Кибербезопасность: стратегии и инструменты

Создание стратегии информационной безопасности (ИБ) – важный этап в управлении безопасностью компании. Такая стратегия включает в себя определение целей, задач и методов защиты информации, а также разработку планов реагирования на инциденты. В условиях постоянно развивающихся технологий и возрастающих киберугроз создание эффективной стратегии ИБ становится необходимым условием для поддержания стабильности и устойчивого развития бизнеса.

Анатолий Скородумов, менеджер по информационной безопасности специальных проектов JSOC компании «Ростелеком Солар», который занимается кибербезопасностью уже около 30 лет (в основном в финансовых организациях и госорганах), поделился на воркшопе Global CIO своим опытом разработки стратегий ИБ. Он описал процессы создания стратегии информационной безопасности, соответствующей уникальным потребностям и возможностям каждой конкретной компании, рассмотрел основные этапы формирования такой стратегии, пояснил на примере одного из крупных российских банков, как строится система информационной безопасности, как разрабатывается стратегия ИБ, какие сложности встречаются на этом пути и какие используются подходы.

Руководство компаний нередко требует, чтобы в стратегии ИБ учитывались конкурентные преимущества и существующие аналоги. Такие стратегии могут базироваться на бизнес- и ИТ-стратегиях. Они помогают понять направления развития бизнеса и оценить возможные риски, могут стать основой для стимулирования развития системы кибербезопасности.

Стратегия ИБ способна вывести вопросы информационной безопасности на более высокий уровень принятия решений, способствует получению дополнительных ресурсов и развитию подразделения.

Стратегия ИБ и бизнес

Стратегия ИБ играет ключевую роль в получении необходимых ресурсов для развития информационной безопасности, помогает сблизить ее с бизнесом. Она должна убедительно демонстрировать, что информационная безопасность приносит пользу бизнесу, поддерживает его задачи и цели бизнеса. Именно это важно поддержать и отметить в стратегии. Тогда она, возможно, найдет отклик у бизнеса и получит соответствующие ресурсы.

Стратегия ИБ описывает целевое состояние системы киберзащиты и пути его достижения. То есть важно определить, к чему нужно стремиться и как этого достичь. Ее основные цели – поддержка бизнес- и ИТ-стратегий, минимизация рисков и улучшение процессов в компании.

«Нередка ситуация, когда в организации уже есть разработанная бизнес-стратегия, ИТ-стратегия, и руководство компании, либо руководитель по информационной безопасности (CISA) видит необходимость в создании стратегии ИБ, которая будет поддерживать как ИТ-стратегию, так и бизнес-стратегию, – говорит Анатолий Скородумов. – Бюджет ИБ должен составлять не менее 5% от бюджета ИТ, но далеко не везде это соблюдается. Очень часто бывает, что информационная безопасность находится где-то в загоне, денег на нее не выбить, людей не дают. Почему бы не запустить стратегию ИБ, в которой сразу предусмотреть необходимые ресурсы?».

Что будет меняться в ИТ-инфраструктуре, в технологиях, чтобы бизнес мог реализовать свои задачи? Какие могут возникнуть риски в связи с тем, что будут внедряться новые бизнес-технологии, новые ИТ, как будет меняться ИТ-инфраструктура? Понимая эти риски, можно разработать новую стратегию информационной безопасности. Нужно определить наиболее критичные риски. В стратегии ИБ фиксируются договоренности с руководством о минимизации рисков. Стратегический план обеспечивает значительное уменьшение всех стратегических рисков безопасности.

Наряду с риск-стратегиями существует еще один вариант – комплайнс-стратегия, которая предполагает соответствие стандартам кибербезопасности. В этом случае нередко используются международные стандарты серии ISO 27001 и NIST 800, либо российские стандарты, которые часто являются переводом международных.

Пример: стратегия информационной безопасности в банке

Стратегия ИБ была инициирована в одном из крупных банков для вывода системы на новый уровень. Для целевого состояния выбраны стандарты NIST SP 800-137, предыдущая версия NIST SP 800-53, а также версия 1.0 NIST Cybersecurity Framework. В ходе анализа были рассмотрены 27 функциональных компонентов текущего состояния безопасности банка, включая бюджет мероприятий ИБ, управление рисками, безопасность BYOD и съемных носителей, безопасную разработку, политику и процедуры в области безопасности, осведомленность в вопросах кибербезопасности, безопасность баз данных и обмена файлами, управление авторизацией и привилегированными пользователями, аутентификацию пользователей, безопасность сетевого периметра и DMZ-сервисы, защиту от утечек данных и вредоносного ПО.

Если изначально в большинстве рассмотренных функциональных компонентов уровень безопасности банка оценивался как «удовлетворительный» и был ниже, чем у банков контрольной группы, то в результате разработки и реализации стратегии ИБ банк превзошел по ключевым параметрам многие банки контрольной группы.

Учитывая реализацию стратегического плана, в ближайшие три года банк сможет достичь хорошей практики безопасности и соответствовать отраслевым стандартам в большинстве областей ИБ.

В подобных случаях очень важен фактор доверия руководства организации к разработчику стратегии. Таким разработчиком может быть внешний подрядчик. Кроме того, сроки реализации стратегии ИБ должны соответствовать бизнес-стратегии, следует учитывать оценки рисков и приоритеты, определенные руководством. В стратегию важно заложить ресурсы и финансирование, а для предотвращения задержек нужен календарный план ее реализации. Наконец, стратегию ИБ нужно защищать перед руководством. Важно заложить необходимые кадровые ресурсы и разработать изменения в штате организации.