Максим Анненков, инженер-архитектор отдела развития Security Vision
Люди в целом подвержены когнитивным искажениям, то есть искажениям восприятия информации или событий. Например, одним из таких искажений является «подтверждение предвзятости», когда люди склонны искать и интерпретировать информацию таким образом, чтобы она подтверждала их уже существующие убеждения. Другим примером может служить «эффект выбора», когда человек делает выбор в пользу той информации, которая подтверждает его предпочтения, игнорируя другие возможные варианты.
Из-за когнитивных искажений мы можем ставить отдельные компании или даже целые холдинги в зависимость от субъективного восприятия лиц, принимающих решения. Эта проблема существует в каждом аспекте деятельности организации, однако в этой статье мы рассмотрим, насколько она релевантна для области обеспечения информационной безопасности и то, как бумажная безопасность может стать полезным инструментом в борьбе с когнитивными искажениями.
Проблематика
В современном мире информационной безопасности легко увлечься погоней за новыми технологиями и модными методами защиты данных. Зачитываясь страшными яркими новостями и обзорами, можно формировать бюджет на закупку наиболее хайповых СЗИ. При таком подходе в компания может быть «защищена» новейшими NG-, AI-driven, All-In-One СЗИ при этом в ней не будут выстроены процессы элементарного разграничения доступа или бэкапирования. В итоге шифровальщик, полученный не осведомленном о кибергигиене сотрудником, остановит работу такой компании на неопределенный срок, несмотря на все модные продукты, защищающие инфраструктуру.
Другой крайностью может быть ситуация, в которой решения принимаются в основном только на основе накопленного опыта в рамках зоны компетенций местного CISO. В таком случае все зависит от того, выходцем из какого направления ИБ этот CISO является. Так, например, если он построил свою карьеру в реагировании на инциденты, то и больше внимания он будет уделять реактивным мерам, пренебрегая превентивными. Пока не столкнется с инцидентом блестяще расследованным, но уже нанесшим компании значительный ущерб.
Для того, чтобы помочь избежать вышеописанных проблем, и существует Комплаенс. К сожалению, данный процесс имеет устойчивый стереотип «Бумажной безопасности», не имеющей связи с реальностью и выполняемой только для удовлетворения требований регуляторов. Как будто люди сидят и пишут политики и регламенты, не оказывающие ни на что влияния и используемые только в случае приходя проверки. Разумеется, в каких-то компаниях это так и есть, однако Комплаенс как таковой не ограничивается только написанием политик.
Кратко о процессе Комплаенс
Само понятие «Комплаенс» происходит от латинского слова complere, что означает «согласие» или «соблюдение». Это система контроля и соблюдения правил, стандартов и законов, которая помогает компаниям управлять рисками и предотвращать нарушения.
Существует множество различных фреймворков, но их цель одна - систематизировать знания и практики, чтобы избежать формирования стратегий под влиянием субъективных факторов. Это позволяет нам взглянуть на обеспечение безопасности с позиции накопленного мирового опыта, увидеть взаимосвязи различных направлений деятельности и избежать возможных ошибок в принятии решений. В конечном итоге, использование фреймворков позволяет нам смотреть на наши бизнес-процессы с высоты «птичьего полета» и построить эффективную стратегию, основанную на объективных данных и опыте.
Так, практически во всех фреймворках по информационной безопасности обычно присутствуют следующие основные категории доменов:
1. Идентификация и аутентификация (Identity and Access Management) - обеспечение правильной идентификации пользователей и управление доступом к информационным ресурсам.
2. Защита данных (Data Protection) - установление механизмов защиты данных, шифрования, контроля доступа и мониторинга данных.
3. Разработка безопасного ПО (Secure Software Development) - внедрение безопасных практик в процесс разработки программного обеспечения.
4. Управление уязвимостями (Vulnerability Management) - выявление и устранение уязвимостей в информационных системах.
5. Мониторинг безопасности (Security Monitoring) - постоянное отслеживание и анализ событий для обнаружения аномалий и инцидентов безопасности.
6. Управление инцидентами (Incident Management) - разработка процедур реагирования на киберинциденты и восстановления работоспособности системы.
7. Обучение и осведомлённость пользователей (User Awareness) - обучение сотрудников мерам по обеспечению безопасности информации и повышение их осведомленности о киберугрозах.
Эти домены представляют основные аспекты информационной безопасности и важны для обеспечения защиты информации и соблюдения стандартов безопасности в организации. Каждый конкретный фреймворк может дополнять, уточнять и компоновать эти категории по-разному, но при этом такой must have есть везде.
Как это реализовать?
Далее рассмотрим основные шаги для того, чтобы осознанно подойти к вопросу построения процессов Комплаенса по информационной безопасности у себя в организации:
1. Определение требований и стандартов: начните с определения соответствующих законодательных требований, регуляторных нормативов, стандартов и политик по информационной безопасности, которым ваша организация должна соответствовать.
Сегодня Комплаенс в информационной безопасности стал обязательным для большинства компаний, особенно тех, которые работают с финансами (ГОСТ 57580) или персональными данными (21 приказ ФСТЭК). Если же, каким-то образом никакое регулирование на вас не распространяется, то можно взять за основу своей комплаенс-политики лучшие международные практики такие как ISO 27001 или CIS Controls.
На этом этапе желательно установить взаимосвязи между всеми требованиями разнообразных стандартов, которые вы обязаны или желаете соблюдать.
2. Анализ текущего состояния: проведите аудит информационной безопасности для определения текущего уровня соответствия требованиям.
На этом этапе рекомендуется составить реестр мер защиты, таких как внедренные СЗИ, политики и регламенты по ИБ, правила конфигурирования обеспечивающей инфраструктуры и другие активности, имеющие отношение к обеспечению ИБ. Затем необходимо установить связи между требованиями и мерами защиты.
Поддержание этих реестров в актуальном состоянии позволит получить сразу два положительных эффекта. Во-первых, вы всегда будете знать, для закрытия каких требований вы уже внедрили то или иное СЗИ, в каких доменах у вас пробелы и для чего вам необходимо внедрить еще что-либо. Во-вторых, при возникновении необходимости, провести оценку соответствия по какому-либо новому стандарту будет намного проще, поскольку маппинг требований нового стандарта на реестр выполняемых требований уже закроет больше половины вопросов.
3. Мониторинг и оценка: установите механизмы мониторинга и оценки выполнения политики комплаенса, регулярно анализируйте результаты и корректируйте процессы при необходимости.
Вам необходимо встроиться в процессы внесения изменений в средства защиты информации, для того чтобы оперативно вносить корректировки в реестре внедренных мер защиты. Так вы сможете в режиме реального времени видеть появление брешей в информационной безопасности и принимать меры по их устранению.
4. Взаимодействие с заинтересованными сторонами: поддерживайте открытый диалог с заинтересованными сторонами.
Никогда не стоит забывать, что безопасность существует не сама по себе, а для бизнеса, который она защищает. Поэтому для успешного обеспечения информационной безопасности важно анализировать бизнес-процессы с целью выявления угроз и рисков, их оценки и минимизации с разумными инвестициями. При этом выгоды от обеспечения безопасности могут косвенно улучшать и совершенно не связанные с защищенностью аспекты работы. Так, на примере интеграции корпоративного мессенджера с AD можно увидеть, что повышение уровня информационной безопасности может также улучшить и ускорить внутренние коммуникации. Риск утечки информации из-за несвоевременной блокировки учетной записи снизится, в то время как сотрудники смогут быстрее и эффективнее находить контакты коллег.
В качестве вывода
В заключение можно отметить, что Комплаенс играет важную роль в комплексном обеспечении информационной безопасности, позволяя руководителям и специалистам принимать обоснованные и информированные решения. Благодаря Комплаенсу можно проанализировать деятельность компании в более широкой перспективе, что позволяет выявить как потенциальные угрозы, так и слабые моменты. Таким образом, Комплаенс является необходимым инструментом для обеспечения стабильности, прозрачности и эффективности в корпоративном управлении.