Профессиональное сообщество
лидеров цифровой трансформации
Редакция Global CIO

Кибербезопасность: стратегии, инструменты, чек-листы

Создание стратегии информационной безопасности (ИБ) – важный этап в управлении безопасностью компании. Такая стратегия включает в себя определение целей, задач и методов защиты информации, а также разработку планов реагирования на инциденты. В условиях постоянно развивающихся технологий и возрастающих киберугроз создание эффективной стратегии ИБ становится необходимым условием для поддержания стабильности и устойчивого развития бизнеса.

Анатолий Скородумов, менеджер по информационной безопасности специальных проектов JSOC компании «Ростелеком Солар», который занимается кибербезопасностью уже около 30 лет (в основном в финансовых организациях и госорганах), поделился на воркшопе Global CIO своим опытом разработки стратегий ИБ. Он описал процессы создания стратегии информационной безопасности, соответствующей уникальным потребностям и возможностям каждой конкретной компании, рассмотрел основные этапы формирования такой стратегии, пояснил на примере одного из крупных российских банков, как строится система информационной безопасности, как разрабатывается стратегия ИБ, какие сложности встречаются на этом пути и какие используются подходы.

Руководство компаний нередко требует, чтобы в стратегии ИБ учитывались конкурентные преимущества и существующие аналоги. Такие стратегии могут базироваться на бизнес- и ИТ-стратегиях. Они помогают понять направления развития бизнеса и оценить возможные риски, могут стать основой для стимулирования развития системы кибербезопасности.


Стратегия ИБ способна вывести вопросы информационной безопасности на более высокий уровень принятия решений, способствует получению дополнительных ресурсов и развитию подразделения.

Стратегия ИБ и бизнес

Стратегия ИБ играет ключевую роль в получении необходимых ресурсов для развития информационной безопасности, помогает сблизить ее с бизнесом. Она должна убедительно демонстрировать, что информационная безопасность приносит пользу бизнесу, поддерживает его задачи и цели бизнеса. Именно это важно поддержать и отметить в стратегии. Тогда она, возможно, найдет отклик у бизнеса и получит соответствующие ресурсы.

Стратегия ИБ описывает целевое состояние системы киберзащиты и пути его достижения. То есть важно определить, к чему нужно стремиться и как этого достичь. Ее основные цели – поддержка бизнес- и ИТ-стратегий, минимизация рисков и улучшение процессов в компании.

«Нередка ситуация, когда в организации уже есть разработанная бизнес-стратегия, ИТ-стратегия, и руководство компании, либо руководитель по информационной безопасности (CISA) видит необходимость в создании стратегии ИБ, которая будет поддерживать как ИТ-стратегию, так и бизнес-стратегию, – говорит Анатолий Скородумов. – Бюджет ИБ должен составлять не менее 5% от бюджета ИТ, но далеко не везде это соблюдается. Очень часто бывает, что информационная безопасность находится где-то в загоне, денег на нее не выбить, людей не дают. Почему бы не запустить стратегию ИБ, в которой сразу предусмотреть необходимые ресурсы?».

Что будет меняться в ИТ-инфраструктуре, в технологиях, чтобы бизнес мог реализовать свои задачи? Какие могут возникнуть риски в связи с тем, что будут внедряться новые бизнес-технологии, новые ИТ, как будет меняться ИТ-инфраструктура? Понимая эти риски, можно разработать новую стратегию информационной безопасности. Нужно определить наиболее критичные риски. В стратегии ИБ фиксируются договоренности с руководством о минимизации рисков. Стратегический план обеспечивает значительное уменьшение всех стратегических рисков безопасности.


Наряду с риск-стратегиями существует еще один вариант – комплайнс-стратегия, которая предполагает соответствие стандартам кибербезопасности. В этом случае нередко используются международные стандарты серии ISO 27001 и NIST 800, либо российские стандарты, которые часто являются переводом международных.

Пример: стратегия информационной безопасности в банке

Стратегия ИБ была инициирована в одном из крупных банков для вывода системы на новый уровень. Для целевого состояния выбраны стандарты NIST SP 800-137, предыдущая версия NIST SP 800-53, а также версия 1.0 NIST Cybersecurity Framework. В ходе анализа были рассмотрены 27 функциональных компонентов текущего состояния безопасности банка, включая бюджет мероприятий ИБ, управление рисками, безопасность BYOD и съемных носителей, безопасную разработку, политику и процедуры в области безопасности, осведомленность в вопросах кибербезопасности, безопасность баз данных и обмена файлами, управление авторизацией и привилегированными пользователями, аутентификацию пользователей, безопасность сетевого периметра и DMZ-сервисы, защиту от утечек данных и вредоносного ПО.


Если изначально в большинстве рассмотренных функциональных компонентов уровень безопасности банка оценивался как «удовлетворительный» и был ниже, чем у банков контрольной группы, то в результате разработки и реализации стратегии ИБ банк превзошел по ключевым параметрам многие банки контрольной группы.


Учитывая реализацию стратегического плана, в ближайшие три года банк сможет достичь хорошей практики безопасности и соответствовать отраслевым стандартам в большинстве областей ИБ.


В подобных случаях очень важен фактор доверия руководства организации к разработчику стратегии. Таким разработчиком может быть внешний подрядчик. Кроме того, сроки реализации стратегии ИБ должны соответствовать бизнес-стратегии, следует учитывать оценки рисков и приоритеты, определенные руководством. В стратегию важно заложить ресурсы и финансирование, а для предотвращения задержек нужен календарный план ее реализации. Наконец, стратегию ИБ нужно защищать перед руководством. Важно заложить необходимые кадровые ресурсы и разработать изменения в штате организации.

Реализация, оценка и защита стратегии ИБ

Реализация стратегии нередко требует корректировки в зависимости от изменений. Примеры таких изменений: санкции, пандемия, новые технологии. Корректировка стратегии необходима также в соответствии с изменениями в организации. Важно не откладывать ее на последний момент.


Оценка стратегии проводится по ключевым параметрам исполнения. Аудит помогает понять соответствие стратегии стандарту. Если все проекты выполнены, стратегия считается успешной. Важно не только выполнение стратегии, но и удовлетворенность руководства. Успешная реализация стратегии требует четких целей и заинтересованности руководства компании: оно должно быть в курсе всех проблем и взаимодействовать с командой.


Каковы возможные причины неудач стратегии ИБ? Отсутствие четких целей и заинтересованности руководства снижает шансы на успех. Пограничные проекты могут задерживать реализацию стратегии. Внешние и внутренние факторы могут изменять стратегию, что требует корректировки, поэтому стратегия должна быть «живой» и корректироваться по мере необходимости. Чтобы снизить риски неудач, нужно постоянно отслеживать ход исполнения стратегии, своевременно актуализировать ее во взаимодействии с руководством компании и всеми заинтересованными лицами.


Результаты

Была проделана значительная работа по укреплению ИБ в банке. Управление киберинцидентами позволило оперативно реагировать на возникающие угрозы и минимизировать возможные последствия атак. Также значительно улучшено управление идентификацией и авторизацией пользователей, что повысило уровень контроля над доступом к информационным ресурсам банка. Защита рабочих станций сотрудников от продвинутых угроз также усилена путем внедрения специализированного программного обеспечения EDR (Endpoint Detection and Response).

Кроме того, банк предпринял меры по улучшению системы защиты от утечек данных –DLP (Data Loss Prevention). Проведены мероприятия по обеспечению безопасности демилитаризованных зон, что предотвращает несанкционированный доступ к критически важным данным. Организован защищенный обмен файлами через систему NextCloud MFT, которая позволяет безопасно передавать данные между различными подразделениями банка.

Важным аспектом стало формирование и утверждение политик безопасности, которые регулируют использование информационных ресурсов и определяют процедуры реагирования на различные инциденты. Также проведена классификация всех систем банка по уровню важности и требованиям к защите.

Однако не все запланированные задачи удалось реализовать полностью. Например, вопросы обеспечения безопасности третьих сторон, управления рисками безопасности, внедрения защиты веб-приложений и антивирусной защиты с песочницей для защищенного обмена файлами решены лишь частично. Кроме того, ряд задач остался невыполненным, включая защиту серверов от продвинутых угроз, контроль сетевого доступа, анонимизацию данных и унифицированное управление патчами.

Стратегические риски ИБ банка – слабый контроль над третьими сторонами, недостаточность мероприятий по управлению рисками ИБ, слабая защита от целевых кибератак и программ-вымогателей, слабая защита веб- и мобильных приложений, недостаточные возможности реагирования на инциденты и мониторинга безопасности, незащищенная передача файлов, а также отсутствие механизма безопасной интеграции между приложениями, слабый контроль доступа к сетям, слабое разделение между средами, управление пользователями и авторизацией. Однако стратегический план работы обеспечивает значительное уменьшение практически всех рисков.

Таким образом, несмотря на достигнутые успехи, банку предстоит дальнейшее совершенствование системы информационной безопасности. Он планирует достичь соответствия отраслевым стандартам и практикам безопасности в ближайшие три года.


1240

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.