Журнал "Директор по безопасности" Февраль 2020 | Page 13
Точно такие же принципы долж-
ны применяться при оценке эффек-
тивности сотрудников, трудящихся в
сфере ИБ, при внедрении KPI. Нужно
понимать, какого рода бизнес-про-
цессы в компании являются основны-
ми, ключевыми. Можно отталкиваться
от непрерывности бизнеса, от просто-
ев, от скорости устранения проблем,
ошибок, последствий инцидентов,
скорости реагирования. С другой сто-
роны, недостаточно оценивать толь-
ко безопасников в этом направлении,
потому что от каждого сотрудника в
организации так или иначе зависит ее
общая защищенность.
Говоря об эффективности и ее
оценке, я все время вспоминаю фра-
зу Глеба Жеглова из одного из моих
любимых фильмов «Место встречи
изменить нельзя»: «Порядок в стра-
не измеряется не наличием воров, а
умением властей их обезвреживать».
Так и в нашем случае. Сейчас, мне
кажется, на принципиально новый
уровень выходит значимость вопро-
сов реагирования и скорости рассле-
дования, потому что неотвратимость
наказания, как правило, существенно
снижает интерес к достижению пре-
ступных целей.
Развитие технологий ИБ
Вообще, эффективность в безопас-
ности – понятие неоднозначное и не
может опираться на одну только эко-
номическую рентабельность, хотя это
и очень важно. Информационная без-
опасность – крайне высокотехнологич-
ная область деятельности, в которой
критическое значение для эффектив-
ности играет соответствие современно-
му технологическому уровню. Нельзя
выбрать какое-то идеальное для ком-
пании решение или комплекс таких
решений и на этом успокоиться. Сегод-
няшнее идеальное решение завтра ста-
нет уязвимым из-за бешеной скорости
обновления окружающего ИТ-ландшаф-
та. Поэтому отрасли необходимо посто-
янно развиваться, экспериментировать,
проводить исследования.
К сожалению, государство в лице
регуляторов в этом смысле не очень
хороший помощник. В силу экономи-
ческих и других причин регуляторы –
это такой, если можно так выразиться,
немного архаичный инструмент, но
по-другому и быть не может: государ-
ство физически не может реагировать
на изменения настолько гибко, на-
сколько это хотелось бы отрасли. Да
это и неправильно, наверно. Задача
регуляторов – обеспечить минималь-
ный уровень защиты подконтрольных
организаций не ниже среднего. И с
этой задачей они справляются.
Роль своеобразных драйверов раз-
вития могли бы взять на себя НИИ,
но, к сожалению, у нас сегодня оста-
лось не так много научно-исследова-
тельских организаций, которые по-на-
стоящему работают. В итоге эту роль
подхватили крупные компании с нео-
граниченными бюджетами, такие как
Сбербанк или Яндекс. Они могут себе
позволить внедрять у себя перспек-
тивные, но рискованные разработки,
вкладываться в новые технологии с
не очень предсказуемым результа-
том. Мы, в «Ангаре», стараемся тоже
демонстрировать такой подход. Ко-
нечно, бюджеты у нас гораздо более
скромные, но мы тоже ищем новые
ниши, которые позволят нам в буду-
щем отличаться от конкурентов и чув-
ствовать себя уверенно. Это можно
сравнить с фундаментальной наукой:
результат на выходе непредсказуем,
экономически проект может оказать-
ся нерентабельным, но заниматься
этим нужно. И эту роль на себя сейчас
взяли ведущие компании российского
бизнеса. В итоге выигрывает вся от-
расль: и поставщики ИБ-решений и,
конечно, потребители.
Что делать небольшим
компаниям?
Однако, реальность такова, что Сбер-
банк или Яндекс – это исключение из
правил. Подавляющее большинство
компаний в России – это компании
малого и среднего бизнеса, которые
не могут позволить себе серьезные
ИБ-инструменты, например, SIEM или
DLP. Что же делать в этой ситуации?
Здесь я бы вспомнил про замечатель-
ное правило Парето, которое гласит,
что 80% успеха может быть обеспе-
чено ценой 20% бюджета или 20%
усилий, энергии. Есть базовый набор
технологий, которые могут быть при-
менены практически в любой органи-
зации. Если у вас есть хороший ком-
мерческий антивирус, межсетевой
экран, если вы выполняете базовые
требования по информационной без-
опасности, какой-то гигиенический
минимум, то в целом ваше состояние
можно оценивать как удовлетвори-
тельное. Образно это можно описать
так: когда ты бежишь от медведя, не
обязательно бежать первым, важно
не бежать последним. Если собствен-
ник или менеджмент компании даже
среднего уровня понимает важность
и значимость вопросов ИБ, то даже за
относительно небольшие деньги мож-
но обеспечить удовлетворительный
уровень защиты, внедрить комплекс
мер, которые позволят быть в более
выгодном положении по отношению
к соседям. Это ведь все равно так или
иначе элемент конкурентной борьбы.
Если вы лучше, чем конкуренты, ак-
тивнее, здоровее, быстрее бегаете, то
в этом смысле… медведь догонит ко-
го-нибудь другого.
Аутсорсинг
Одним из наиболее действенных и
экономически эффективных инстру-
ментов среди вышеупомянутых про-
стых мер для компаний с ограни-
ченным бюджетом является сегодня
аутсорсинг. А иногда аутсорсинг –
просто единственный способ достичь
нужного результата. Например, се-
годня очень модная тема – это SOC 4 .
Если у вас есть достаточно денег, вы
можете его внедрить, или вам его
внедрят. Но после этого окажется, что
некому будет работать. Минимальная
численность персонала SOC – хотя бы
10–15 человек. Их просто нет в таком
количестве на рынке. То есть в итоге
в перспективе трех-пяти лет вам нуж-
но будет много поработать, и вы по-
лучите не самый лучший инструмент.
В то же время вы можете обратиться
на рынок, выбрать из некоторого ко-
личества предложений (сейчас уже,
как минимум, с десяток компаний
предлагают такие услуги) то, что вам
нужно, и получить реальный резуль-
тат уже через две недели, максимум
через месяц, а не проводить экспери-
менты над собой. И это эффективный
пример аутсорсинга.
Ландшафт рисков
меняется кардинально,
что в ближайшее время
неизбежно приведет
к изменению
общепринятого
профиля специалиста
по безопасности –
потребуется если не
владение языками
программирования, то,
как минимум, уверенное
ориентирование
в современных
информационных
технологиях
Кстати, сейчас востребованной
становится услуга, когда в компанию
приходят специалисты по безопас-
ности и объясняют необходимость
внедрения того или иного инстру-
мента, например, что тот же SOC для
конкретной компании не нужен, это
просто модное течение. Объясняют,
с какими проблемами придется стол-
кнуться и почему, какие затраты при-
дется понести, какие обязательства на
себя взять. Это реально востребован-
ная услуга на рынке. Я видел клиента,
который сказал эксперту: «Спасибо
большое, что отговорил моих топ-ме-
неджеров внедрять SOC».
Не только для малого и средне-
го бизнеса, но и для довольно круп-
ных компаний может быть интересен
аутсорсинг в ИБ, когда речь идет о
применении каких-то узкоспециали-
зированных инструментов, которые
компании-клиенту просто не нужны.
Например, в нашей практике был слу-
чай, когда в организации с численно-
стью персонала более 10 000 человек,
сотрудник, который отработал в ком-
пании несколько недель, слил чувстви-
тельные данные в большом объеме и
уволился. В такой крупной компании
постоянно появляются новые сотруд-
ники в большом количестве. Это мо-
жет быть новый сотрудник, который
пришел по собеседованию и уволился
в рамках испытательного срока, мо-
жет быть стажер, который находился в
компании короткое время и т. п. Эта
компания имеет достаточно хорошо
технически оснащенный блок ИБ. Но
в условиях, когда информация цир-
кулирует в огромных объемах, нужны
специальные аналитические инстру-
менты для работы с большими данны-
ми, при использовании которых нами
и был обнаружен конкретный вино-
вник утечки. В ходе работы «высве-
тилась» совершенно неожиданная и
полезная информация, которую под
традиционным углом зрения ИБ из-
нутри компании просто не видно. Это
пример эффективного аутсорсинга.
Парадигма открытости
Когда мы выходили с подобными ус-
лугами на рынок, мы опасались того,
что у клиентов есть боязнь потерять
свои данные, когда привлекаются сто-
ронние подрядчики, что эти критич-
ные данные будут разглашены. Оказа-
лось, это надуманная проблема. Такая
боязнь у клиентов, конечно, суще-
ствует, но этот страх не входит даже в
первую пятерку того, чего опасаются
клиенты при работе с аутсорсерами.
Возможно, закрытость – это историче-
ское наследие советских времен и в
начале постсоветского периода мы по
инерции жили в этой парадигме.
Сейчас мы переходим к осозна-
нию того, что обмениваться инфор-
мацией, в том числе об инцидентах
ИБ – это более правильно, чем сидеть
и латать свои раны. Потому что в этой
кооперации все сообщество стано-
вится более сильным и защищенным.
От того, что все элементы этого сооб-
щества обмениваются информацией
между собой, повышается иммунитет.
Это, кстати, то же самое, что государ-
ство сейчас делает через НКЦКИ 5 . В
рамках 187-ФЗ информация об инци-
дентах на критических объектах ин-
фраструктуры должна передаваться в
государственный центр.
Нельзя сказать, что сейчас такая
информация передается охотно и с
воодушевлением. Но хорошо, что это
в принципе есть. На мой взгляд, луч-
ше сделать один небольшой шажок в
этом направлении, чем просто сидеть
сложа руки.
Это здорово, что специалисты, ко-
торые за это отвечают (НКЦКИ), ни от
кого не прячутся. Они довольно от-
крыты, они участвуют во всех отрас-
левых мероприятиях. Любой участ-
ник профессионального сообщества
может подойти к ним и пообщаться,
задать вопросы, которые его интере-
суют. Это общение, эта открытость –
большой плюс и большой позитивный
сдвиг в развитии отрасли информаци-
онной безопасности.
Подытоживая сказанное, хочется
еще раз обратить внимание на то, что
в эпоху цифровой экономики инфор-
мационная безопасность становится
основным компонентом системы обе-
спечения безопасности любой ком-
пании. И от того, насколько защище-
ны данные в организации, на каком
техническом уровне подготовлены
специалисты, обеспечивающие эту за-
щиту, зависит устойчивость и конку-
рентное превосходство бизнеса.
Радужная серия (Радужные книги) – серия
стандартов информационной безопасности,
разработанная и опубликованная в США в
период с 1980 по 1990 гг. Изначально книги
были опубликованы Министерством обороны
США, а затем в Центре национальной компью-
терной безопасности США.
1
АРМ КБР - Автоматизированное рабочее ме-
сто клиента Банка России.
2
АСУ ТП - Автоматизированные системы
управления технологическими процессами.
3
Security Operation Center (SOC) – центр мони-
торинга и реагирования на инциденты инфор-
мационной безопасности.
4
НКЦКИ (Национальный координационный
центр по компьютерным инцидентам).
5