Ярослав Ясенков, инженер по информационной безопасности, Отдел развития Производственного департамента Security Vision

Введение

Практика показывает, что цель достижения информационной безопасности возникает перед компаниями, достигшими определенного уровня зрелости. На пути к достижению этой зрелости увеличивается объём обрабатываемой информации, растут риски утраты или утечки такой информации. Одновременно с этим растёт и количество персонала. Расширение штата приводит к разделению целей и задач, возложенных на ответственных лиц. А там, где происходит разделение целей, неизбежно возникают конфликтные ситуации. Не становится исключением и разделение ИТ и ИБ подразделений компании.

Развитие таких конфликтных ситуаций может негативно сказаться на эффективности работы компании в целом. Поэтому важно понимать основные точки противоречий между ИТ и ИБ подразделениями и принять ряд организационных решений, способных минимизировать такие ситуации и направить работу специалистов в плодотворное русло.

Проблемы взаимодействий

Одной из основных проблем является недостаток взаимопонимания между ИТ и ИБ специалистами. Как правило, основной целью, стоящей перед ИТ подразделением, является автоматизация и повышение эффективности процессов компании. Основными приоритетами ИТ при этом являются быстрота, простота и дешевизна. И это может быть актуально как для ИТ подразделения, которое создает автоматизацию для использования внутри компании, так и для поставки заказчику. В то же время перед ИБ подразделением стоит цель снижения рисков информационной безопасности и достижения состояния защищенности информации. Такое состояние не может быть достигнуто быстрыми, разовыми действиями, а требует плановой продолжительной организационной и технической работы. На практике это приводит, например, к тому, что ИТ подразделение может стремиться к максимально быстрой и неограниченной доступности информации, в то время как ИБ подразделение всячески «вставляет палки в колеса» путем ограничения доступа к информации.

Другой проблемой является недостаток обмена информацией между ИТ и ИБ подразделениями. ИТ отдел может не всегда предоставлять достаточную информацию о новых системах, обновлениях или изменениях в инфраструктуре, что затрудняет работу ИБ специалистов. ИБ отдел, в свою очередь, может недостаточно проинформировать ИТ отдел о новых угрозах или требованиях безопасности, что может привести к уязвимостям в информационных системах.

Наконец, финансовые ограничения могут стать еще одной проблемой между ИТ и ИБ подразделениями. ИТ отдел может считать, что улучшение безопасности требует дополнительных затрат, которые могут быть неприемлемы для компании. ИБ отдел, в свою очередь, может считать, что ИТ отдел не выделяет достаточно ресурсов на обеспечение безопасности.

Подходы к преодолению проблем

Для преодоления проблем при взаимодействии ИТ и ИБ подразделений в компании можно применить следующие подходы:

• Установление четкой коммуникации: важно создать каналы связи между ИТ и ИБ подразделениями, чтобы обеспечить регулярный обмен информацией и обсуждение вопросов безопасности. Следует организовать регулярные совещания, чтобы обсудить текущие задачи, проблемы и планы. Это поможет улучшить взаимопонимание целей и задач и согласованность в работе.

• Обучение и повышение квалификации: следует организовывать тренинги и семинары для ИТ и ИБ специалистов, при этом роль учителя по очереди может принадлежать, как ИТ подразделению, так и ИБ подразделению. Это поможет улучшить понимание друг друга и снизить конфликты, связанные с различиями в подходах и приоритетах.

• Разработка процедур и политик: компания должна разработать единые процедуры и политики, которые учитывают как потребности ИТ, так и ИБ подразделений. Например, можно создать процедуры для обмена информацией о новых системах и изменениях в инфраструктуре, а также политики безопасности, которые устанавливают требования и меры защиты данных.

• Участие руководства: руководство компании должно активно участвовать в урегулировании конфликтов и поддержке сотрудничества между ИТ и ИБ подразделениями, а также выполнять роль посредника при разногласиях и принимать решения, которые учитывают как потребности безопасности, так и эффективность работы.

• Выделение достаточных ресурсов: компания должна обеспечить достаточные финансовые и человеческие ресурсы для обеспечения безопасности информации. Это может включать найм специалистов по информационной безопасности, приобретение необходимого оборудования и программного обеспечения, а также проведение аудитов и тестирований безопасности.

Также не стоит забывать и про то, что совместное использование средств защиты ИТ и ИБ подразделениями, может предоставить ряд преимуществ и пользы для обеих сторон, а также повысить эффективность рабочих процессов.

Как работают со средствами защиты в ИТ

Сведения о результатах работы межсетевых экранов, прокси, систем обнаружения вторжений и других средств, которые позволяют контролировать сетевую активность и обнаруживать аномалии или подозрительное поведение помогут ИТ подразделению лучше понимать актуальный ландшафт угроз, и проектировать и настраивать инфраструктуру оптимальным образом.

Использование сканеров уязвимостей позволит найти слабые места в ИТ-инфраструктуре и быстро получить рекомендации по их устранению. Анализаторы коды позволят на ранних этапах разработки выявить недостатки в разрабатываемом ПО и принять меры для их устранения, что позволит оптимизировать затраты на разработку.

Использование средств контроля доступа позволит защитить данные от несанкционированного доступа и изменений. Это особенно важно для ИТ подразделения, которое отвечает за хранение и обработку большого объема информации.

Применение средств класса SGRC (Security Governance, Risk Management and Compliance или, в переводе, управление безопасностью, рисками и соответствием законодательству) позволит повысить эффективность как ИБ, так и ИТ подразделений. Поможет автоматизировать и обеспечить процессы соблюдения требований информационной безопасности.

Системы класса SIEM (Security Information and Event Management или, в переводе, управление информацией о безопасности и событиями информационной безопасности), основной функцией которых является анализ и корреляция событий, могут быть использованы ИТ подразделением для осуществления мониторинга доступности информационных систем. В случае выхода из строя или незапланированного отключения источника событий SIEM сможет проинформировать администраторов о произошедшем сбое. Правила корреляции SIEM также могут помочь в мониторинге информационных систем, поскольку могут выявлять разного рода отклонения в штатном потоке событий.

Другим примером системы, которая может быть одинаково полезна ИТ и ИБ подразделению является IDM (Identity Management или, в переводе, управление учётными или идентификационными данными). IDM позволяют централизованно управлять доступом пользователей к различным ИТ ресурсам, а также автоматизируют процессы управления доступом, такие как создание, изменение прав доступа, удаление и блокирование учетных записей пользователей. Это, с одной стороны, позволяет сократить время и ресурсы, затрачиваемые ИТ подразделением на управление учетными записями, а с другой стороны позволяет ИБ подразделению реализовать контроль над процессами предоставления доступа к информационным ресурсам и обеспечить соответствие нормативным требованиям.

Средства защиты информации являются основным источником сведений о происходящих в инфраструктуре инцидентах. Но для результативного обеспечения информационной безопасности важно также уделять внимание коммуникации между ИБ и ИТ подразделением. По результатам расследования инцидентов специалисты ИБ накапливают знания о недостатках существующей информационной инфраструктуры, о способах усиления её защищенности для устранения возможности повторения подобных инцидентов в будущем. Поэтому крайне важно обеспечить передачу таких знаний ИТ подразделению.

Выводы

В целом, совместное использование средств защиты информации ИБ и ИТ подразделениями, а также их эффективное взаимодействие помогут повысить безопасность и надежность информационных систем компании, ускорить выявление и реагирование на инциденты информационной безопасности, выполнить нормативные требования в области информационной безопасности, и в конечном счете снизить использование ресурсов, включая финансовые бюджеты, персонал и инфраструктуру, а также приведет к оптимизации процессов работы компании, улучшению производительности и снижению времени простоя систем.