10 ошибок при построении системы информационной безопасности

За годы работы в сфере оказания услуг по информационной безопасности мы повидали всякое: от полного непонимания, зачем вообще что-то делать по ИБ, до использования всех без разбора новейших технологий и средств защиты информации. Хочется поделиться нашим субъективным мнением о наиболее распространенных ошибках, которые часто допускают компании. Не будем рассматривать ситуацию, когда деятельность по информационной безопасности совсем не ведется. Любые совпадения с ситуациями, возникшими у реальных компаний, являются случайными. Мнения со стороны приветствуются, комментарии можно оставить в нашем facebook.

Очень часто технология или средство защиты используется в корпоративной системе годами без каких-либо вмешательств со стороны персонала. Не устанавливаются обновления или патчи, не проверяется наличие уязвимостей или «исторических» настроек, разрешающих анонимный доступ из внешней сети, и тому подобное. Думаю, не стоит пояснять, почему это плохо.

Даже в крупных компаниях часто деятельность по информационной безопасности ведется исключительно в рамках процессов IT, не учитывая остальные составляющие: правовую и организационную защиту. ИТ-безопасность, всевозможные крутые решения — это здорово и нужно, но, когда нет основы, базы, процессов, четких планов по управлению системой ИБ и ее развитием, такая деятельность не приносит желаемых результатов. В отдельных случаях это может даже навредить.

Масса примеров таких ошибок из жизни: заказчик внедряет навороченную DLP или SIEM, тратит на это миллионы и ждет чуда. Но чудес не бывает. Системы подобного класса, как, впрочем, и любые другие средства защиты, надо постоянно поддерживать: обновлять, писать правила, мониторить результаты, переписывать правила, автоматизировать обработку миллиардов событий безопасности, чтобы не сойти с ума и т. д. и т. п. Если всего этого не делать, то толку от внедренных дорогих средств защиты не будет, от слова совсем.

Некоторые специалисты по защите информации, да и вообще все люди, часто склонны преувеличивать масштабы проблемы и пытаются защитить все и от всего. Избыток ненужных средств защиты так же плох, как и их недостаток. В итоге мы получаем потраченные время, деньги и нервы пользователей, вынужденных приспосабливаться к работе в некомфортной среде. В лучшем случае итогом будут «текучка» кадров и скандалы, а в худшем — намеренный саботаж работы системы защиты.

Здесь речь пойдет об ориентировании владельца системы и/или специалиста по ИБ/ИТ на повышенную защиту определенных узлов системы при минимальном затрагивании других. Например, выстраивание защиты сетевого периметра при полном хаосе в системе защиты серверов и рабочих мест сотрудников (читай: отсутствии каких-то средств защиты в принципе и непонимании, зачем они там вообще нужны). В итоге со стороны внешней сети, допустим, такая компания будет отлично защищена, но от внутренних угроз защиты не будет вообще. И любой человек, находящийся внутри (даже посетитель офиса) сможет реализовать угрозу. Приоритеты могут быть, они должны быть, но только для правильного планирования в последовательном применении системы защиты ко ВСЕМ сегментам информационной системы: оборудованию, каналам передачи информации, процессам и персоналу.

Когда компания существует на рынке не первый год, деятельность по защите информации ведется почти такое же время и часто одними и теми же людьми. Критичные инциденты не происходят, начальство довольно, люди привыкают, все хорошо. Если в такой ситуации просто плыть по течению, не проводить периодические проверки себя и своей системы защиты, есть риск при возникновении реальных проблем оказаться к ним совершенно не готовыми. Выход прост: заказывайте внешние аудиты или проводите внутренние аудиты с вовлечением коллег из смежных отделов — это поможет увидеть ситуацию со стороны, не заскучать и постоянно улучшать систему защиты.

К сожалению, одна из самых типичных и банальных ошибок — пресловутый человеческий фактор. Специалисты по ИТ и ИБ строят системы, защищают их, бизнес разрабатывает правила и процессы, а люди-то и не знают. Учите всех сотрудников хотя бы элементарным правилам  информационной безопасности, иначе каждый раз придется разгребать последствия очередного шифровальщика.

Эта ошибка похожа на предыдущую по своему смыслу, но с огромной разницей в последствиях. Если руководство не заботится об информационной безопасности, а вы не в силах его убедить, что это важно, то работающей системы защиты вам не построить. Это печально, но факт. «Продавайте» руководству себя как безопасника, а свою систему защиты как продукт.

Если деятельность по информационной безопасности в компании рассматривается как операционная, без выстраивания правильной стратегии и тактики, то вся информационная безопасность сведется к тому, что сотрудники будут работать по написанным инструкциям десятилетней давности, лечить те же самые вирусы, устанавливать те же самые средства защиты и все. Причины же возникновения вирусных эпидемий и любых других инцидентов могут быть проигнорированы или неверно интерпретированы. В итоге компания будет наступать на одни и те же грабли, хотя при грамотном планировании и анализе можно было бы решить проблемы на корню. Или, по крайней мере, один раз столкнувшись с проблемой, избежать появления подобных в будущем.

Когда мы беремся проектировать систему защиты, мы всегда спрашиваем заказчика: «Есть ли пожелания, приоритеты и ограничения, которые нам следует учитывать?». Почти всегда нам отвечают, что ничего такого нет, но бывают и исключения. Кто-то настолько любит opensource продукты, что готов мучиться с неудобным инструментом, требующим постоянной доработки «напильником», и не готов даже посмотреть в сторону коммерческих средств защиты, зарекомендовавших себя на рынке. Иногда правила глобальной корпорации запрещают использовать иные средства защиты, кроме продуктов определенного производителя. Привычка пользоваться только определенными продуктами не дает возможности даже рассмотреть предложения других компаний, поэтому новые решения проходят мимо. Правила и ориентация на определенные продукты не всегда вредят. Но, если в данный момент и для конкретной системы лучше подходит то, что идет вразрез с устоявшимися правилами и привычками, то не стоить отметать такой вариант сразу.

В качестве итога хочется сказать, что все описанные проблемы имеют место быть как у маленьких компаний, так и у больших корпораций; там, где нет даже квалифицированного специалиста, и там, где есть огромные отделы по информационной безопасности. На самом деле, все проблемы и ошибки можно свести к одной, которая стоит в корне — отсутствие риск-ориентированного подхода, грамотного анализа и оценки рисков на всех уровнях и во всех процессах деятельности компании. Подробнее о пользе оценки рисков читайте здесь.