Сама по себе ИБ и система защиты вам не принесет доход – это факт. Но ее наличие, грамотно выстроенная архитектура ИС, правильно настроенные СЗИ в комплексе позволят избежать наступления недопустимого для Вашего бизнеса события. В статье мы разбираем последовательность действий в рамках типового проекта на создание системы защиты ИС и определяем пользу от каждого этапа работы.
Мы знаем, что сложно доказать ценность того, чего ты не видишь, особенно ценность того, во что ты инвестируешь деньги и не получаешь при этом доход.
Но давайте пойдем от обратного?
Представим, что есть высокий риск утечки ПДн или реализации компьютерного инцидента, по причине которого может быть приостановлено производство. Допустим, что этот риск мы принимаем и ничего с ним не делаем. Просто надеемся на то, что все будет хорошо, естественно деньги на ИБ не тратим (нет трат на ИБ, нет издержек). До определенного момента так и есть, Компания работает в штатном режиме, производство выпускает продукцию и своевременно отгружает ее заказчикам.
Но как гром среди ясного неба Вам сообщают – линия не работает, не можем понять в чем причина, или, например, к вам приходят с просьбой пояснить причину утечки ПДн тысяч записей о Ваших клиентах.
И здесь два варианта развития событий:
1) Наступает паника. Вы пытаетесь спешно реанимировать производство, найти специалистов, и вновь запустить работу линии, так как задержки в отгрузке – издержки для Компании. Или сообщаете, а может и не сообщаете в РКН о том, что случилась утечка – случилось и ладно, без этого проблем хватит, но получаете штраф от РКН или жалобы от субъектов ПДн, чьи данные вы не сберегли – издержки для Компании.
2) Вы не паникуете, просто приносите извинения Заказчикам, партнерам, клиентам. К вам теряют доверие, с Вами разрывают отношения из-за несостоятельности и невозможности гарантированно в срок получить заказ или услугу. Сарафанное радио делает свое дело, и с Вами далеко не каждый хочет иметь дело – и это тоже издержки для компании. Но они, пожалуй, куда хуже, чем первый сценарий.
Инвестиции в производство, в бизнес, есть. Нет издержек на ИБ, но есть издержки на меры, которые направлены на устранение последствий, а не причин.
А теперь представим, что вы все-таки задумались над тем, что пора как-то обезопасить свой бизнес. Вы (ваше ИТ-подразделение) установили антивирусное ПО, реализовали парольную защиту и разграничение доступа пользователей. Постепенно вы совершенствуете систему защиты, начинаете применять специальные средства защиты. Но все делается на основе проб и ошибок, попробовали – вроде работает. Риск атак и остановки производства ниже, ниже и риск утечки ПДн.
НО… здесь появляется еще один риск – специалист по ИТ или ИБ, тот кто знает вашу инфраструктуру, систему защиты решил уволиться. Вы нанимаете нового, все вроде бы хорошо. Но новому специалисту потребуется не один месяц, чтобы разобраться во всех тонкостях и нюансах, понять причины именно таких настроек сетевого оборудования, средств защиты и ОС. И вновь повторяется «страшный сон», снова издержки. ИБ – неэффективна, все равно история повторилась.
Если первый сюжет – это хаус для ибшника, то второй – уже приобретает черты упорядоченного хауса... Сложно – нет системности в принятии решений по вопросам обеспечения информационной безопасности. Просто – нет порядка в ИТ-инфраструктуре Компании (да простят нас Ваши ИТ специалисты).
Теперь вопрос…
С чего начать?
Театр начинается с вешалки, а любой процесс – с его регламентации, описании на бумаги. Это как описать дорогу из пункта А в пункт Б. Ключевое здесь:
1 определить пункт А – из какого исходного состояния защищенности информационных систем Вы начинаете свой путь, что в реальности происходит с вашими информационными системами.
2 определить пункт Б – чего вы стремитесь достичь: какой уровень риска приемлем, какие недопустимые события определяете для себя. В конечном счете, какого уровня защищенности хотите достичь.
3 определить маршрут – как вы пойдете до пункта Б: через тернии, самостоятельно пытаясь выстроить систему защиты, или же короткой дорогой, обратившись к специалистам (интеграторам). Маршрут зависит от бюджета, возможностей и знаний штатных специалистов. Каждый вариант хорош по-своему, и каждый стоит денег и времени. В любом случае Вам нужен план и его нужно будет придерживаться.
Представим, что Вы решили идти по пути наименьшего сопротивления и решили обратится за помощью к интегратору информационной безопасности (❗не забудьте проверить у него наличие соответствующей лицензии ФСТЭК).
Сразу возникают вопросы: почему столько документов нужно сделать? Нельзя сразу прийти и сделать?
Разберемся вместе с непростым вопросом.
За что плачу?
Чтобы понять, что действительно стоит оплачивать и как не переплатить за лишние документы, давайте разберемся в последовательности действий в рамках типового проекта на создание системы защиты ИС. Сразу будем определять пользу от каждого этапа работ:
1. Собрать данные о процессах обработки ПДн и ваших информационных системах
Провести некую инвентаризацию вашей ИТ – инфраструктуры.
✔ Документ: описание ИС, анкета по каждой ИС.
2. Структурировать полученные в ходе опросов, анкетирования, изучения эксплуатационной документации на ИС данные
Саккумулировать все знания о системах в одном месте на бумажном носители, а не в голове ИТ-сотрудников. Выявить несоответствия как в архитектуре ИС, так и в их ИБ.
✔ Документ: отчет о сборе исходных данных или отчет об аудите ИБ.
3. Провести моделирование угроз безопасности информации
Определить (из пула известных 222 угроз из БДУ ФСТЭК), что действительно угрожает ИС и ПДн и с наибольшей долей вероятности может привести к утечкам ПДн и нарушению работы ИС. Выявить актуальные для ИС Компании.
✔ Бонус – выполнить требования статьи 19 ФЗ-152 (это необходимо делать не реже 1 раза в 3 года, если ваши ИС не претерпели изменений. В противном случае моделирование нужно делать по факту изменений).
✔ Документ: модель угроз ИСПДн
4. Сформировать перечень мер защиты, позволяющий нейтрализовать угрозы безопасности ПДн и выполнить требования регуляторов
Меры защиты закреплены в приказах ФСТЭК и ФСБ. Их более 120, они разделены на 15 групп мер. Каждой угрозе должно быть выполнено сопоставление мер защиты. Базовый набор мер защиты при необходимости должен быть дополнен мерами, которые однозначно позволят угрозу сделать неактуальной на каждом инфраструктурном уровне ИСПДн.
✔ Документ: техническое задание на систему защиты ПДн
5. Сформировать перечень средств защиты, позволяющий нейтрализовать угрозы безопасности ПДн и выполнить требования регуляторов
Меры защиты могут быть выполнены как с помощью организационных мероприятий, так и технических средств. В рамках данного этапа определяется, с помощью чего и как выполнить все необходимые меры и обеспечить требуемый уровень безопасности ПДн и ИС Компании.
✔ Документ: технический проект на систему защиты ПДн
6. Внедрить средства защиты
Если техническим проектом предусмотрены средства защиты, настройка которых затруднительна для ваших специалистов, то и тут Вы можете нанять интегратора для создания системы защиты.
✔ Документ: описание настроек, программа и методика испытаний, эксплуатационная документация (при необходимости)
7. Разработать локальные нормативные акты по защите информации
Внедрив технические средства, необходимо в рамках компании выстроить процессы защиты: обучить персонал базовым правилам защиты, предоставить регламенты, с которыми они должны ознакомиться, и положения, которые нужно будет соблюдать. Нужно понимать, что какое бы совершенное не применялось средство защиты, упертый незнающий пользователь найдет способ «все сломать».
Сколько стоят средства защиты и их внедрение?
Порядок цен абсолютно разный, но все зависит от того, на сколько большая у Вас ИТ-инфраструктура, как построена сеть и как реализовано взаимодействие с пользователями. Для грубой прикидки приведем примерный порядок цен:
• Средство защиты от НСД с модулем антивирусной защиты на 1 рабочее место/сервер – 8000 р (бессрочно)
• Сертифицированная ОС – от 15 000р + стоимость продления
• Межсетевые экраны от 200 000 р + стоимость продления технической поддержки
• Средства контроля и анализа защищенности – от 15 000
• Защита среды виртуализации – от 70 000 р
• Системы обнаружения вторжений – от 300 000 р
Но в любом случае рекомендуем сравнивать несколько вариантов реализации системы защиты, их плюсы и минусы, стоимость. Также рекомендуем позаботиться об этом уже на этапе моделирования угроз, чтобы на этапе согласования спецификации оборудования не было разочарования от количества нулей и невозможности реализовать то, что предложили проектировщики.
Подытожим
Создание системы защиты начинается не с установки средств защиты, а с наведения порядка в Вашей информационной инфраструктуре. Уже как следствие документирование всего и вся. Поэтому платить приходится за документы, затем за железо.
Чтобы не было разочарований:
Даже наличие средств защиты не спасет от атак. Но их наличие позволяет быстрее и правильнее среагировать и предотвратить утечку ПДн, длительного простоя производства или неоказания услуги клиентам.
Само по себе ИБ и система защиты вам не принесет доход – это факт. Но ее наличие, грамотно выстроенная архитектура ИС, правильно настроенные СЗИ в комплексе позволят избежать наступления недопустимого для Вашего бизнеса события.
Напомним
«Не так страшен регулятор, как его визит с проверкой. Но пока мораторий можно немного перевести дух и заняться бизнесом», – подумали многие и отложили вопросы ИБ в сторону.
До недавнего времени в полномочия Роскомнадзора не входила проверка технических мер защиты информации. С 2021 года данное ограничение было снято с регулятора, и теперь он правомочен проверять всё, что хоть как-то касается ПДн и их безопасности.
Даже несмотря на мораторий, РКН проводит внеплановые проверки операторов, их сайтов и фактов утечек ПДн. За последний только месяц к нам обратилось несколько десятков операторов с просьбой помочь с ответом на запрос РКН или принять участие в его проверке.
Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.
С уважением, Екатерина Витенбург, Старший консультант по информационной безопасности Б-152.