Курсы по информационной безопасности

 Статьи по информационной безопасности 

Вступление

Одним из ключевых интересов владельца бизнеса является сохранение и, по возможности, увеличение ценности управляемой им компании. Замедляют, уменьшают или даже сводят к нулю эту ценность риски, в осознанном управлении которыми и заключается талант коммерсанта.
Исторически финансовые и операционные риски являются значимыми как для интересов владельцев финансовых организаций в целом, так и для нанимаемых ими ее руководителей в частности.  Это заставляет последних уделять пристальное внимание и большие усилия по оценке, контролю и минимизации этих рисков.
В последние два десятилетия появились новые, столь же значимые, но пока выпадающие из области внимания этих лиц риски – риски информационной безопасности.

Положение дел

Деятельность практически любой современной коммерческой организации большей частью автоматизирована. По сути организация представляет из себя человеко-машинную систему, обеспечивающую выполнение функций по взаимодействию с ее клиентами (физическими и юридическими лицами) и контролирующими органами (как государственными, так и в виде международных отраслевых регуляторов).
Машинную составляющую этой системы называют автоматизированной системой организации: каналы связи, средства вычислительной техники, системное, прикладное программное обеспечение… все это хранит, обрабатывает и передает нематериальные информационные активы, стоимость которых зачастую на порядки превышает стоимость самой автоматизированной системы. 
Нарушение свойств конфиденциальности, целостности или доступности этих активов всегда приводит к ощутимому, а подчас к неприемлемому ущербу (материальному, репарационному и пр.) интересам владельца и руководителя. Это делает их уязвимыми, и что самое важное, об этой уязвимости они узнают постфактум.

Постановка проблемы

Некоторое время назад в одном из коммерческих банков проводилась оценка рисков информационной безопасности. В частности, был оценен ущерб в случае простоя центра обработки данных по широкому списку причин (пожар, затопление, отказ оборудования/программного обеспечения, выход из строя каналов связи, действия обслуживающего персонала/злоумышленников и пр.). Было выявлено, что, если процессинговый центр не работает 2 недели, банку наносится неприемлемый ущерб такого масштаба, что дешевле открыть новый банк, нежели реанимировать существующий. А ведь речь идет о нарушении всего лишь одного из трех свойств информационных активов организации – доступности.
Какой ущерб нанесет потеря целостности критичных данных, если в результате атаки на систему интернет банк-клиент будет искажена информация об остатках на счетах клиентов? Какой ущерб нанесет нарушение   конфиденциальности в случае, если контролирующие органы получат доступ к оперативному учету организации? Может ли привести к этим событиям небрежность наемных сотрудников, сговор обслуживающего автоматизированную систему персонала или «заказ» конкурентов?  Ответ: конечно может.
Также надо учитывать, что целый ряд компаний, ведущих международную деятельность, попадает под действие национальных законов (CA-SB1386, European Union Data Protection Directive, Basel II/III и др.) и требований международных регуляторов (PCI-DSS и пр.)
В значительной мере это требования к обеспечению конфиденциальности, целостности и доступности информационных активов, обрабатываемых человеко-машинной системой организации. При нарушении требований некоторых законов/регуляторов, существует, помимо штрафных санкций для организации, персональная, вплоть до уголовной, ответственность руководящего состава. Страны СНГ, хоть и с запаздыванием, последовательно ужесточают административное и уголовное законодательство, принимая «аналоги» американских или европейских норм – например, законы о защите персональных данных.
Именно поэтому руководители ищут источники информации об этих рисках.

Пример

Среди всего разнообразия выделим риски для непрерывности (Business Continuity) бизнеса, связанные с нарушением свойства доступности.  Для их оценки надо понять, какие бизнес-процессы в нашей организации наиболее критичны, а какие менее (Business Impact Analysis). Что может эти процессы остановить (угрозы и их источники в виде людей и природных явлений) и как минимизировать вероятность этой угрозы? Как минимизировать ущерб, если они все-таки остановятся?
Нужно применить методологию – Business Continuity Management, описывающую:

• как готовиться к этим событиям (резервное копирование критичных данных, резервные ЦОДы, регулярное обучение сотрудников и пр.)
• как продолжать функционировать в деградированном режиме (во время и сразу после пожара, отключения электричества/каналов связи, потери персонала в результате пандемии и пр.)
• как гарантировать владельцу приемлемый для него ущерб от реализации этого события (в худшем случае потеряем транзакции за последние 2 часа)
• как гарантировать, что бизнес будет восстановлен за строго определенный период времени (через 24 часа после полного уничтожения ЦОДа в результате пожара банк продолжит работу)

В качестве примера возьмем известную транснациональную корпорацию. Действующая в ней система управления непрерывностью бизнеса обязывает раз в месяц имитировать катастрофу. Есть основной офис компании и цент обработки данных. Раз в месяц сотрудники отрабатывают переезд в резервный офис и перевод функций автоматизированной системы в резервный центр обработки данных. Таким образом, они могут продолжать работу и выполнять обязательства перед контрагентами даже в случае полного уничтожения офиса/ЦОДа и потери значительной части персонала. Похожим образом организована работа и ее конкурентов.

Решение

Последние 15 лет источником информации о рисках для владельцев бизнеса и руководителей высшего звена является непрерывный внутренний и регулярный внешний интегрированный аудит (оцениваются финансовые, операционные риски, и вместе с ними - риски информационной безопасности), дающий единую оценку всех взаимосвязанных рисков для организации.
Это позволяет экономически обосновать необходимость разработки и внедрения комплекса мер по обеспечению безопасности в организации:

• Организационных
• Физических
• Технических
• Технологических
• Морально-этических
• Правовых

Комплекс мер позволяет осознанно управлять рисками:

• принимая их (например, бизнес использует нелицензионное ПО, но в случае возможного рейда контролирующих органов точно знает размер ущерба) 
• избегая их (не будем предоставлять услугу интернет банк-клиент, так как гарантированно понесем неприемлемый ущерб в результате реализации мошеннических схем)
• минимизируя их (построим резервный центр обработки данных и будем регулярно тренировать персонал на случай полного уничтожения основного)
• перенося риски на других (воспользуемся услугами страховой компании)

Для проведения аудита, разработки и внедрения адекватного имеющимся рискам комплекса мер руководители привлекают коллективы специалистов, соответствующие следующему набору требований:

• успешное выполнение проектов по созданию автоматизированных систем в защищенном исполнении
• объективно подтвержденная квалификация
• лояльность интересам Заказчика 
• приемлемая стоимость услуг коллектива

Первое требование можно соблюсти, имея дело с коллективами, занимающимися потоковым созданием автоматизированных систем в защищенном исполнении для разнообразных Заказчиков. Как правило, это сотрудники компаний системных интеграторов («Ланит», «КРОК», «Эврика» и пр.). У них есть практические знания, навыки, отработанная методика создания и обслуживания систем защиты в соответствии с требованиями разнообразных законов/регуляторов.
Второму требованию соответствуют специалисты ведущие публичную деятельность в сфере ИБ и имеющие международно-признаваемые сертификации (CISA, CISM, CISSP) таких организаций, как ISACA (крупнейшая профессиональная ассоциация аудиторов) и (ISC)2 (ведущий международный консорциум специалистов по информационной безопасности).
Третье требование вступает в конфликт с первым, так как лояльность и, как следствие, доверие владельцев, необходимое для получения доступа к секретам бизнеса, обычно достигается только при включении этих сотрудников в штат. Что в свою очередь экономически нецелесообразно и конфликтует с четвертым требованием.

Выводы

Наступивший в стране тяжелый период значительно увеличил все виды рисков для компаний. Практически во всех отраслях ужесточается конкуренция и термины «промышленный шпионаж», «саботаж» или «киберугроза» становятся прозой жизни даже для далеких от информационных технологий владельцев бизнеса. Государство в свою очередь все более ужесточает законодательство (в первую очередь налоговое) и в лице контролирующих органов все жестче контролирует его исполнение, тем самым усложняя ситуацию в целом.
Поэтому адекватным является решение о привлечении на контрактной основе (с юридически значимым соглашением о неразглашении) или воспитание из своих сотрудников экспертов с необходимым опытом в системной интеграции и международно-признаваемыми сертификационными статусами.  
Имея прямой доступ к руководству организации, такой эксперт сможет адекватно оценивать риски, разрабатывать, обосновывать бюджет на меры по обеспечению безопасности, которые будет реализовывать как силами организации, так и с помощью привлекаемых извне подрядчиков (системных интеграторов), не допуская их к секретам организации. Эксперт будет лоялен и подконтролен руководству посредством системы объективных показателей защищенности компании, с определения которых он и начет свою работу.
В конечном итоге наличие такого доверенного источника информации позволит руководству принимать более правильные стратегические и тактические решения при управлении организацией и иметь гарантии соблюдения ключевых интересов владельцев бизнеса.

Для полной информации о наших авторских программах, о программах обучения и сертификационных экзаменах по информационной безопасности, предлагаемых в России и Казахстане, обращайтесь в учебный центр «Микроинформ»:  тел. +7(495)933-00-06, educ@microinform.ru