IT-руководитель отвечает за ИБ. Как так вышло и что делать?

Итак, вы — IT-руководитель. Но теперь отвечаете не только за IT-процессы, но и за информационную безопасность в вашей организации, с чем мы вас поздравляем! Невозможно рассмотреть все причины, которые могли бы привести к такому исходу и дать универсальный сценарий. Однако в статье мы поможем сориентироваться в первых шагах на посту ИБ-руководителя и расскажем о нюансах, с которыми вы можете столкнуться.

Почему IT-руководитель может «в один день» стать ИБ-руководителем

Рынок ИБ в России растет быстрее не только экономики страны, но и самого IT-сектора. Рассмотрим основные причины такого внимания к безопасности.

Всеобщая цифровизация государства и бизнеса. Все больше процессов, включая критически важные, переходят в «цифру». Это требует надежного обеспечения их безопасности. 

Рост числа ИБ-угроз и инцидентов. Большинство представителей бизнеса уже заинтересованы инвестировать в ИБ. Это обусловлено большим количеством утечек данных, кибератак, блокировок работы, хактивизма и других событий, масштаб которых ежегодно растет.

Усиление регулирования и ужесточение ответственности за нарушения сфере ИБ. Например, Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» или новые санкции и введение оборотных штрафов за утечки персональных данных (ПЛн) напрямую влияют на продолжение деятельности организаций. 

Как правило, усиление ИБ в организации связано с комбинацией сразу нескольких факторов. Разберемся, почему вы, как IT-руководитель, — наиболее подходящий кандидат. 

• Скорее всего, вы отлично разбираетесь в бизнес-процессах, типах данных, местах их хранения, технологиях обработки, используемых IT-решениях и работе IT-подрядчиков организации.
• При создании информационных систем вы, как минимум, уже применяете базовые меры ИБ: антивирусы, парольную защиту, регулярные бэкапы и контроль за использованием личных устройств.
• Самостоятельно или с командой вы разрабатывали регламенты в IT: правила использования ПО, требования к парольной политике и т. д.
• Для многих IT-специалистов ИБ — это возможность для роста компетенций или даже смены профиля.

Для каких компаний это наиболее актуально

Исходя из предпосылок развития рынка ИБ, наиболее остро вопросы безопасности и выполнения требований стоят для следующих категорий компаний.

• Государственные организации и госкорпорации. 
• Стратегические предприятия. К ним относятся федеральные государственные организации и акционерные общества, акции которых находятся в федеральной собственности. Их перечень регулируется соответствующим документом.
• Компании, включенные в список системообразующих организаций. Такие перечни формируются профильными министерствами для отдельных отраслей. Например, для отрасли IT и связи есть актуальный список Минцифры. 
• Субъекты критической информационной инфраструктуры (КИИ).
• Небольшие компании, обрабатывающие крупные объемы персональных данных. Например, банки, телеком-провайдеры и e-commerce.

В небольших организациях выделение отдельной функции ИБ может быть невозможным из-за таких причин, как предельная штатная численность, недостаток финансирования или дефицит квалифицированных кандидатов. Однако независимо от размера компании, кандидат на роль ИБ-руководителя должен соответствовать ряду требований.

Требования к кандидату

Конкретные требования для позиции ответственного за ИБ варьируются в зависимости от типа организации, отрасли, планов по получению лицензий ФСТЭК России, ФСБ России и/или Роскомнадзора. Тем не менее, можно выделить общие паттерны, обусловленные в том числе законодательством.

Требования к квалификации

Основная сложность — обязательное наличие высшего образования в области ИБ (не ниже уровня специалитета, магистратуры) или прохождение программы профессиональной переподготовки. Требование обусловлено постановлением Правительства РФ от 15.07.2022 №1272. Однако важно отметить, что оно касается только ряда организаций: 

Документ также определяет компетенции, должностные обязанности и зоны ответственности сотрудника, отвечающего за ИБ. Он направлен на обеспечение результативного уровня безопасности в компании, поэтому рекомендуем ознакомиться с постановлением, даже если ваша компания не подпадает под его требования.

Требования к компетенциям

Как правило, при переходе из IT-подразделения кандидат уже обладает большинством требуемых компетенций, так как многие знания нужны для выполнения IT-функций.

• Знание способов построения информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, а также формирования IT-ресурсов.
• Понимание типовых архитектур систем и сетей, требований к их оснащенности программными (программно-техническими) средствами.
• Знание принципов построения и функционирования ОС, систем управления базами данных, основных протоколов систем и сетей.
• Представление зависимости ключевых бизнес-процессов от IT-инфраструктуры.

Однако это лишь фундамент для компетенций в части ИБ. Благодаря нему IT-руководителю будет проще разобраться в отдельных аспектах безопасности, но этого недостаточно. Рассмотрим ключевые компетенции.

• Понимание специфики ИБ и нормативных требований в отрасли.
• Понимание целей обеспечения ИБ применительно к основным процессам функционирования компании, реализации и контроля их достижения.
• Знание угроз, предпосылок их возникновения и методов защиты.
• Возможности и назначения типовых программных, программно-аппаратных средств обеспечения ИБ.
• Способы и средства проведения компьютерных атак, актуальные тактики и техники нарушителей.
• Управление ИБ-проектами и антикризисное управление.
• Формирование измеримых и практических результатов деятельности по обеспечению ИБ органа (организации).
• Организация разработки ИБ-политики (правил, процедур).

В подавляющем большинстве случаев IT-руководитель не имеет таких компетенций, поэтому далее мы расскажем, как не совершить ошибок на старте и решить первые практические задачи по обеспечению безопасности. 

Первые шаги в должности 

Главная ошибка, которую может совершить новый ИБ-руководитель, — организовать защиту информации исходя из своих представлений и картины мира, игнорируя цели бизнеса или функции, если речь о некоммерческой организации. «Заказчик» ИБ-функции — это всегда бизнес или руководство организации с поставленными перед ними целями, а задача информационной безопасности — помогать их достигать.

Этап 1. Определите цели ИБ

Если назначение на должность произошло по инициативе руководства, первым делом обсудите причины такого решения и ожидаемые результаты. Причины могут быть разными: инцидент безопасности, выявленные нарушения или новые требования регуляторов. На их основе можно сформулировать и цели. Рассмотрим несколько примеров. 

Обеспечение непрерывности бизнеса. ИБ достигает этой цели путем минимизации вероятности инцидентов и их последствий.

Сохранение конфиденциальной информации. Это может быть ноу-хау компании, клиентская база или персональные данные.

Избежание штрафных санкций. Актуально при наличии строгих требований регуляторов.

Этап 2. Определите риски и угрозы ИБ

Процесс определения рисков и угроз в общем виде хорошо описывает методология OPSEC (Operations Security), а также стандарт NIST Special Publication 800-53 «Security and Privacy Controls for Information Systems and Organizations» как его интерпретация. Пройдемся по основным этапам этого шага.

1. Определяем критичные данные. Важно обозначить, какая информация является критичной для достижения целей ИБ, иначе говоря — что мы защищаем. Например, это могут быть персональные данные, база клиентов, исходные коды программ как основной бизнес-актив компании, способы достижения и сохранения конкурентного преимущества организации и т. д.

2. Определяем перечень угроз. Кто может быть нашим «противником» в вопросах защиты данных. Например, внешние нарушители, хакеры, конкуренты, непредвиденные события, внутренние недоброжелатели-нелояльные сотрудники и т. д.

3. Анализируем уязвимости. Ищем слабые места в IT-системах, процессах обработки данных, политике безопасности и т. д.

4.1 Оцениваем риски. По итогам первых трех пунктов устанавливаем, с какой вероятностью каждое из них может стать причиной ИБ-инцидента. Также важно рассчитать ущерб в случае инцидента и понять, какая степень ущерба будет несовместима с достижением целей ИБ. 

На этом этапе важно правильно связать риски инцидентов и ущерб с перечнем недопустимых событий. Определить, какая степень ущерба и при каких событиях допустима для бизнеса, а какая — неприемлема. 

4.2 Ранжируем риски. По результатам четырех шагов риски ранжируют по критичности и приоритезируют меры для их устранения.

Чтобы избежать «избытка» защиты, важно понимать особенности процессов обработки данных. Не для всей информации критично нарушение конфиденциальности — иногда важнее обеспечить ее сохранность (целостность) и доступность владельцу. Помимо прочего, ущерб от инцидентов бывает косвенным: утечка базы клиентов может привести не к прямому финансовому ущербу «в моменте», а к штрафам и репутационным потерям в дальнейшем, если об этом станет известно общественности.

Для оценки рисков и моделирования угроз важно учитывать сферу деятельности компании и защищаемые данные. Для государственных информационных систем, объектов критической информационной инфраструктуры (КИИ) и систем персональных данных рекомендуется использовать документ ФСТЭК России от 2021 года «Методика оценки угроз безопасности информации».

Среди международных методологий, применимых к информационной безопасности, можно выделить:

• NIST SP 800-37 (управление рисками на всех этапах жизненного цикла систем),
• ISO 27005 или его российская адаптация ГОСТ Р ИСО/МЭК 27005-2010 (управление рисками информационной безопасности),
• FRAP (Facilitated Risk Analysis Process),
• COSO ERM.
• При разработке отечественных стандартов регуляторы учитывали эти международные методологии и лучшие практики. По этой причине можно легко интегрировать их и гармонизировать, например, для соблюдения требований как российских, так и международных стандартов.

5. Разрабатываем и реализуем план устранения угроз и снижения рисков. Финальный этап может включать установку новых ИБ-продуктов, внедрение процедур и проверок, а также изменение процессов обработки данных. 

Как эффективно совмещать IT и ИБ

О конфликте интересов IT- и ИБ-подразделений давно слагают корпоративные легенды. Совмещение в одном руководителе двух функций может быть эффективной мерой благодаря единому центру принятия решений. Однако на этапе реализации ИБ-стратегии может возникнуть вопрос: как эффективно встроить ИБ-процессы в развитие IT?

Наиболее эффективное решение для оптимизации затрат — заложение ИБ-функций и мер на всех этапах проектирования и запуска систем. Это одна из ключевых причин, по которой в рамках IT-проектов нужно предусмотреть время на дополнительные этапы. В данном случае совмещение IT- и ИБ-функций — существенный плюс, так как один руководитель контролирует всю цепочку работ и отвечает за финальный результат в комплексе.

Если же говорить о конкретных работах в части ИБ, которые нужно провести в процессе создания новой системы, можно обратиться к фундаментальному ГОСТ Р 51583—2014 «Порядок создания автоматизированных систем в защищенном исполнении». Рассмотрим ключевые шаги, которые он описывает.

• Разработка концепции защиты информации (ЗИ) в создаваемой (или модернизируемой) системе.
• Определение защищаемой информации создаваемой (модернизируемой) системы на различных стадиях ее создания.
• Определение носителей и мест хранения защищаемой информации в системе, их уязвимостей, актуальных угроз.
• Технико-экономическое обоснование организационных и технических мероприятий, которые необходимо проводить в интересах защиты информации создаваемой системы.
• Обоснование, разработка и /или закупка, внедрение средств защиты в создаваемой (модернизируемой) системе.
• Обоснование и разработка мероприятий по контролю уровня ЗИ в создаваемой (модернизируемой) системе на различных стадиях ее создания.
• Разработка документов, регламентирующих организацию и осуществление защиты информации в системе.

А нужна ли команда

По итогам проделанной работы перед руководителем ИБ встает логичный вопрос: а кто все это должен/сможет сделать?

Получив план устранения рисков, следует оценить следующие факторы.

• Какие подразделения компании должны принять участие и какие компетенции для этого понадобятся.
• Какие компетенции из требуемых уже есть в компании и просто не были задействованы (например, IT-инженер обладает опытом настройки средств защиты и готов взяться за такие задачи вновь).
• Какие компетенции должны быть в штате, а какие — нужны только периодически.

Если говорить о найме в штат или привлечении аутсорс-специалистов, то единых правил и подходов нет. Однако есть общие рекомендации, которых стоит придерживаться при этих сценариях. 

Наем в штат

Рассмотрим ситуации, при которых лучше рассмотреть наем специалиста в штат.

• Компетенции требуются регулярно или на постоянной основе — например, поддержка работы средств защиты.
• Предполагается работа с такими критичными данными, например, гостайной, доступ к которым посторонних лиц сам по себе может стать ИБ-инцидентом.
• Специалист соответствующей квалификации требуется на законодательном уровне. Чаще всего с этим сценарием сталкиваются компании, которым нужно получить различные лицензии и разрешения — например, лицензию ФСБ на работу с криптографическими средствами защиты.

Передача на аутсорс

Согласно исследованиям, спрос на MSSP-услуги в России и в мире ежегодно растет. Такая модель дает клиентам целый ряд преимуществ.

• Быстрый доступ к требуемой ИБ-экспертизе.
• Возможность быстрой смены аутсорс-команды в случае необходимости — в отличии от продолжительного поиска и адаптации новой команды при смене in-house.
• Оптимизация затрат. Оплачиваются только конкретные услуги по мере необходимости.
• Совместная ответственность с партнером за результативность ИБ-функции.

Рассмотрим, для каких сценариев наиболее эффективна аутсорс-модель.

• Разовые или периодические, но не частые работы — например, тестирование на проникновение.
• Работы, которые требуют определенных лицензий, — например, аттестации систем по требованиям защиты информации, но у компании нет цели/возможности получать их.
• Выполнение функции критически зависит от квалификации исполнителей и опыта, например — мониторинг ИБ-инцидентов или их расследование.

Поиск, оценка и удержание ИБ-специалистов — темы для отдельной статьи. Само собой, в каждом конкретном случае при выборе между наймом и аутсорсом нужно исходить из возможностей и особенностей организации: бюджета, эффективности управления наймом и большими командами, планов по развитию IT- и ИБ-направлений.

Чем может помочь сервис-провайдер 

Чем помимо IT-инфраструктуры готов помочь современный сервис-провайдер ИБ-руководителю? Рассмотрим преимущества, которые дает сервисная модель на этапах проектирования и запуска систем.