Ведение бизнеса, по своей природе, уже является риском, что подразумевает риск-ориентированный подход к любым действиям «в голове» бизнесмена, в том числе и к информационной безопасности (ИБ). Только на данном языке реально наладить диалог с бизнес-подразделениями, что бы бизнес был доволен ИБ и не считал ее обузой для компании. В данной статье постараемся отметить все основные моменты, из которых складывается «цена» информационной безопасности в Компании.
Технические и организационные меры защиты информации
Вопрос «цены» собственно мер по обеспечению информационной безопасности стоит рассмотреть в совокупности 4 составляющих, что наиболее точно соответствует риск-ориентированному подходу:
1. Обязательные к выполнению требования.
Это требования налагаемые либо федеральным законодательством (как то 152-ФЗ «О персональных данных»), либо отраслевыми стандартами (PCI DSS), но так или иначе обязательные к исполнению. За их невыполнение следует ожидать наложение штрафных санкций со стороны регулирующих органов/организаций. Можно, конечно же, рассуждать о степени выполнения таких требований, но в большинстве своем подразумевается 100% их выполнение. Обосновать необходимость выделения средств на мероприятия и средства защиты по выполнению этих требований достаточно просто, в дело идут «страшилки» о проверяющих для российских компаний и напоминание о корпоративной политике о «100% legislation» в западных.
2. Требования по ИБ, проистекающие из бизнес-требований.
Хотя, они слабо формулируются бизнесом, но в данном случае можно рассчитывать на гораздо большие бюджеты, так как в данном случае Вы работаете на интересы Вашей компании. На языке бизнес-требований можно успешно вести диалог с Бизнесом, уже выработавшем иммунитет к «страшилкам». Антивирус, системы очистки от спама и защиты периметра от вторжений, межсетевые экраны и сканер безопасности – «классические» элементы защиты, необходимость которых понятна Руководству и сложностей с обоснованием их необходимости обычно не возникает. В то же время оценка такого риска, как «утечка информации», в видении специалиста ИБ может кардинально отличаться от оценки данного риска Бизнесом, особенно учитывая существующую стоимость DLP-решений. В ходе сравнительного анализа часто выбор будет не в пользу закупки технических средств, а в пользу организационных мер и принятия остаточного риска. Естественно, такое решение должно быть зафиксировано как результаты оценки и принятия риска у Руководства.
3. Ущерб от инцидента и расходы на устранение его последствий.
Данные «расходы» в виде убытков от инцидента ИБ как правило не рассматривают в качестве «стоимости ИБ», и зачастую вообще никак не учитывают. Осознанный отказ от внедрения какого-либо элемента системы ИБ Компании равнозначен принятию риска Бизнесом и готовность «выплатить» вероятный убыток. Именно в прогнозировании суммы данного убытка, а так же в последующей за инцидентом подсчете кроется множество сложностей, но даже приблизительная «абсолютная», выраженная в денежном эквиваленте оценка, необходима. Вначале можно ее не согласовывать с Руководством и вести для собственных целей , но в последствии с Руководством необходимо выработать совместный подход к прогнозированию и методику подсчета убытков. Суммарный убыток за год – тоже «бюджет» ИБ, который можно было бы сэкономить, внедрив средства защиты, в закупке которых было отказано.
4. Сотрудники.
«Кадры решают все» как говорил классик, однако в большинстве случаев, в бюджете подразделения не учитывается «стоимость» персонала – (начиная с содержания рабочих мест сотрудников, заработной платы, прочих социальных и стимулирующих выплат и заканчивая расходами на повышение квалификации). Отсутствие компетентного персонала в штате службы ИБ, отсутствие системы мотивации или условий для профессионального роста - не позволит качественно выполнить задачи по обеспечению ИБ в компании. Вопросы лояльности сотрудников информационной безопасности, возможность «потери» сотрудника (болезни, недоступности во время отпуска, увольнения) – все это риски, которые необходимо должным образом оценивать и доносить до Руководства компании, как и остальные риски ИБ.
Структура подразделения должна отвечать решаемым задачам. Список данных задач разнится от бизнес-процессов Компании, но можно выделить основные проблемные моменты:
- Использование криптографии. Построение защищенных каналов связи, обеспечение шифрования мобильных рабочих станций значимых сотрудников органзизации, обеспечение юридической составляющей электронного документооборота, предоставление услуг по генерации ключей или сертификатов ЭЦП и т.п. Разумно в таких случаях создавать выделенное подразделение, занимающееся вопросами работы со средствами криптографической защиты информации (СКЗИ). В случае оказания каких-либо услуг в данной области сторонним компаниям, а не исключительно в собственных интересах, необходимо прохождение процедуры лицензирования в ФСБ с целью получения лицензий на оказание данных услуг. В данном случае штат и квалификация сотрудников подразделения оговорен в условиях получения лицензии – не менее 3х человек.
-
Защита персональных данных. Все компании являются операторами обработки ПД и сталкиваются с ней на различных этапах своей деятельности, как правило, либо при обработке персональных данных своих сотрудников либо при обработке данных клиентов/партнеров компании. В большинстве случаев именно на подразделение ИБ возлагается задача обеспечения выполнения требований ФЗ №152-ФЗ «О персональных данных» (далее Закон). В действующей редакции прямо оговорено назначение выделенного сотрудника, ответственного за обеспечение защиты персональных данных в компании. Если к этому добавить такие нюансы, как:
- организация может обрабатывать персональные данные, принадлежащие другому оператору, выступая лицом, осуществляющим обработку персональных данных по поручению оператора или ЛООПДПО в терминах настоящей редакции Закона;
- неясные будущие изменения в подзаконных актах, регулирующих технические аспекты защиты персональных данных;
- невнятность позиции Регуляторов по трактовке положений закона…
Исходя из указанного выше, на данную роль «лица, ответственного за обеспечение защиты персональных данных в операторе» необходимо выделение как минимум одного компетентного специалиста, занимающегося данным вопросом. В ходе приведения компании в соответствие с требованиями Закона разумно не нагружать данного сотрудника дополнительными задачами, а закрепить за ним функцию координации действий подразделений, участвующих в обработке ПД с целью обеспечения выполнения требований ФЗ №152-ФЗ и непосредственного участия от лица компании в возможных проверках со стороны Регуляторов.
- Какие дополнительные задачи наложены на подразделение: Самостоятельно ли конфигурируются средства защиты информации или подразделение ИБ только осуществляет контроль соблюдения политик? Осуществляется ли генерация идентификаторов пользователей в подразделении ИБ или оно только согласовывает права на доступ? Все эти задачи так же требуют определенного штата сотрудников, напрямую зависящего как от размеров компании, так и от проводимых через подразделение ИБ «операций».
Так что для небольшой компании это может быть два-три сотрудника, осуществляющих эксплуатацию технических средств защиты, разработку документации и координацию действий по обеспечению ИБ всей организации а, например, в крупном банке с филиальной сетью, штат сотрудников ИБ будет исчисляться десятками (необходимо права доступа проконтролировать и проверить, и сгенерировать ключи для клиентов Банка, и защиту периметра не забыть, и с утечками информации бороться…).
Совместно все 4 составляющих достаточно точно опишут бюджет подразделения ИБ.
Аутсорсинг или собственные силы?
Решать задачу по обеспечению ИБ в Компании собственными силами или переложить «на плечи» специализированной организации? Аспект сложен и многогранен, ответ на него так же можно получить, отталкиваясь от анализа рисков бизнеса, точнее от метода этого анализа в конкретной компании, т.к. на него влияют множество факторов – как от «уровня зрелости» самой компании, так и предпочтений того же Руководства. В случае западных компаний решение по такому вопросу принимается достаточно быстро и просто, в российских же организациях пока еще достаточно стойкое предубеждение относительно стоимости передачи функции ИБ специализированной, но сторонней компании.
Необходимо правильно оценить, что же для бизнеса будет проще:
• отказаться от непрофильной функции, передав функцию ИБ на аутсорсинг сторонней компании, должным образом это формализовав, что бы понимать, за что и сколько необходимо платить. Явный минус такого подхода – Компания теряет прямой контроль над собственной информационной безопасностью,
• развивать собственную внутреннюю компетенцию, принимая на себя связанные риски – подбор и удержание компетентного персонала, инвестиции в непрофильные активы (СЗИ И СКЗИ) и их обслуживание и т.п. Явный плюс – сохраняется полный контроль над функцией ИБ внутри Компании, но растут явно не прогнозируемые расходы на ее обеспечение.
Заключение
Как получить требуемый бюджет, защитить его от сокращений? Проводите в общении с бизнес-подразделениями больше времени, начните с их малых «страхов», которые вы можете устранить небольшими собственными силами.
В большинстве случаев ИБ боятся и не любят, считая, что «эти безопасники работать мешают и только на одноклассники не дают ходить». Не стройте безопасность в одиночку, не надо начинать с обоснования проекта по внедрению, например, всех положений стандарта ISO 27001 и сертификации компании - начните с противодействия очевидных и понятных для бизнеса рисков.
Простой пример: некоторые сотрудники Вашей организации пересылают конфиденциальные документы на свою личную почту или на флешках носят домой для возможности поработать над ними. В наше время, когда даже дома используются облачные сервисы и документ можно создать даже на мобильнике, сотрудникам удобно иметь возможность работать удаленно. Вместо тотального запрета - создайте им удобный, но безопасный и контролируемый доступ к корпоративной электронной почте, ключевым сотрудникам – создайте защищенный терминальный доступ к корпоративной сети, что бы конфиденциальные документы не покидали Вашу организацию, но был способ продолжать над ними безопасную работу.
Вам скажут спасибо, внутренний «рейтинг» повысится и служба ИБ перестанет считаться «мальчиком, который кричал «волки».