мешает

бизнесу, бизнес не мешает безопасности). Однако следует помнить

о разумной достаточности безопасности. Если секреты стоят 10

тысяч долларов, то неразумно покупать систему безопасности за

100 тысяч.

Основной инструмент признания — высокая оплата тру да. Не

надо забывать, что зарплата специалиста по безопас ности должна

быть на высоком уровне.

Если по тем или иным причинам предприятие не желаете или

не может искать специалистов на стороне необходимо обратить

внимание на собственный персонал. Наиболее подходящие

кандидаты сетевые администраторы. Они обладают хорошими

техническими знаниями и некоторыми познания ми в области

безопасности. Надо подумать о возможной пере подготовке, при

этом необходимо учесть, что кандидаты для переподготовки

должны быть добровольцами. Нельзя заставить заниматься

безопасностью из-под палки. При отборе кандидатов необходимо

обращать внимание на наличие навыков межличностного общения.

Основное в работе сотрудника информационной безопасности

умение общаться с людьми. Когда определен круг кандидатов,

необходимо обучить их, они должны получить подготовку по общим

вопросам безопасности, а затем по более узким. Существует

несколько способов подготовки.

Предложите сертификационные курсы. Несмотря на то, что

большинство экспертов в области информационной безопасности

считают, что сертификация не столь необходима как навыки и

опыт, наличие сертификата по окончании курсов поднимает

престиж курсов в глазах обучаемых и застав ляет их относиться

серьезнее к процессу обучения.

Постарайтесь, чтобы постав щики проводили обучение.

Такие производители инструментов по безопасности, как Symantec,

Cisco Systems и Check Point Software Technologies, представляют

собственные курсы подготовки по своим про дуктам. Но такие курсы

стоят очень дорого.

16.2.1 Требования к специалистам по информационной

безопасности

Эффективность работы сотрудников, на которых возло жены

обязанности обеспечения безопасности информацион ных

технологий, зависит от уровня их подготовки и наличия у них опыта

работы. В связи с тем, что специалистов в области защиты

информации в массовом порядке вузы стали го товить лишь в

последние годы, в настоящее время должности ответственных за

обеспечение информационной безопасности в организациях

различного масштаба и сфер деятельности занимают специалисты,

вынужденные перепрофилироваться. Новые специальности, о

которых идет речь, возникли на стыке двух направлений ~

информационных технологий и тех нологий обеспечения

безопасности. Поэтому информационной безопасностью занялись

специалисты, пришедшие из «других видов» безопасности

(выходцы из различных силовых структур), либо специалисты в

области программирования, вычислительной техники и связи.

Третья, пока немногочис ленная категория на рынке труда -

выпускники вузов без опыта работы, но с соответствующей базовой

подготовкой. В любом случае всем указанным категориям

приходится осваивать «недостающую часть» специальности.

Самыми востребованными на сегодня специалистами в об -

ласти обеспечения информационной безопасности, в которых

^испытывают потребности как государственные, так и ком-

мерческие структуры, стали [65]:

- руководители специальных подразделений защиты ин-

формации, ответственные за состояние информационной

безопасности в автоматизированных системах (АС), организа цию и

координацию работ по созданию комплексных систем защиты

информационных технологий;

- аналитики по компьютерной безопасности, ответствен ные за

анализ рисков, связанных с использованием информационных

систем, определение требований к защищенности их ресурсов,

обоснованный выбор методов и средств защиты, а также за

разработку организационно-распорядительных документов;

- администраторы средств защиты, ответственные за эф-

фективное применение штатных для операционных систем и СУБД

дополнительных средств защиты, а также средств контроля

защищенности ресурсов автоматизированных систем и средств

обнаружения атак.

Компьютерная безопасность требует комплексного реше ния

широкого спектра правовых и организационно-технических

вопросов, поэтому руководителям и аналитикам подраз делений

обеспечения информационной безопасности в авто-

матизированных системах необходимы знания [48]:

- о теоретических и правовых вопросах защиты информа ции в

АС, обеспечения безопасности информационных техно логий;

- о задачах, функциях и основных направлениях деятель ности

своих подразделений обеспечения информационной бе зопасности

в АС;

- о принципах построения комплексных систем защиты АС,

современных технологиях обеспечения информационной

безопасности, предусматривающих рациональное распределе ние

функций и организацию эффективного взаимодействия по

вопросам защиты информации сотрудников всех подраз делений,

использующих АС и обеспечивающих ее функционирование;

- о основных защитных механизмах, возможностях средств

защиты информации от несанкционированного доступа, средств

криптографической защиты информации, межсете вых экранов,

средств анализа защищенности, средств обна ружения атак

(вторжений), порядка их применения для обнаружения и

устранения уязвимостей в информационных системах и

обеспечения безопасности в сетях.

Аналитикам в области компьютерной безопасности, кроме

перечисленных, требуются знания основ проведения информа-

ционных обследований, выявления значимых угроз, анализа и

оценки рисков, способов управления рисками, применения раз-

личных видов защитных мер в подсистемах АС, а также вопросов

разработки нормативно-методических и организационно-

распорядительных документов, необходимых для реализа ции

указанной технологии. Им следует знать подходы к оцен ке

характеристик и выбору необходимых программно-аппаратных

средств защиты ресурсов компьютерных сетей, осно вы поиска и

использования оперативной информации о новых средствах

защиты и другую актуальную информацию по безо пасности АС,

контролю и анализу эффективности применения и достаточности

конкретных мер и средств защиты.

Администраторам средств защиты необходимы знания и

навыки по:

- проблемам информационной безопасности в сетях

Internet/Intranet, уязвимостям распространенных ОС, СУБД и

приложений, сетевых протоколов и служб, атакам в IP-сетях

типовым приемам проникновения в корпоративные сети,

реализуемым за счет использования данных уязвимостей, и

популярным в среде нарушителей инструментальным сред ствам

взлома систем защиты;

- основам поиска и использования оперативной информа ции о

новых уязвимостях в системном и прикладном программном

обеспечении;

- эффективному применению конкретных средств защиты

информации от несанкционированного доступа, средств

криптографической защиты информации, межсетевых экранов,

средств анализа защищенности и средств обнаружения атак.

16.2.2 Подготовка и повышение квалификации специалистов по

ИБ

Как же должен проходить процесс подготовки и повы шения

квалификации специалиста, назначенного на должность, связанную

с обеспечением информационной безопас ности организации? В

отличие от вузов, где учебный процесс длится достаточно долго

(не менее пяти лет) и ориентирован на студентов, не имеющих

базовых знаний, курсы повышения квалификации, предлагаемые

учебными центрами, рассчитаны на слушателей с хорошей базовой

подготовкой и позволяют им за сравнительно короткий срок при-

обрести необходимые для решения конкретных задач прак тические

знания и навыки.

При принятии руководством предприятия решения о вве дении

(совершенствовании) политики информационной безопасности,

назначении на должности специалистов по защите информации

новых сотрудников или вменении в обязанности существующего

персонала функций по защите информации рекомендуется

направлять сотрудников на специальные курсы по технологии

обеспечения информационной безопаснос ти. При обучении на

таких курсах специалисты смогут не только структурировать

имеющийся у них опыт, но и углу бить, обновить свои знания,

изучить как технологические, так организационные и юридические

вопросы обеспечения информационной безопасности. Особо

важным, с нашей точки зрения, представляется подробное,

пошаговое рассмотрение процесса внедрения концепции

информационной безопасности в реальность, с опорой на

прилагаемые к курсам методические материалы, на основе

которых специалисты могут создавать (совершенствовать)

документы, определяющие и регулирующие вопросы соблюдения

политики безопасности на предприятии.