Введение
Непонимание между безопасниками и менеджментом компаний — явление известное. И те и другие, как правило, считают, что знают, какие меры защиты интересов компании в области информации необходимы и достаточны. К сожалению, плодотворного диалога между первыми и вторыми пока не получается…
Стартовая позиция
Прежде всего следует понять, где начинается и как проходит путь специалиста по информационной безопасности.
Выпускник учебного заведения в области ИБ имеет теоретическое представление о законотворчестве, математике защитных механизмов, а также о некоторых базовых технологиях, таких как межсетевые экраны, антивирусы, операционные системы, защита от несанкционированного доступа, криптосредства и т. п. Чаще всего опыт внедрения и практика работы у таковых специалистов отсутствует.
Ведущие образовательные учреждения в отрасли ИБ усиливают программу курсами от производителей решений, а также преподавателями из реального сектора экономики. Глубокое понимание инфраструктурных технологий и сертификация, подтверждающая квалификацию, почти всегда появляются благодаря индивидуальной инициативе студента, уже устроившегося на работу. И здесь заслуга работодателя, но не учебного заведения.
Зная эти особенности, работодатели готовы на протяжении нескольких лет вкладывать в новобранцев такие дисциплины, как системное представление об архитектурах информационных систем, о вертикально и горизонтально интегрированных решениях производителей, о подходах к проектированию и построению ИТ-систем, о перипетиях обеспечения работоспособности ИТ, об экономике ИТ-инфраструктуры и так далее. Ограничены эти вложения в той мере, в какой развит ИТ-ландшафт организации. Пять-восемь лет постоянной работы — и специалист может стать экспертом.
Это абсолютно нормальный процесс. В ряде западных стран в рамках образовательного бюджета даже принята официальная государственная политика поддержки стажировки на предприятиях, целью которой является воспитание квалифицированных инженеров.
И только одному не учат «растущих специалистов» — как наладить нормальный диалог, партнерство с бизнесом, если интересы бизнеса остаются невидимыми для специалистов по ИБ. Ведь в основе политики информационной безопасности должны лежать именно интересы бизнеса!
Разберем несколько ситуаций.
Ситуация 1: разработка программного обеспечения
Один ИТ-безопасник пожаловался мне, что в его организации программисту платят в три раза больше, чем ему — сисадмину. Я поинтересовался, в какой они работают отрасли; оказалось, что разрабатывают ПО на заказ. Понятно, что заказное программное обеспечение нужно разрабатывать с высоким качеством, компетенцией и в срок — за это фирма получает деньги. А вот насколько безопасна ИТ-инфраструктура компании, бизнесу, как выясняется, не столь и важно — достаточно начальной квалификации «выпускника»!
Ситуация 2: крупное производственное предприятие
ИТ-безопасники одной крупной производственной организации, работающей на конкурентном рынке, рассказали, что они три года занимались инвентаризацией и консолидацией информационных ресурсов только для того, чтобы понять, что именно следует защищать. Изначально задача стояла так: «ценная информация везде, и защищать нужно всё — рабочие места, серверы, периметры, принтеры и т. п.» Когда безопасники пришли к выводу, что самое ценное — это проекты, которые ведутся в топ-менеджменте, и финансовая аналитика, оказалось, что это давно уже было известно менеджменту предприятия!
Ситуация 3: менеджмент в области персональных данных
Тематика персональных данных — одна из самых популярных среди ИБ-специалистов, поскольку является драйвером отрасли, а также неким маячком, позволяющим ИТ-подразделениям и безопасникам обратить на себя внимание. Однако это ничуть не помогает решать обозначенную выше проблему, на что указывает наше исследование.
В ходе работ в данной сфере мы получили статистику того, как в действительности обстоят дела в организациях по этому вопросу. Цифры говорят о следующем:
- 3–5% руководителей компаний занимаются вопросом лично (из собственного интереса);
- 40% предприятий постоянно находятся в фазе «на пути к организации обработки персональных данных»;
- 50% компаний думали об этом, но не проводили мероприятий по организации обработки персональных данных;
- 10% в той или иной степени организовали эту работу;
- 30% сделали её один раз — в далеком 2010 году;
- 60% не знают, что работа эта должна проводиться постоянно, а контроль должен быть регулярным;
- в 80% случаев лицом, ответственным за организацию обработки персональных данных, назначается, причем зачастую неформально, рядовой исполнитель из юристов, кадровиков или ИТ-специалистов.
Время идет, и нетрудно представить, что реестр операторов персональных данных Роскомнадзора, охватывающий всего 5% реально существующих таких операторов, стремительно стареет, поскольку записи от 2010 и даже 2012 года уже нельзя считать актуальными.
Ситуация 4: необходимость квалифицированного обслуживания ИТ-системы
Руководители одной организации — заказчика комплексной системы информационной безопасности попросили оценить стоимость ее обслуживания. Из подготовленной сметы специалисты компании вычеркнули многие виды работ, необходимых для поддержания ИТ-системы в рабочем состоянии. Единственным верным шагом в этой ситуации с их стороны было бы взять данные работы на себя, но они этого не сделали, поскольку не обладают нужной компетенцией. Руководство компании требовало обеспечить эффективную эксплуатацию системы, в которую вложены немалые средства, и поступило в данном случае правильно: смета была подписана со всеми работами, предложенными подрядчиком.
Обобщение
Несмотря на существенные различия, все ситуации отражают наличие подхода к защите интересов сторон бизнеса в информационной сфере. Именно так предлагается трактовать информационную безопасность в дальнейшем. Следует заключить, что сам факт длительного существования любого бизнеса говорит о том, что такой подход у него есть и ключевые риски безопасности ему известны.
В ISO 27001 присутствует, вероятно, один из самых непонятных для неопытных специалистов пунктов: «Организация должна определить подход к оценке рисков ИБ». Собственно, когда нет опыта работы с рисками, то ни о каком подходе говорить не приходится. Его попросту невозможно сформулировать, если только не подойти к вопросу формально и не нарисовать стандартные четыре варианта из теории риск-менеджмента; таких документов в Интернете пруд пруди, включая модели угроз, выполняемые для информационных систем персональных данных (ИСПДн), ГИС и т. д., в 99% которых не учитываются главные угрозы безопасности — угрозы для интересов сторон бизнеса. Документы, не оперирующие категориями бизнес-рисков, бизнесу не интересны.
Разбор ситуаций
В первой ситуации компания уже давно сформулировала для себя подход: «Беречь опыт!». Именно этот важный актив подлежит защите. Риск для бизнеса снижается путем повышенной материальной мотивации соответствующих позиций персонала.
Но видели ли мы хотя бы в одной модели угроз эту категорию риска, а в проекте защиты информации — такие меры, как обеспечение компетентности и квалификации? Что будет, если уволятся или уйдут в длительный отпуск ключевые специалисты или руководители?
Речь, конечно, идет о сфере коммерческой тайны, но точно так же обстоит дело и с тайной служебной, банковской и другими её видами. Вопрос персональных данных, правда, занимает особое место, но закономерности эти характерны и для них, на чем остановимся позднее.
Во второй ситуации также отражен свой подход к рискам ИБ — топ-менеджмент за долгие годы управления получил опыт и имеет представление о перспективах бизнеса, в том числе о методах охраны информации для успешной реализации планов. Среди методов — защита коммуникаций в топ-менеджменте, что часто делается без какого-либо участия ИБ-специалистов — неформально, интуитивно.
В последние годы ввиду роста бизнеса во многих организациях информатизация добралась и до менеджмента, а в информационных системах стало помещаться и аналитически обрабатываться больше информации с наивысшей ценностью. Это означает неминуемое посвящение ИТ-безопасников в эту информацию. Фактически допуск безопасника становится почти равносильным пропуску в проекты топ-менеджмента, а значит, требует, чтобы он понимал бизнес. Возникает реальная потребность в топ-менеджере с функциями CISO и в его менеджерской квалификации типа MBA.
Однако для многих секторов и для некоторых категорий информации это до сих пор не актуально — из-за того, что менеджмент невысоко оценивает риски ИБ и их влияние на деятельность предприятий. Что бы ни было нарисовано в модели угроз, но по совокупности действий менеджмента всегда можно увидеть действительный, а не бумажный подход к рискам.
Об этом свидетельствует и статистика из области персональных данных — эта тема просто неинтересна топ-менеджерам, что говорит об их отношении не только к важности ИБ, но и к правовой составляющей вопроса, которая при надзоре имеет первостепенное значение.
Но интересно ли это самому субъекту персональных данных? Европейцы, которые уже 34 года внедряют единые правила, с удивлением обнаруживают, что субъектам тонкости правовой защиты персональных данных попросту безразличны. Оказывается, ими движет элементарное доверие. Доверие к государству, к известным брендам, к известным людям, к авторитету друзей и близких. Решение препоручить кому-то свою частную жизнь принимается интуитивно, исходя из доверия или недоверия — без бюрократических проволочек и чтения изнурительных «политик». Люди чаще всего склонны поступать так же, как и большинство окружающих. В этом и есть культура. Но это не означает, что организациям ничего не нужно делать. Нужно — и еще как, чтобы доверие заслужить! Выходит, что даже не выполняя формальных требований по защите персональных данных, успешные организации отлично знают своих клиентов и защищают их интересы, а клиенты — доверяют им.
В четвертой ситуации мы вновь видим политику защиты опыта. Организация решает, что должна сосредоточиться на собственном бизнесе и повышать эффективность в том, что она хорошо умеет делать. Простые типовые ИТ-функции она оставляет за собой, но при этом стремится максимально продуктивно эксплуатировать систему, в которую вложены немалые средства. Для этого она привлекает компетентного подрядчика.
Стать частью каравана
Рассуждая о подходе бизнеса к рискам ИБ, мы приходим к следующему заключению: менеджмент успешного бизнеса отлично знает три ключевых условия движения его каравана — это клиент, экономика и опыт. Оказывается, беречь опыт — одна из ключевых мер обеспечения информационной безопасности. Опыт дается тяжелым трудом, и у него есть важное свойство самозащиты — его нельзя скопировать и нельзя в одночасье уничтожить. Это подтверждается историей корпораций, государств и всего мира.
Знают ли об этом ИТ-специалисты и безопасники? Чаще всего нет, поскольку им интересно, из чего построены стены, закрыты ли двери и насколько хорошо процессы отражают модель действительности. Конечно, и этот аспект важен, но у бизнеса другие приоритеты.
Добиться понимания со стороны менеджмента можно только одним путем — став частью каравана: влиться в него, дополнить его тем, что не только не остановит его, а напротив, поможет идти. Для этого придется изучать клиента и экономику, а также накапливать опыт вместе с бизнесом. Только при таком подходе бизнес увидит в ИТ-безопаснике не противника, а партнера.
ТРУДНОСТИ ПЕРЕВОДА
Бытует непонимание пришедшего с Запада понятия «бизнес» — некоторые госорганизации не считают, что они занимаются «бизнесом», то есть делом. Недавно такая ошибка привела к тому, что одна крупная организация исключила из аудита целый раздел требований ISO 27002 о непрерывности бизнеса, касающийся доступности информации и сервисов. Это неправильно: под «бизнесом» следует понимать любую организацию, в том числе государственную. И тогда все встает на свои места, а терминология и качественные методики могут успешно применяться.