Контакты
Подписка
МЕНЮ
Контакты
Подписка

Об эффективном управлении защитой от киберугроз или "Как овеществлять ветряные мельницы

Об эффективном управлении защитой от киберугроз или "Как овеществлять ветряные мельницы

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Об эффективном управлении защитой от киберугрозили "Как овеществлять ветряные мельницы

Где-то лет семь тому назад говорить про управление ИБ было бы моветоном. Хотя бы потому, что сначала надо было уточнить, что понимается под этой аббревиатурой, дополнить, что никакого отношения к органам ты не имеешь и слежкой “в интересах" не занимаешься. Но уже было понимание возможности сертификации под стандарт и необходимости обеспечения соответствия (в ряде случаев). Сейчас же на слуху тренды в области безопасности, киберугрозы актуальны и озвучены в СМИ. И если раньше в основном говорили об ущербах от утечек, то сейчас на слуху примеры остановки процессов от APT. И эта новая реальность наступила внезапно, да настолько, что многие кинулись говорить о создании SOC, подразумевая SIEM, защите периметра, подразумевая межсетевые экраны, поведенческом анализе, подразумевая DLP.
Лев Палей
Начальник отдела ИТ обеспечения защиты информации, АО “СО ЕЭС”

Чем более компания "нагружена" ответственностью – финансовой, социальной, технологической, инфраструктурной и т.п. – и чем плотнее она "насажена" на ИТ – тем раньше столкнется (скорее, уже столкнулась) с реальностью что ИБ – такой же естественный деловой процесс как все основные, "производящие" процессы. Системный оператор ЕЭС России – идеальный пример компании, управляющей "большими данными", которые в реальности являются инструментом управления бесспорно самой "чувствительной" сущностью – электроэнергетикой. Понятно, что вопросы защиты информации для компании, обязанной по долгу службы в режиме реального времени отслеживать сотни параметров для каждой из 600 электростанций, десятков тысяч магистральных и сотен тысяч распределительных сетевых устройств на территории всей страны, непрерывно принимать решения об изменении режимов их работы, то есть при посредстве ИТ-инструментов управлять самым сложным из всего созданного человечеством технологическим объектом – Единой энергосистемой – точно входят в первую "пятерку" приоритетов.


Наступившее внезапно понимание, что информационная безопасность – это часть деловых процессов, смотрится как озарение, являясь при этом итогом эволюции в понимании роли и места информационных технологий в развитии и оптимизации основных процессов производства и ведения бизнеса. Закончу вступление емким и перефразированным сравнением Рустема Хайретдинова: в цене не герои, внедряющие новые технологии, но профессионалы, решающие задачи компании.

Новая реальность наступила внезапно, да настолько, что многие кинулись говорить о создании SOC, подразумевая SIEM, защите периметра, подразумевая межсетевые экраны, поведенческом анализе, подразумевая DLP.

Одной из проблем-задач ИБ-менеджера является управление ожиданием менеджеров компании таким образом, чтобы в процессе внедрения/совершенствования контролей и средств защиты процесс принятия решений был прозрачен и обоснован. Подтверждением успешности является верно выстроенная система показателей, которая в итоге обязана дать понимание эффективности принятых решений, выстроенных процессов – овеществить результат.

В случае с Системным оператором, где необычно высокая вовлеченность топ-менеджеров в детали технологического управления облегчала процесс объяснений, больше сил потребовалось на подготовку обоснований другого уровня – чтобы достичь понимания на уровне отраслевых государственных регуляторов, в сознании которых забота об общественном благе и намерение создать надежную систему легко уживаются и не должны приводить к росту затрат.

То, что уместилось в две расхожие фразы, не всегда удается уместить в трех- либо пятилетний цикл планирования. Если попробовать разбить по этапам внедрение процессов обеспечения ИБ с учетом озвученных выше задач, получается следующее.

Первый этап: аудит, или "инвентаризация ценностей"

В каждой компании существует собственная система ценностей, основанная на позитивном и негативном опыте, "исторически сложившихся" особенностях и накладываемых ограничениях (здесь и распределенность архитектуры, и участие государства в принятии решений). При проведении первого этапа важно принимать во внимание эту систему и действовать в ее рамках, а не вопреки. К примеру, в основу развития ТЭК положено три основных понятия, звучащих во всех верхнеуровневых документах: наблюдаемость, надежность, управляемость. Ориентируясь на посыл, данный этими понятиями, а также основными свойствами информации, можно наметить направления развития защиты: мониторинг состояния, периодический и оперативный контроль, аналитический подход при планировании контролей. Вкупе с определением слабых мест уже внедренных мер получаем общий план движения – Road-map.

Второй этап: спонсоры прогресса, или "казна партии"

Кроме общих для компании особенностей существует ряд условно личностных особенностей, влияющих на ход проекта(ов). Здесь и стереотипное восприятие новых задач заинтересованными или задействованными подразделениями компании (возможно, был негативный опыт), и принятая схема взаимодействия, и тип управления проектами/изменениями. Удача, если есть спонсор из топ-менеджмента, который сам по себе заинтересован и готов подавать идеи, направлять результат. Также нужен спонсор из среды специалитета – им можно стать самостоятельно или привлечь на свою сторону компетентного и авторитетного коллегу. Запас инертности (важный показатель для соблюдения сроков) зависит от принятой динамики продвижения изменений. Неверно выбранный темп и невнимание к нюансам, также как и слишком постепенное внесение изменений, вносят свою лепту в результат (т.е. в его отсутствие). А все вместе – это ресурсы, влияющие на старт проекта. Ваша казна.

Третий этап: расстановка приоритетов, или "ветряные мельницы начинают крутиться"

Информационная безопасность – это часть деловых процессов, являющаяся итогом эволюции в понимании роли и места информационных технологий в развитии и оптимизации основных процессов производства и ведения бизнеса.

На этом этапе стоит вспомнить впечатление спонсоров от предыдущих активностей в вверенном вам направлении. Управление ожиданием здесь разрастается, охватывая не только менеджеров компании, но и всех участников процесса. В текущих проектах, выбирая способы управления ожиданием, мы остановились на постепенном сборе показателей систем защиты, совершенствовании периодической аналитики по таким показателям.

Это позволило приземлить относительно существующих процессов понятие информационной безопасности, сделав его если не прозрачным, то хотя бы понятным основным участникам1, а по итогам показать качественную разницу в ситуации до и после. Важно учесть, что приоритизация должна изначально строиться на полученных на предыдущих этапах данных-знаниях. Из любой информации необходимо выделить нужную долю "полезности" и постараться использовать с максимальной отдачей.

Четвертый этап: подтверждение результата, или постепенное наступление

Если на предыдущем этапе должен быть определен темп внедрения процессов, а также верно расставлены приоритеты, то теперь ставки сделаны. Нужно подтвердить, что выбранное направление одобрено и является эффективным. Здесь важны внутренние и внешние показатели, их взаимосвязь и прозрачность. К примеру, если вы даете отчет по инцидентам ИБ, нужно точно определить терминологию с будущими участниками процесса, описать последствия (планируемые мероприятия).


Повторив такой элемент несколько раз в заданные промежутки времени, вы сформируете "привыкание" к определенному типу данных и восприятию такой информации. При этом если описанное выше больше касается заинтересованных специалистов/подразделений, то для спонсора из топ-менеджмента нужно также предоставлять образ будущего, тем самым подтверждая, что общая деятельность по внедрению изменений не является спорадической. Важно также помнить о допущенных ошибках, фиксировать принятые по итогам анализа и исправления таковых решения, проверять их достаточность.

Пятый этап: утверждение концепции, или "Дон Кихот в пути"

Добравшись до завершающего этапа, нужно вспомнить про PDCA. На этом этапе важно поддерживать контакт и повторять действия, подтвержденные ранее. В текущих проектах мы начали переводить отчетную деятельность в формализованный вид, принятый в компании. Таким образом достигается быстрое принятие нового и идентификация изменений как части уже существующих "домашних" процессов. Также нам помогла практика оповещения о проведенных работах, с указанием причастности задействованных специалистов/подразделений.

От слов к кейсу

Иллюстрируя этапность, тезисно покажу, что делалось при внедрении процесса управления инцидентами и событиями ИБ в нашей компании:

1. Основная особенность при инвентаризации, выявленная при первичной оценке – принятая модель управления, состоящая из трех уровней:

  • ЦДУ (решения уровня национальной энергосистемы);
  • ОДУ (решения уровня энергообъединения, состоящего из десятков энергосистем);
  • РДУ (решения уровня энергосистемы одного или нескольких соседних субъектов РФ).

А также отсутствие возможности развития (с учетом планируемой нагрузки и требуемых компетенций) проектируемого процесса по тому же пути. Принципы развития уже были описаны в части документов и совпадали со стратегией компании. При оценке существующих контролей основным недостатком признано отсутствие достаточной технической проработки при внедрении таковых.

Одной из проблем-задач ИБ-менеджера является управление ожиданием менеджеров компании таким образом, чтобы в процессе внедрения/совершенствования контролей и средств защиты процесс принятия решений был прозрачен и обоснован. Подтверждением успешности является верно выстроенная система показателей, которая в итоге обязана дать понимание эффективности принятых решений, выстроенных процессов – овеществить результат.

2. Один из самых сложных этапов – здесь мы старались не перегружать будущих участников процесса, но всегда запрашивали обратную связь для понимания проблем (как коммуникативных, так и архитектурных). Основные вопросы были связаны с изменениями в части элементов процесса с 3-уровневой, на 2-уровневую модель (выдача указаний напрямую из ЦДУ как на уровень ОДУ, так и на уровень РДУ) управления.

3. Перед началом проекта удалось собрать первые статистические данные и определить направления совершенствования, которые возможно реализовать в обозримые сроки. Это дало нам возможность сразу продемонстрировать в отчетах динамику – на кратком участке процесса проиллюстрировать выгоды компании. По сути тот же самый "бизнес-кейс", но уже в рамках конкретной предметной среды.

4. На данном этапе, когда уже прошла техническая интеграция элементов автоматизации (SIEM, IPS и шлюзов фильтрации интернет-трафика), проводились обучающие сессии по эксплуатации, разбирались сформированные отчеты и планируемые мероприятия по совершенствованию результатов. Частично запустили анализ ряда показателей, подготовили для спонсоров данные, необходимые для проведения решений. Достаточно сложный этап, так как выверка понятного формата предоставляемых данных, а также уточнение результатов трудоемки и зачастую зависят от разности восприятия специалистов и руководителей.


Описывать пятый этап в таком виде не буду, но основные вехи, достигнутые в компании на текущий момент, можно описать по пунктам:

  • ежеквартально все филиалы получают информацию по согласованным показателям, отнесенным к области ИБ;
  • ежемесячно руководителям задействованных подразделений предоставляется отчет о выявленных событиях ИБ;
  • ежемесячно результаты, полученные на выходе процесса, озвучиваются на ВКС, с описанием наиболее ярких примеров и планируемых мероприятий;
  • ежеквартально по каждой из систем ИБ проводятся семинары (вебинары), отсылается информация о плановых изменениях;
  • проводится аналитика по накопленным данным, по итогам формируются рекомендации/предложения, используемые в других процессах ИБ.

Закончим романтично: если сначала рыцарь печального образа боролся с неизвестным противником, не разобравшись в ситуации, то теперь Дон Кихот обладает частью нужной информации. Возможно, решения, ведущие героя к счастливому финалу, будут более точными, а упорства и веры ему и так не занимать.

___________________________________________
1 Обеспечением информационной безопасноти в компании СО ЕЭС находится в ведении блока ИТ.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2017

Приобрести этот номер или подписаться

Статьи про теме