`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

За кадром: актуальные вопросы ИТ-безопасности

Статья опубликована в №10 (676) от 24 марта

+33
голоса

Эта статья о том, что обычно остается за кадром и о чем мало говорят, т. е. о том, что происходит после фразы из сказок «и жили они долго и счастливо»: о состоянии систем и решений обеспечения информационной безопасности после их внедрения, а также о выводах и рекомендациях, которые из этого следуют.

За кадром актуальные вопросы ИТ-безопасности
Рис. 1. PDCA-модель (или модель Шухарта-Деминга) – основа для всех процедур управления ИБ. Она определяет четыре этапа, которые последовательно должны выполняться для каждого процесса

Начнем с самого начала – со стандарта ISO 27001, который нам диктует, как надо управлять информационной безопасностью. В нем существует модель PDCA, описывающая этот процесс (рис. 1). В самой ее логике заложено, что это «колесо» должно вертеться, совершая оборот за оборотом, приводя к переоценке рисков после каждого компенсирующего мероприятия, а проще говоря – внедрения технических средств защиты информации. К сожалению, в реальной жизни «колесо» получается несколько квадратным – совершит один-два оборота и замирает. Компания считает себя полностью защищенной и уверенной в надежности внедренных решений, забывая, что обеспечение безопасности – процесс, и только постоянная эксплуатация ИБ-систем и их мониторинг позволяют точно проводить оценку рисков, правильно реализовывать компенсирующие мероприятия и эффективно защищать информационные активы компании.

Конечно, обеспечение безопасности подразумевает наличие каких-то параметров эффективности. В данной статье ими будут скорость и величина снижения рисков, а также финансовые ресурсы, затраченные на безопасность. И если с рисками вроде бы все понятно, то расходы на безопасность стоит рассмотреть подробнее. Они складываются из двух основных компонентов: начальных инвестиций в покупку системы и последующих затрат на ее поддержку. По первичным затратам все более или менее ясно. Фирма идет на них с пониманием и с оценкой их необходимости, но вот расходы на дальнейшую поддержку трудно предсказать, а между тем их стоимость порой может превышать стоимость самого внедрения. Во сколько же обходится обеспечение ИТ-безопасности компании среднего размера? В 60–80 тыс. долл. ежегодно. В эту сумму входит примерно следующее: 10 сенсоров системы обнаружения/предотвращения вторжений IPS/IDS, пара-тройка сканеров безопасности на 500 IP-адресов и одна система SIM. Не так уж много и далеко не все, что находится в хозяйстве рачительного «безопасника». Стоит ли безопасность этих денег? Безусловно, да.

Однако никто не мешает нам оптимизировать эти расходы исходя из практического опыта обеспечения безопасности. Кроме того, давайте попробуем решить вопрос по оптимизации и другой статьи затрат – внедрения новых систем. На данный момент системы обеспечения информационной безопасности обычно относят к одной или нескольким категориям:

  • защита периметра;
  • обнаружение/предотвращение вторжений;
  • прокси и реверс-прокси;
  • контентная фильтрации;
  • управление обновлениями рабочих станций и серверов;
  • антивирусная защита рабочих станций и серверов;
  • веб-антивирус и почтовые антивирусы;
  • удаленный доступ;
  • защита веб-приложений;
  • аутентификация, авторизация и учет;
  • резервное копирование и восстановление;
  • управление открытыми ключами;
  • шифрование и обеспечение целостности данных;
  • сбор и анализ событий;
  • сканеры уязвимостей;
  • управление правами доступа;
  • технологии единого входа;
  • управление правами;
  • защита от утечек;
  • общее управление и корреляция.

Список приличный, не так ли? Как вы понимаете, об этом задумались не только мы, потребители, но и вендоры, что приводит нас к первому важному вопросу статьи: моно- или мультивендорность? Для ответа на него рассмотрим плюсы и минусы моновендорности (таблица). Уместно отметить, что именно объемность и разнонаправленность систем из списка не позволяют одному поставщику монополизировать рынок и одинаково уверенно чувствовать себя во всех или многих категориях.

Итак, первый оборот колеса безопасности – внедрение новых систем. Взглянем на это действие с точки зрения указанных выше мер эффективности обеспечения безопасности. Для начала определим три основных подхода к построению ИБ-систем:

  • внедрение сложных многокомпонентных систем с нуля;
  • эволюционный подход: постепенная замена существующих систем мощным решением корпоративного уровня;
  • эволюционный подход с сохранением унаследованных систем после внедрения новой и последующей их совместной эксплуатации.
За кадром актуальные вопросы ИТ-безопасности
Рис. 2. Кривая защищенности компании при внедрении с нуля

Достаточно популярен первый подход, который основывается на устоявшихся мнениях о ненужности «разведения зоопарка» разных систем и необходимости покупки сразу решения корпоративного класса и отказе от внедрения простых либо Open Source-средств. Его преимущества очевидны, чего нельзя сказать о проблемах, которые за этим скрываются. Отсутствие опыта использования ведет к невозможности правильной формулировки требований, перекладывании ответственности за выбор системы и ее настройку на поставщика, интегратора или консультанта и пр.

Ну а теперь применим нашу меру эффективности – снижение рисков (см. рис. 2). Как видно из графика, перед реализацией некоего проекта был проведен анализ рисков и принято решение минимизировать тот, что оценен значением 30. А далее идут стандартные вехи многих проектов: принятие решения, подписание контракта по результатам тендера, начало внедрения, опытная и, наконец, продуктивная эксплуатация. Из графика следует, что риски начинают значительно компенсироваться только после окончания опытной эксплуатации, а ведь только тендерная процеду-ра, не говоря уже о внедрении и опытной эксплуатации, занимает больше месяца, а то и двух. И все это время риски не только не минимизируются, но и растут с изменением характера угроз и появлением новых опасностей, на минимизацию которых решение не рассчитывалось.

Моновендорный подход при эксплуатации ИБ-решений
Преимущества Недостатки
  • Легкая интеграция компонентов решения между собойПоддержка «из одних рук» (отсутствуют взаимные обвинения вендоров в неработоспособности решения в целом)
  • Скидки ввиду большого объема поставки
  • Упрощение процесса закупок и расширения решения, так как нет необходимости проводить дополнительные тендерные процедуры
  • Минимизация количества тренингов персонала благодаря общей идеологии системы, преемственности логики и механизмов управления
  • Упрощение развития системы – фактически им занимается поставщик
  • Недостаточный уровень качества каждого из компонентов по отдельности и невозможность выбрать лучшее на рынке решение

     

  • Привыкание к поставщику (незнание и нежелание конкурирующих решений)
  • Высокая стоимость миграции на аналогичное решение от конкурента
  • Невысокий уровень профессиональных знаний персонала и их ограниченность (вследствие стремления вендоров к упрощению систем управления и снижению требований к эксплуатирующему персоналу)
  • Необходимость оплачивать непрерывную поддержку и производить смены версий по рекомендации разработчика
  • Риск «все в одном» – проблемы с вендором или его решением приводят к серьезным рискам для безопасности компании
  • Необходимость ждать, пока нужную новую технологию освоит конкретный вендор
За кадром актуальные вопросы ИТ-безопасности
Рис. 3. Кривая защищенности компании при эволюционном подходе

Теперь рассмотрим два других подхода, по сути, являющихся вариациями эволюционной модели с небольшими отличиями в финальной фазе реализации. Что, собственно говоря, дает эволюционный подход в применении к ИБ-системам? В первую очередь он предполагает накопление опыта эксплуатации защитных решений в определенной компании и в конкретных бизнес-процессах. Позволяя оперативно снизить риски безопасности (ввиду использования простых решений), провести оценку требований к системе и выявить ошибочные предпосылки при малых вложениях, он считается идеальным путем внедрения ИБ-средств. Наш график эффективности в данном случае изображен на рис. 3. В легенде указаны решения с открытыми исходными текстами, но это скорее пример, так как в качестве простого средства защиты может выступать недорогой закрытый инструмент.

Основное отличие данного графика от предыдущего именно в предварительной и частичной минимизации рисков простой системой с последующей ее заменой корпоративным решением. Более того, после запуска основного решения в продуктивную эксплуатацию для минимизации изменившихся за время его внедрения рисков можно и нужно начинать установку новой системы, снижающей их.

За кадром актуальные вопросы ИТ-безопасности
Рис. 4. Кривая защищенности компании в случае сбоя основной ИБ-системы

Есть один вопрос, которого мы намеренно не касались, рассматривая подходы, но он очень важен для их финансовой эффективности, – это образование. Сложившаяся на данный момент практика обучения кадров после выполнения подрядчиком всех работ по установке и интеграции решения требует коренного изменения. Подготовку персонала необходимо проводить до начала всех работ и, возможно, даже до старта тендерной процедуры. Это сократит сроки за счет большей занятости специалистов заказчика в интеграционных работах, позволит учесть особенности эксплуатации и правильно сформировать требования к системе.

Итак, система установлена и работает. Все обучены, деньги на интеграции сэкономлены, риски снижены – эффективность просто потрясающая... казалось бы, все. А вот как часто мы задумываемся о надежности? Одной из задач ИБ как раз и является контроль надежности информационных систем компании – ответит мне подкованный читатель, – тут и BCP (Business Continuity Plan), и разного рода учения по восстановлению после сбоя. Да, это все так, но вот какова надежность самих систем обеспечения безопасности? Некоторые постулаты ясны изначально. Во-первых, вероятность выхода из строя средств безопасности зависит от их сложности. Во-вторых, ИБ-системы обязаны быть надежнее «классических» ИТ-решений, и, соответственно, кроме привычных мер обеспечения надежности, нужно применять нестандартные. Понимание других проблем приходит из опыта эксплуатации:

  • трудности, связанные с закрытостью и нетривиальностью ИБ-систем;
  • недостаточная проработка решений с точки зрения эксплуатации (особенно характерная для аппаратно-программных, для которых часто используется дешевое оборудование с отсутствием возможности быстрой его замены в случае выхода из строя);
  • сложности, вызванные недостаточной защищенностью самих систем безопасности;
  • системы резервного копирования не предусмотрены, либо их возможности сильно ограничены;
  • отсутствие самодиагностики для некоторых важных компонентов ИБ-решений.

Как же улучшить показатели надежности ИБ-систем? Для этого необходимо применять простые однокомпонентные и устаревшие системы как дополнительное средство обеспечения надежности. Как видно из графика (рис. 4), в случае выхода из строя главного ИБ-решения риски по-прежнему скомпенсируют устаревшие инструменты. Более того, если основная система будет восстановлена максимально быстро, устаревшая скомпенсирует риски безопасности в полном объеме, и падения общего уровня защищенности информации компании не произойдет.

Ну что ж, мы правильно внедрили высоконадежные решения безопасности. Учли все факторы и т. д. и т. п. И наконец-то у нас долгожданное спокойствие? Не совсем. Любая компания развивается и требует внедрения новых программных средств автоматизации деятельности. Очевидно, что новые проекты внедрения влекут за собой переоценку рисков безопасности. В быстрорастущей компании эти процессы происходят повсеместно и непрерывно, поэтому необходимо постоянно преодолевать возникающие сложности. Следует разработать детальные требования к ИТ-безопасности для новых систем и вносить их как приложения к контракту на поставку решения и интеграцию. Далее, надо обязательно проводить аудит безопасности решения перед передачей его в коммерческую эксплуатацию, выполняя глубокий анализ функциональности и схем работы.

Система внедрена, проверена, и тут возникает необходимость ее удаленной поддержки разработчиками системы либо компанией, предлагающей подобный сервис. Достаточно серьезной проблемой безопасности в этом случае является как само предоставление удаленного доступа к продуктивному оборудованию, так и контроль действий поставщика в момент проведения работ. Классическое на данный момент решение с построением VPN и одновременной активацией аккаунта поддержки на обслуживаемой системе не позволяет на все 100% управлять процессом и проводить разбирательства в случае аварии на продуктивной системе. Более того, отсутствие контроля действий персонала удаленной технической поддержки может привести и к массированной утечке конфиденциальных данных, минуя все защитные укрепления компании. Для решения подобных задач предприятиям, активно применяющим механизмы удаленной поддержки, можно порекомендовать терминальный сервер с расширенными функциями мониторинга и записи действий пользователей, поддерживающий основные протоколы удаленного управления (RDP, SSH, X-Window).

Ключевой фактор успеха в таком нелегком деле, как информационная безопасность, – это, конечно, люди. Как же обеспечить высокий уровень квалификации персонала, слаженность его действий и постоянный уровень готовности? Следует сделать так, чтобы группа, отвечающая за это направление, осуществляла эксплуатацию как можно большего количества ИБ-средств. Это позволит сотрудникам команды досконально понимать все уровни защищаемых информационных систем, поддерживать умения, знания и навыки в актуальном состоянии и, самое главное, давать выполнимые технические рекомендации эксплуатационным подразделениям.

Казалось бы, рекомендации, данные в статье, идут вразрез со всем тем, что предлагают сегодня вендоры, и самим направлением развития рынка, ведь последнее слово в индустрии – «ИБ как услуга» (Security-as-a Service). Ее предлагают лидеры отрасли безопасности. С помощью данного сервиса крупные поставщики готовы за клиента развивать защитную инфраструктуру, анализировать уязвимости, поддерживать ИБ-системы и даже расследовать инциденты. Да, все это так, но когда стоимость высококлассных специалистов в Украине опускается до затрат на техническую поддержку, предоставляемую индийским подразделением вендора, когда цена годового сопровождения простых систем безопасности у поставщика выше, чем самого решения, то пора пересмотреть приоритеты.

+33
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT