2023/11/01 12:38:42

Почему всех пугает информационная безопасность, и почему это всегда дорого

Большинству, а иногда и самим «безопасникам», не всегда очевидно, что же такое информационная безопасность (ИБ) и что входит в это понятие. Почему разговор специалистов ИБ непонятен остальным? Почему ИБ — это сложно и дорого? Почему на рынке так мало высококвалифицированных специалистов и как их найти? В этой статье мы расскажем, что же такое ИБ, и приведем примеры из жизни.

Содержание

Системный подход к организации ИБ

В последние годы все большее внимание уделяется ИБ, и это, безусловно, положительный тренд. К этому подтолкнули разные факторы: геополитическая обстановка, импортозамещение, действия профильных регуляторов, рост уровня зрелости компаний, изменения законодательства.

Несмотря на это, безопасность все еще воспринимается как неизвестная «болезнь», которую можно «вылечить» наймом одного профильного специалиста. Но такое «лечение» не работает! Один эксперт принесет какую-то пользу, но глобально проблемы ИБ в компании останутся нерешенными.

Изменить ситуацию может только системный подход, который поможет выявить наиболее актуальные проблемы ИБ, понять реальные потребности бизнеса, взвесить все риски – и только после этого предпринимать точечные шаги по реализации конкретных задач. Принять решение о начале этих действий бывает сложно, так как руководители часто не видят полной картины всех проблем и потребностей. Отсюда самая частая ошибка: ИБ становится не автономным подразделением, которое подчиняется напрямую гендиректору или владельцу компании, а входит в состав IT или другого департамента.

Узнаете себя?

Ниже представлены наиболее распространенные проблемы в организации ИБ и пути их решения, которые предлагает «Диасофт».

С чего начать?

Чтобы выстроить ИБ, нужно решить ряд конкретных задач. Они должны быть ранжированы: от комплексных и сложных до максимально простых. Решение всех задач нужно привязывать к обработке защищаемой информации и только потом уже — к конкретным информационным системам. Начинать нужно с данных: не все данные одинаково важны, не все требуют защиты. Также напомню, что ИБ основана на трех китах: это конфиденциальность, целостность, доступность.

На рисунке 1 указаны основные законы в сфере ИБ. И к каждому из них есть отдельные подзаконные акты и требования профильных регуляторов (в общей сложности — несколько десятков требований), в которых могут разобраться лишь отдельные эксперты по соответствующим направлениям.

«Требования регуляторов»

На первом этапе мы классифицируем данные и информационные системы, определяемся с тем, какие данные и какие системы должны быть защищены. Далее, казалось бы, все просто: на основе подходящих требований ИБ разрабатываем модель угроз, ТЗ, технический проект, покупаем и внедряем решения, разрабатываем организационно-распорядительные документы. Но это — формальный подход к выполнению требований законодательства. Так выглядела большая часть проектов в сфере ИБ в период с 2007 по 2014 год. Массово внедрялись импортные и популярные средства защиты: антивирусы, межсетевые экраны, DLP, SIEM, WAF, криптошлюзы, средства от НСД на уровне ПК и виртуализации. Именно так и действует большинство.

«Безопасность ради безопасности» — в корне неправильный подход, но есть факторы, которые объясняют его популярность.

  • Отсутствие бюджетов на ИБ и сложность обоснования их необходимости владельцам бизнеса.
  • 75-90% бюджетов на ИБ выделяется на покупку «железа» и ПО, а остаток — на проекты внедрения. На консалтинг денег нет.
  • Интеграторы, предлагающие продукты и формирующие рынок, подстраиваются под степень зрелости заказчиков и их понимание ИБ.
  • Наличие систем KPI, использование которых сводится к тому, чтобы сделать проект максимально быстро и дешево. Сложность и в том, чтобы сформировать единые и понятные правила и процедуры, адаптированные к реалиям процессы ОРД, разработать NDA и юридически правильные договоры, чтобы в случае инцидентов можно было привлечь третьих лиц к ответственности и компенсации ущерба. Это сложно, непонятно, долго, дорого и «нельзя пощупать». Очевидно, что внедрение «железа» — это более быстрая и понятная работа.
  • «Маркетинг в деле»: наличие «железа» создает иллюзию безопасности, но не гарантирует защиту и сохранность данных. ИБ — это непрерывный процесс, которым нельзя заниматься лишь эпизодически. Не бывает полностью защищенных систем: в любой системе есть или появляются со временем уязвимости, которые важно своевременно отслеживать. Значительная часть утечек информации происходит через внутреннего нарушителя. Необходимо постоянно развивать организационные меры и процессы, которыми пренебрегает большинство или делает это одноразово, «для галочки».
  • Заказчику не предлагают опцию выбора, возможность поиска оптимально сбалансированного решения. Рынок продает «железо», которое отвечает требованиям регуляторов. Хотя в большинстве случаев, учитывая специфику заказчика, можно отказаться от какого-то «железа» и часть оставшегося бюджета перераспределить на консалтинг (живые процессы, данные, правила, регламенты, люди).

В качестве примера рассмотрим реализацию требований Федерального закона 152-ФЗ «О персональных данных», первоочередная задача которого — обеспечить законность обработки персональных данных. А это на 100% юридическая плоскость, и в этой плоскости — все бизнес-процессы обработки ПДн, сотрудники, третьи лица, политики, согласие клиентов на обработку данных, договоры, NDA и другие ОРД. За нарушение требований 152-ФЗ и несоблюдение юридических норм РКН сделает замечание, выдаст предписание и выпишет штраф. А технические меры защиты, требуемые ФСТЭК и ФСБ России, отходят на второй план. Но не все знают, что ФСТЭК России не штрафует за отсутствие какого-то конкретного «железа» (средств защиты информации по закону 152). Согласно приказу 21 ФСТЭК России, заказчик в своей модели угроз сам выбирает необходимый и достаточный набор организационно-технических мер, включая перечень «железа».

Разные взгляды на ИБ

Существуют разные взгляды на одну и ту же проблему или задачу ИБ, в зависимости от задействованной в процессе ее решения стороны (заказчик, вендор, интегратор, регулятор, законотворец). В идеале при построении ИБ необходимо учитывать все существующие точки зрения, подходы и методы. Ниже мы кратко их рассмотрим.

Взгляд компании – заказчика

Департамент ИБ должен учитывать требования бизнеса и ИТ, наличие ресурсов, а также внешние факторы: требования регуляторов, контрагентов и партнеров, активность хакеров и мошенников. В итоге: обеспечиваем ИБ по принципу самого важного, на что хватает ресурсов.

Бюджет на ИБ всегда ограниченный, но постоянный, так как мы мыслим системно, умеем управлять и планировать свою работу.

Взгляд бизнеса и IT

Нужно быстро создать или внедрить продукт, и внимание ИБ уделяется по остаточному принципу («разберемся потом»). Но «потом» начинают давить департамент ИБ или регуляторы.

Бюджета на ИБ нет, но если пришла проверка, средства быстро появляются и даже в необходимом количестве.

Взгляд вендора или поставщика сервиса

Необходимо максимально подстраиваться под требования заказчика, все остальное воспринимается как фон. ИБ обеспечивается только тогда, когда заставят или оплатят эти работы, или чтобы показать свою лояльность заказчику.

Бюджет на ИБ крайне ограниченный, отраслевые регуляторы не имеют влияния на вендоров.

Взгляд интегратора (комплексных проектов и услуг ИБ)

Продукты и услуги формируются с учетом требований ИБ и трендов рынка.

Бюджет на ИБ неограниченный, есть ресурсы на развитие, изучение законодательной и IT-базы, на R&D.

Взгляд регулятора

Формулирует и изменяет требования к ИБ, но иногда они не согласуются между собой. Контролирует выполнение требований.

Бюджет на ИБ ограниченный, ресурсов на своевременное развитие законодательной базы, проверки, образовательно-просветительскую работу не хватает.

Взгляд законотворцев (депутаты, дума, правительство)

Вырабатываются и принимаются законы, иногда оторванные от действительных процессов ИБ. Новые требования законодательства создают существенную нагрузку на бизнес, регуляторов и отрасль, т.к. зачастую разрабатываются без привлечения специалистов, имеющих профильное образование и практического опыта не только в сфере ИБ, но и в смежных сферах. Можно проследить историю изменений следующих ФЗ: 149-ФЗ, 152-ФЗ, 98-ФЗ, 63-ФЗ, 187-ФЗ, 572-ФЗ.

Бюджета на ИБ нет, но есть потребность власти, заказ регулятора, бизнеса (лоббирование интересов).

Взгляд с точки зрения IT (самый важный фактор в нашей отрасли)

Постоянное развитие технологий, смена компонентов, языков, протоколов, подходов к разработке решений. ИБ тяжело физически успевать за развитием ИТ, с учетом того, что бюджет на IT — всегда гигантский, а на ИБ — остаточный (10–20% от бюджета IT).

Кадры решают все?

Сколько специальностей в сфере ИБ? В таблице 1 указаны 80 различных компетенций, привязанных к 5 специальностям ИБ и зависящих от их направлений работы. Помимо этого, существует еще много пограничных IT-специализаций.

Таким образом, один профильный специалист не может закрыть все потребности в области ИБ, так же, как в крупной организации не может быть всего одного кадрового специалиста или бухгалтера. Очевидно, что даже при максимальной автоматизации его задач с помощью специализированного ПО, необходим штат сотрудников.

Кто такой директор или руководитель ИБ?

Сейчас на hh.ru более 70% актуальных вакансий «Руководитель ИБ», который должен: иметь профильный диплом, закрывать все вопросы по персональным данным и КИИ, администрировать все средства защиты информации, разрабатывать ОРД, обучать персонал, взаимодействовать с регуляторами. За последний год к этому перечню добавилось новое требование — обеспечивать безопасную разработку.

Очевидно, это задачи не одного директора ИБ, а целой команды (департамента). Если организация большая, департамент должен состоять из нескольких подразделений, как минимум — иметь отделы ИБ-инфраструктуры, методологии и законодательства, мониторинга и реагирования на инциденты, безопасной разработки и иные, в зависимости от специфики компании.

Задача Директора ИБ, как и любого другого руководителя, — собрать команду, организовать ее работу, показывать результат, планировать, управлять, снижать риски ИБ, то есть обеспечить достаточный уровень безопасности, успешное прохождение проверок, развивать уровень зрелости ИБ.

Дефицит ИБ- и IT-специалистов

Сейчас на рынке все острее ощущается дефицит компетентных IT-специалистов, а экспертов в области ИБ — и того меньше. Для этого есть ряд причин.

По данным ФНС, сейчас в России зарегистрировано порядка 2 216 262 компаний, из них чуть более 18 000 средних и 15 000 крупных, что подтверждается и данными агентства «Интерфакс». А сколько специалистов ИБ? В таблице 2 приведены данные о количестве выпускаемых ИБ-специалистов Министерства науки и высшего образования по следующим направлениям: информационная безопасность, компьютерная безопасность, информационная безопасность телекоммуникационных систем, информационная безопасность автоматизированных систем, информационно-аналитические системы безопасности, безопасность информационных технологий в правоохранительной сфере.

Image:Таблица_2.png
Таблица 2. Данные по количеству выпускников — специалистов ИБ за 2015–2022 годы

Так сколько номинально у нас специалистов ИБ с высшим образованием? Если аппроксимировать данные из таблицы 2 до 2006 года, получим примерно 60 000 специалистов ИБ. Цифра большая, но где же они все?

  • Многие выпускники не работают по специальности или сменили ее спустя некоторое время, в том числе по причине выгорания и высокого уровня стресса.
  • Большинство специалистов ИБ выбирали инженерные направления, дополнительно обучались и получали международные сертификаты CISA, CISM, CISSP, CCNA, CompTIA Security, проходили обучение у западных вендоров для работы с популярными средствами защиты (SIEM, DLP), и многие к настоящему времени уехали за границу.
  • Жизненный цикл технологий в ИБ короток. Специалисты должны постоянно находиться в процессе переобучения и освоения смежных специальностей, а также следить за изменениями законодательства в сфере ИБ и адаптировать к ним решение рабочих задач. Далеко не все могут найти на это время и ресурсы.
  • Некоторые специалисты уже открыли собственный бизнес и занимаются его развитием.
  • Большой процент специалистов — женщины, которые предпочли заботу о семье и воспитание детей.

Предполагаю, что сейчас на рынке имеется около 20 000 действующих ИБ-специалистов — на 2 000 000 компаний, в том числе около 25 000-500 000 субъектов КИИ, безопасность которых является приоритетом в соответствии с Указом Президента РФ «О дополнительных мерах по обеспечению информационной безопасности РФ».

Очевидно, что специалистов катастрофически не хватает. Для того, чтобы закрыть все потребности рынка, необходимо в 10 раз больше. И если трезво оценивать ситуацию, то нужно обучить порядка 800 000 специалистов ИБ и добавить в программы обучения новые специальности, в том числе — изучение предметов ИБ в программы обучения для IT-специалистов.

Выводы

ИБ — это общая задача для всех сотрудников и подразделений компании, обеспечить приемлемый уровень безопасности можно только совместными усилиями. Сегодня каждый работает с персональными данными или конфиденциальной информацией: использует ЭЦП, оставляет данные на сайтах или в приложениях. Задача специалистов ИБ — помочь упорядочить этот хаос. Для этого необходимо расшифровать терминологию, погрузиться в специфику бизнес- и технологических процессов компании, обрабатываемых данных, IT-инфраструктуры, оценить плюсы, минусы и риски того или иного подхода.

Специалисты компании «Диасофт» знают специфику отрасли ИБ, ее сложности и нюансы. Именно поэтому мы собрали компетентную команду, которая способна решить любую задачу в области ИБ. В нашей команде — более 25 профессионалов, экспертов в разных областях ИБ. Мы готовы делиться своим опытом и знаниями, помочь организациям разных сфер деятельности реализовать проекты и закрыть потребности в сфере ИБ. Для этого мы специально разработали Сервис информационной безопасности, которым можно пользоваться для решения точечных или масштабных задач. При этом наши специалисты работают так, будто они находятся в штате компании заказчика, что ценно в условиях дефицита экспертов ИБ на рынке.

Алексей Полетаев, директор по информационной безопасности, компания «Диасофт».