В яких випадках найчастіше впроваджують систему управління інформаційною безпекою (СУІБ)?
Є три типових сценарії. Перший – комплаєнс, тобто компанія працює в умовах, коли потрібно відповідати регуляторним вимогам, або клієнти вимагають відповідності стандарту. Другий – компанія досягає того рівня розвитку і зрілості, коли розуміє, що для ефективної роботи без СУІБ буде погано. І третій – в компанії починаються проблеми з кібербезпекою, зростає кількість інцидентів, які тягнуть за собою порушення в роботі основних бізнес процесів. Тоді в ході пошуку причин і підготовки рекомендацій з виправлення ситуації одним із стратегічних кроків може бути впровадження СУІБ.
Чи всім потрібно обов’язково впроваджувати СУІБ?
СУІБ дозволяє за допомогою аналізу ризиків визначити слабкі місця системи інформаційної безпеки і оцінити необхідність вкладати кошти, впроваджувати контролі у певні напрямки безпеки. Тому що напрямків багато, і потрібно розуміти, куди інвестувати. А стандарт ISO / IEC 27001, 27002, відповідно до якого впроваджується СУІБ, по суті містить рекомендації на основі кращих світових практик. Із них можна дізнатися, як той чи інший напрямок реалізували на різних підприємствах. Стандарт має 18 розділів, в яких розкриваються 14 напрямків діяльності, наприклад, криптографія, фізична безпека, розробка і впровадження програмного забезпечення тощо.
На тренінгу з впровадження СУІБ ми допомагаємо розібратися в усіх цих напрямках. Тому що деякі спеціалісти, яким потрібно спроваджувати СУІБ, можуть і не знати, що потрібно займатися певними напрямками, наприклад, криптографією чи перевіркою безпеки при впровадженні технічних систем, що потрібно написати вимоги для безпеки систем, які впроваджуються.
Чим саме допомагає тренінг? Із чим самостійно не можуть впоратися компанії без тренінгу?
Тренінг допомагає зрозуміти, що саме потрібно робити, як діяти в різних ситуаціях, отримати відповіді на запитання, що виникають в ході роботи, обговорити конкретні приклади. Тому що в стандарті написано, наприклад, що потрібно організувати резервне копіювання. Але як саме це зробити, в якому напрямку рухатися, які технічні засоби використовувати – стандарт не регламентує. У людей з недостатнім технічним досвідом виникають запитання, на які вони не завжди можуть відповісти.
Хіба не можна самостійно почитати стандарт і впровадити СУІБ без проходження тренінгу?
Можна купити стандарт, почитати його і самому намагатися впроваджувати. Але дуже важливим аспектом тут є практичний досвід. Люди без достатнього досвіду читають стандарт і половину тексту не розуміють, хоча все написано рідною мовою. Щоб правильно трактувати наведені рекомендації, потрібно мати досвід у кожній з цих сфер.
В інформаційній безпеці є спеціалісти з мережевої безпеки, ендпойнт безпеки, даталос безпеки, процесної безпеки. Та якщо на підприємстві немає великої команди з розподілом обов’язків, то спеціаліст займається всім відразу. В такому випадку в нього не вистачає глибини знань і навиків. А коли відбувається щось за межами його знань або потрібно впровадити нові контролі, він не знає що робити. Крім того, на тренінгу ми обговорюємо реальні ситуації, які вже мали місце в інших організаціях, помилки, які допускали інші спеціалісти. Все це допомагає набагато краще розібратися в темі.
Наведіть приклад.
Давайте подивимось на вимогу щодо резервного копіювання інформації, про яку я вже згадував вище. У стандарті сказано, що резервні копії потрібно зберігати у віддаленому місці, щоб уникнути пошкодження в основному приміщенні. При цьому резервні копії інформації повинні бути фізично та інфраструктурно захищені на тому ж рівні, що застосовують в основному приміщенні.
Під час проведення аудиту в одному з банків у Києві я на власні очі бачив їхній резервний пункт, розташований в селі Київської області в приміщенні, в якому з одного боку працювала СТО, а з другого був цей резервний пункт, «захищений» жалюзями на вікнах. Не було ні екранованої серверної кімнати, ні сигналізації. Просто стояли два сервери, на які все копіювалося. Проникнути туди не складало жодної проблеми. Тобто формально вимога наче виконувалася, та фактично інформація не була захищеною.
Можете навести ще один приклад?
Під час проведення аудиту в іншому банку ми виявили серйозне порушення, пов’язане з правами доступу.
Відділення банку розташовувалися далеко один від одного, і коли працівники хворіли або з інших причин не могли працювати, відбувалося перекидання персоналу між відділеннями.
У кожному відділенні були три категорії ролей з різними правами доступу: касир, операціоніст і керівник відділення. У кожного свої функції та свій набір прав. Касир може прийняти кошти, провести платіжку, яку перед тим створив операціоніст, керівник своїм ключем відправляє на проведення цього платежу в головних офіс банку. А там уже контролери чи головний бухгалтер перевіряють всі платежі вище порогової суми.
Так ось, при перевірці виявилося, що при перекиданні людей між відділеннями не виконувалося правило про те, що працівнику спочатку потрібно заблокувати попередні права доступу, а лише потім надати нові. Були виявлені два працівники, які мали одночасно права касира, операціоніста і керівника відділення. До чого це могло призвести? Ці працівники могли створювати платіжки на допорогову суму, проводити їх ключем касира і відправляти на головний офіс, де їх ніхто не буде перевіряти. Кілька таких платежів в місяць можна було спокійно проводити роками, і ніхто не зловив би.
Чому не всі хочуть вивчати особливості провадження СУІБ на тренінгу?
Є люди, які думають, що стандарт – це щось сухе, теоретичне і на практиці не потрібне. Когось зупиняє фінансовий аспект. Але тут важливо оцінювати співвідношення фінансових втрат від реалізації кіберризиків і затрат на їх недопущення.
Не йдуть вчитися ті, хто вважає, що і так знають і вміють достатньо, і що міжнародний досвід їм не потрібен. Хоча я переконаний, і не тільки я, що чим більше в людини досвіду, тим більше вона сумнівається і тим більше відкрита до нового. Адже неможливо все знати. Швидкість зміни ландшафту в сфері інформаційної безпеки становить півроку, а кібербезпека слідує за розвитком ІТ. Тобто кожні півроку виникає щось зовсім нове, відбуваються такі атаки, яких раніше не було. А коли ми на курсі проходимо стандарт, то дивимося на нього з точки зору сучасних реалій.
Ви згадали про впровадження СУІБ в ситуації, коли в компанії зростає кількість інцидентів. Хіба це допоможе їх зупинити?
Коли зростає кількість інцидентів і збитки від них, керівництво починає задумуватися про те, що в плані інформаційної безпеки не все добре. Впровадження СУІБ на підприємстві середнього розміру займає близько року. Звісно, це не те, що потрібно для управління критичними інцидентами прямо зараз. Але впровадження СУІБ може бути однією з довгострокових рекомендацій.
Перший крок, коли активно посипалися інциденти, – це проведення аналізу з метою виявлення причин проблем, пошуку вразливостей. Аудит інциденту покаже, що до нього призвело. В багатьох випадках причиною є персонал, погано обізнаний в питаннях інформаційної гігієни та безпеки, плюс невиконання самих базових вимог кібербезпеки при налаштуванні роботи обладнання.
Керівництво організації, яке часто не цікавиться подібними питаннями, в результаті аудиту може «прозріти», дізнавшись дуже цікаві речі. Наприклад, що в компанії стоїть один антивірус і хакери лазять прямо всередині мережі. Або що в компанії працює один айтішник – і навіть не в штаті, а на аутсорсі.
Звіт за підсумками аудиту містить рекомендації того, що потрібно зробити. Серед них може бути і рекомендація впровадження СУІБ. Це стратегічна робота на 3-5 років вперед.
3-5 листопада в ISSP Training Center пройде черговий курс на тему Впровадження СУІБ відповідно до стандарту ДСТУ ISO / IEC 27001, 27002. Для реєстрації перейдіть за посиланням: https://www.issp.training/i-isms-implementation-of-isms-iso27001-27002