Проектирование и создание системы защиты информации. Практический опыт

Мы проектируем и создаем Систему, а это означает, что должны руководствоваться принципами системного подхода.

Более того, система защиты информации (далее – СЗИ) представляет собой не автоматическую, а автоматизированную систему управления, потому что управляется человеком.

Управление – это процесс, который может быть автоматизирован посредством применяемых технологий.

Таким образом, формула системного подхода к проектированию и созданию СЗИ имеет следующий вид:

ЛЮДИ-ПРОЦЕССЫ-ТЕХНОЛОГИИ

В этой формуле очень важно сохранить последовательность действий – слева направо.

Рассмотрим принципы работы с ЛЮДЬМИ.

Принцип вовлечения руководителя предприятия в обеспечение информационной безопасности.

На этапе проектирования разрабатываем иерархию управления информационной безопасностью (далее – ИБ) и обсуждаем ее с руководителем.  Руководитель должен быть во главе системы управления ИБ, его ответственность за ИБ определена законодательством.

Считаем важным встроить в эту иерархию руководителей структурных подразделений предприятия, которые должны отвечать за выполнение требований ИБ в своих подразделениях.

Принцип вовлечения пользователей в обеспечение ИБ.

Поскольку самое слабое звено кибербезопасности – это люди, то меры безопасности, не понятые и не поддерживаемые пользователями (работниками подразделений), не будут работать.

Обучение пользователей, которое должны проводить специалисты по ИБ, – один из важных моментов обеспечения ИБ. Процесс обучения должен предусматривать контроль знаний и тренировку пользователей.

За организацию обучения пользователей и выполнение ими требований ИБ должны отвечать руководители структурных подразделений.

Обращаем внимание на то, что вовлеченность пользователей в процесс ИБ находится в прямой зависимости от воли и мотивации их руководителя.

Принцип обучения персонала эксплуатации СЗИ.

Мы практикуем вовлечение специалистов по ИБ заказчика к работам по проектированию с самого первого дня.

Наша задача – создать условия для того, чтобы специалисты заказчика стали активными участниками процесса проектирования. Уже на этапе обследования информационной системы предприятия мы делимся с ними как теоретическими знаниями, так и практическими навыками. И, если в начале работы специалисты заказчика чаще всего являются слушателями, то в рассмотрении предлагаемого проектного решения они принимают активное участие и даже выступают оппонентами.

Мы стремимся глубоко погрузить специалистов по эксплуатации СЗИ в вопросы ИБ, чтобы они четко понимали критерии выбора технических решений и исполнителей работ, методологию проведения пилотных проектов, состав проектной и эксплуатационной документации, требования к технической поддержке. При таких условиях на этапах создания и эксплуатации СЗИ специалисты заказчика будут достаточно подготовленными к самостоятельной работе.

Продолжим рассмотрение принципов системного подхода для второй составляющей формулы – ПРОЦЕССЫ.

Принцип проектирования и внедрения процессов.

Проектирование процессов ИБ мы проводим в тесном сотрудничестве со специалистами заказчика: они знакомят нас со своими бизнес-процессами, а нашей задачей является интеграция процессов ИБ с существующими бизнес-процессами. В дальнейшем на этапе создания СЗИ проводится внедрение и отладка (корректировка) процессов, и, при необходимости, их автоматизация.

Принцип циклического устранения слабых мест.

Безопасность – это цепь, прочность которой определяется прочностью самого слабого звена. В ходе проектирования СЗИ самое слабое звено нужно с помощью ряда итераций устранять до тех пор, пока риск «обрыва» самого слабого звена не станет приемлемым.

Принцип разумной экономии.

Применение таких простых мер противодействия, как обучение пользователей и персонала эксплуатации, грамотно (с учетом оценки рисков) выстроенная политика безопасности, процедуры, связанные с контролем доступа, компенсирующие меры, согласованные с регулятором, позволяют снизить риски, создаваемые уязвимыми точками, и не требуют существенных материальных затрат.

Принцип обеспечения устойчивости информационной системы.

СЗИ должна предусматривать план действий в случае наступления недопустимых событий и способы восстановления после них. Мы, например, задаем вопрос заказчику: «Как повлияет на ваши деловые процессы выход из строя межсетевого экрана?».

И далее вместе с заказчиком анализируем полученные ответы и принимаем проектные решения, разрабатываем порядок действий заказчика в случае наступления недопустимых событий.

А теперь о ТЕХНОЛОГИЯХ.

Мы всегда акцентируем внимание заказчиков на том, как важно осознанно, продуманно подходить к выбору технических решений. Рассмотрим актуальные критерии выбора технических решений:

• тактико-технические характеристики технического решения (включая потребность в ресурсах и возможности по масштабированию) и его применимость в проектируемой СЗИ;
• стоимость владения (в нее входит стоимость продления лицензии и стоимости технической поддержки);
• распространенность решения в стране. Влияет на наличие кадров на рынке, и, как следствие, возможность обмена опытом, как схожую задачу решают коллеги;
• наличие обученных специалистов у заказчика и на рынке;
• наличие и качество предоставляемой технической поддержки. От этого зависит, насколько быстро будет оказана квалифицированная помощь техническими специалистами;
• наличие в стране сервисного центра производителя (в случае выхода из строя, например, межсетевого экрана появляется возможность его замены в кратчайшие сроки);
• перспективы развития технического решения (технические решения приобретаются не на один день или месяц, соответственно, мы должны понимать, как планируется развитие);
• срок работы производителя на рынке (стабильность позиций производителя на рынке – гарантия долговечности его решений. Понятно желание любой организации приобрести решение для длительной эксплуатации. Уход вендора с рынка вынуждает организацию переходить на другой продукт, а это дополнительные временные и финансовые затраты).

Как правило, характеристики потенциального решения, а также его применимость проверяются в ходе пилотного проекта.

Пилотный проект предполагает: 

• проектирование автоматизированной системы на базе технического решения в соответствии с требованиями ГОСТ серии 34;
• развертывание технического решения, его настройку и интеграцию со смежными системами;
• обучение персонала эксплуатации в ходе пилота;
• опытная эксплуатация с фиксацией выявленных недостатков;
• устранение недостатков.

По сути, если заказчик не ошибся в выборе технического решения, то результатом пилотного проекта является готовая к эксплуатации автоматизированная система, которую далее можно масштабировать самостоятельно до необходимых параметров.

Еще один важный фактор — выбор исполнителя работ по внедрению технического решения.

Поскольку на базе выбранного технического решения создается автоматизированная система, важно, чтобы исполнитель работ обладал следующими качествами:

• сертифицированными специалистами, знающими особенности работы, внедрения, эксплуатации технического решения;
• практическим опытом;
• был готов выполнить требования к созданию, документированию и обучению;
• был готов обеспечить первую линию технической поддержки (с приемлемыми временем реагирования, квалификацией).

Обозначим в качестве примера составляющие качественной технической поддержки системы сбора данных о событиях ИБ:

• наличие у исполнителя собственной базы знаний;
• готовность оказать помощь в разработке правил автоматизации под нужды заказчика (нормализации, корреляции, списков доступа и др.);
• информирование о выходе новых версий продуктов
  и оказание помощи при обновлении (второе особенно важно, так как некорректное обновление может остановить функционирование СЗИ);
• реагирование по регламенту с выездом к заказчику при необходимости.

Не забываем, что создаваемая СЗИ является человеко-машинной системой, а это означает, что ее создание должно завершаться киберучением, позволяющим отладить сценарии реагирования на киберинциденты и привить навыки взаимодействия персонала эксплуатации в процессе реагирования.

И одним киберучением не обойдемся, необходимо планировать и проводить киберучения регулярно.