Для многих российских предприятий, в том числе энергетических, крайне актуальна проблематика обеспечения информационной безопасности (ИБ). Для решения данной задачи компании инвестируют значительные средства в передовые решения, обучают персонал. Почему этих шагов не всегда достаточно, и как построить на энергопредприятии эффективную систему управления информационной безопасностью (СУИБ), ЭПР рассказал консультант по информационной безопасности AKTIV.CONSULTING Владислав Крылов.
СУИБ предполагает комплексный подход к управлению ИБ, охватывающий все уровни организации. Важно, чтобы СУИБ взаимодействовала с системой обеспечения информационной безопасности (СОИБ), которая фокусируется на технических и операционных аспектах защиты информации, включает в себя набор инструментов, технологий и процессов, направленных на защиту информационных активов от угроз.
Ключевые цели внедрения СУИБ
Первая цель — управление информационными рисками. Речь идет о систематическом выявлении, оценке и управлении рисками, связанными с информационными активами. Проведение регулярных оценок уязвимости, анализ угроз позволяет минимизировать вероятность инцидентов и их потенциальные последствия.
Вторая цель — устойчивость к инцидентам. СУИБ должна обеспечивать готовность организации к реагированию на инциденты, в том числе восстановлению после них. Для достижения данной цели важно наличие плана реагирования на компьютерные инциденты.
Третья цель — усиление процесса безопасности в целом. Внедрение СУИБ предполагает создание механизма для постоянного мониторинга и улучшения процессов управления ИБ. То есть СУИБ помогает комплексно усилить безопасность в энергокомпании.
Четвертая цель — оптимизация бизнес-процессов. СУИБ критически взаимосвязана с бизнес-процессами организации: она никогда не внедряется как что-то абстрактное, всегда — непосредственно на реальную систему, учитываются условия взаимодействия компании с окружающим миром и конкретные бизнес-процессы.
Ключевая задача СУИБ — без усложнения процессов сделать их безопасными и управляемыми., в том числе бизнес-процессы.
Нормативная база
В России нет обязательной нормативной базы, на которую необходимо опираться при внедрении СУИБ. ГОСТ Р ИСО/МЭК 27300−2021, идентичный международному стандарту ИСО/МЭК 27300:2018, носит рекомендательный характер.
Как на best practices (лучшие практики) можно ориентироваться на международные стандарты и рекомендации: ISO/IEK 27001 описывает требования к созданию, внедрению, поддержанию и постоянному улучшению СУИБ; NIST SP 800-53 содержит рекомендации от Национального института стандартов и технологий США для разработок и внедрения, в частности, СУИБ; GDPR — европейский регламент по защите данных, где прописаны внедрения конкретных мер, в том числе по защите данных, что подразумевает наличие эффективной СУИБ.
Четыре компонента СУИБ
Внедрение на предприятии СУИБ – процесс ответственный. Перед тем, как перейти этому этапу, предлагаю рассмотреть ключевые составляющие СУИБ.
Первый компонент – регламенты. Сюда входит большой пласт документов, не только непосредственно регламент, но и политики ИБ, которые представляют собой высокоуровневые документы, определяющие стратегические направления и принципы управления ИБ в организации.
В политиках и в регламентах должны быть четко сформулированы цели в области ИБ. Например, защита конфиденциальности, целостность и доступность данных. Важный момент: регламенты и политики — не формальная бумага, а рабочий инструмент. Регламенты должны соответствовать реалиям и бизнес-целям вашей компании, поскольку СУИБ не может быть коробочным решением. Для эффективного внедрения ИТ-решения необходимо хорошо вникнуть в структуру компании, в процессы, иначе оно будет оторвано от реальности.
Второй компонент – технические средства. Включают в себя технические меры, направленные на защиту информационных активов. Инструменты для осуществления контроля и управления позволяют получить определенные метрики и далее использовать их в разработке непосредственно регламентов компании.
Третий компонент – персонал. Сотрудники организации являются как защитниками всех информационных активов, так и потенциальными источниками угроз. Важно создать в компании культуру безопасности: каждый человек должен понимать свою роль, свою значимость в общей инфраструктуре. К тому же, именно персонал отвечает за корректную реализацию регламентов.
Четвертый компонент – процедуры, то есть документированные шаги и инструкции, которые определяют, как должны выполняться определенные действия в рамках СУИБ. Стандартный алгоритм выглядит следующим образом: планирование, внедрение, мониторинг и совершенствование.
СУИБ — динамичная история. Это не то, что один раз разрабатывается и забывается. Это то, что должно постоянно улучшаться
Этапы и подэтапы
Жизненный цикл СУИБ состоит из трех крупных этапов.
Этап первый: подготовка.
Важно определить цели и задачи, оценить текущее состояние и положение дел в целом в компании. Данный этап включает несколько подэтапов:
- Постановка задач. Определяем ключевые бизнес-процессы для нашей организации, формируем целевые показатели и недопустимые события.
- Определение поверхности применения СУИБ. Нам нужно провести инвентаризацию всех активов и анализ комплектности текущих регламентов, потому что даже если мы решились что-то внедрять с нуля, скорее всего, в организации ранее были разработаны регламенты, планы для АСУ ТП и объектов КИИ. Необходимо проанализировать, насколько они адекватные, полные, нужно ли их обновить.
- Выявление рисков. Анализируем инфраструктуру, выявленную на этапе инвентаризации, определяем возможные уязвимые места, также оцениваем компетентность личного состава предприятия. Если сотрудникам не хватает каких-то компетенций, можно направить их на переобучение, ведь недообученный персонал — это риск.
- Распределение ролей, назначение ответственных лиц. Нужно понять, кто в организации отвечает за СУИБ в целом и на конкретных местах.
Предлагаю посмотреть этап внедрения на примере сталелитейного завода. Ключевой процесс здесь – отливка, на нее завязаны бизнес-процессы: продажа производимой стали, выполнение гособоронзаказа.
Далее формируем целевые показатели. В данном случае это будут непрерывное безаварийное производство и отсутствие потери прибыли.
Следующий шаг — формирование недопустимых событий, из-за которых технические процессы могут дать сбой. Например, затопление цехов.
На подэтапе определения области применения при инвентаризации ИТ-активов важно выделить корпоративно-информационные системы, АСУ ТП, АСУ ТО и прочие. Также нужно провести анализ комплектности текущих регламентов – проверить имеющуюся документацию на соответствие отраслевым требованиям.
На подэтапе выявления рисков формируется топология сети и выявляются уязвимые элементы — устаревшие технические средства, или те, на которых не установлены средства защиты. Далее следует определить шаги для ликвидации подобных элементов.
Оценка компетентности личного состава предполагает проведение тестирования на предмет определения знаний в сфере ИБ действующего персонала.
Переходим к распределению ролей. Определяем должности, заинтересованные в реализации СУИБ, формируем ролевую модель по подразделениям, исходя из обрабатываемой информации. Главное — зафиксировать персональную ответственность за человеком. В реализации СУИБ должны быть заинтересованы все подразделения компании.
Этап второй: внедрение.
На этом этапе происходит разработка политик, регламентов, регламентация процессов, обучение сотрудников или проведение некого контроля компетенций, а также внедрение технических средств для того, чтобы получить необходимые метрики для СУИБ и успешно реагировать на инциденты.
Включает следующие подэтапы:
- Регламентация. Разработка высокоуровневых стратегических документов, а также инструкций, планов и порядков.
- Внешнее и внутреннее обучение сотрудников.
- Технические средства. Критически важны средства мониторинга для оперативного реагирования на инциденты и средства управления, например, учетными записями.
Вернемся к примеру сталелитейного завода. С точки зрения регламентов, высокоуровневыми стратегическими документами для него являются стратегия управления рисками, политика ИБ, а также конкретные регламенты (например, регламент обновления программного обеспечения в компании). При этом регламент не должен быть завязан на конкретных лиц — в нем могут быть зафиксированы должности, но не конкретные люди.
Кроме того, должны быть разработаны: инструкция пользователя, план действий в нештатных ситуациях, порядок работы с технологическим оборудованием и прочие документы.
Перейдем к подэтапу обучения. Внешнее обучение предполагает профессиональную переподготовку и повышение квалификации, что актуально для ответственных на местах и лиц, принимающих решения. Внутреннее обучение заключается в проведении информационной рассылки среди сотрудников, раздаче методических материалов от регуляторов. Если позволяет бюджет, проводятся киберучения, если нет – отрабатываются сценарии из планов действия в нештатных ситуациях.
Следующий подэтап – внедрение технических средств, в частности средств мониторинга — SIEM, DLP, позволяющих отслеживать пользовательскую активность и трафик, а также и средств управления — IdM, IAM, PAM для распределения полномочий.
Этап третий: сопровождение.
Делится на несколько подэтапов:
- Мониторинг и оценка. Речь идет о непрерывном контроле сетевой активности и действий пользователей, GAP-анализе для сравнения текущего состояния с целевыми показателями, установленным на этапе внедрения.
- Внешний и внутренний аудит. Внешний проводится по мере необходимости с привлечением сторонних экспертов, внутренний заключается в периодическом проведении проверок выполнения разработанных регламентов и, например, эффективности эксплуатации технических средств.
- Улучшение. Можно улучшить техническое оснащение (обновить техническую базу, актуализировать политики средств защиты, уже установленных на предприятии) и оптимизировать некие процессы (регламенты и политики не должны быть статичными).
Какие эффекты можно получить от СУИБ?
Прежде всего, увеличить прибыль организации.
Во-вторых, обеспечить безопасность информации в организации, благодаря более системному подходу к ИБ.
В-третьих, минимизировать риски, связанные с ИБ: в этом помогут корректно настроенные политики средств защиты с точки зрения инцидентов и корректное выполнение сотрудниками регламентов.
В-четверых, повысить доверие клиентов и партнеров. Не секрет, что в настоящее время часто происходят атаки на цепочки поставок. Если на вашем предприятии внедрения система управления ИБ, для контрагентов это может быть важным фактором — они будут уверены, что вы хорошо защищены, и через вас вряд ли смогут их атаковать».