Контакты
Подписка
МЕНЮ
Контакты
Подписка

"Компот из сухофруктов", илиМетоды формирования и поддержания культуры информационной безопасности в организации

"Компот из сухофруктов", илиМетоды формирования и поддержания культуры информационной безопасности в организации

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

"Компот из сухофруктов", илиМетоды формирования и поддержания культуры информационной безопасности в организации

Представьте, что вы – руководитель крупной организации, давно и стабильно работающей на рынке в России, который вдруг осознал важность и нужность информационной безопасности и стал уделять этим вопросам больше внимания у себя на предприятии. Представили? Нет? Согласен, вот так сложно просто взять и посадить себя в кресло большого руководителя, а еще сложнее представить руководителя, самостоятельно пожелавшего разобраться в вопросах ИБ.
Алексей Плешков
Независимый эксперт по информационной безопасности

Тогда представьте, что организация, в которой вы сейчас работаете, плавно эволюционировала и перешла на следующий уровень зрелости управления в соответствии с моделью CMMI, а для ваших коллег стали актуальны и близки вопросы обеспечения режима конфиденциальности внутренней информации. Не получается? Догадываюсь, почему это может быть трудно.

Метод эмпатии выбран мною лишь для того, чтобы проиллюстрировать актуальность вопроса низкой или порой полностью отсутствующей в большинстве современных коллективов культуры ИБ.

Термин "культура ИБ" неразрывно связан с понятием режима информационной безопасности.

Культура информационной безопасности

Красивое и не особо длинное словосочетание. А что это вообще такое? Где определение или методическое описание для данного словосочетания? При подготовке материала я просматривал различные отечественные и иностранные источники в надежде найти формальное определение и привести ссылку на надежный источник, а в идеале – на утвержденный глоссарий из нормативного документа. Бесполезно. Строгого формального определения культуры ИБ в настоящее время в рунете нет. Каждый кулик свое болото хвалит. Каждый эксперт придерживается своей субъективной философии в данном вопросе. И я не исключение!

Кто-то из экспертов считает, что культура ИБ – это отношение большинства к процессу обеспечения защиты информации в организации. Как следствие, культурой ИБ можно назвать деятельность всех сотрудников организации по обеспечению уважения интересов заинтересованных сторон общего дела (владельцев, учредителей, клиентов, партнеров, руководителей, работников и пр.) в отношении совместно обрабатываемой информации. Важными факторами для возникновения и поддержания культуры ИБ в этом случае являются наличие менеджмента ИБ, представленного иерархией лидеров, стандартизация, внутреннее и внешнее регулирование, а также элементы доверия внутри организации (Аспект СПБ).


Любопытное определение культуры ИБ дано экспертами-теоретиками, опиравшимися на концепцию деятельного подхода. С точки зрения интереса в контексте понятия "общества", культура ИБ – это существующие в определенный период развития общества способы обеспечения интересов личности в информационной сфере, упрочнения демократии, создания правового социального государства, достижения и поддержания общественного согласия, духовного обновления государства, сохранения нравственных ценностей, утверждения в обществе идеалов высокой нравственности, патриотизма и гуманизма, развития многовековых духовных традиций государства, пропаганды национального культурного наследия, норм морали и общественной нравственности, предотвращения манипулирования массовым сознанием, а также развития современных телекоммуникационных технологий, сохранения и развития отечественного научного и производственного капитала (ЮУрГУ).

Иностранные эксперты склонны считать, что культура ИБ – это термин, используемый для подробного описания идеологии, обычаев и социального поведения работников организации (в оригинале – группы людей), способных оказать влияние на состояние защищенности информации, находящейся в их распоряжении. Понятие культуры ИБ вбирает в себя элементы кибербезопасности, политических и общественных наук, информатизации, философии и психологии (SECURIT).

В сильно упрощенном виде под термином "культура ИБ" некоторые представители экспертного сообщества понимают процесс самостоятельного освоения работниками знаний, умений и навыков в области информационной безопасности, а также собственно процесс применения этих навыков на практике с общей целью достигнуть более высокого уровня ИБ в организации в краткосрочной или долгосрочной перспективе.

Вне зависимости от того, какое из предложенных определений близко и понятно именно вам, необходимость выстраивания процессов по формированию у каждого работника своей собственной внутренней культуры ИБ, поддержание и регулярное совершенствование этой культуры – это важные составные части набора организационных методов защиты информации в любой современной организации.

Рассмотрим основные методы и подходы к формированию и поддержанию культуры ИБ. Базисом для составления данного перечня, помимо личного опыта автора, явились описанные в открытых источниках и по понятным причинам обезличенные кейсы и факты, имевшие место в ряде известных организаций РФ в 2015–2016 гг. Прошло то время, когда эти громкие истории гроздями висели на главных страницах популярных информационных изданий и собирали порой нелестные комментарии читателей. Да, факты достаточно стары, но для аналитика по ИБ даже сейчас, на момент написания материала, они не потеряли своей информационной привлекательности, поэтому их с уверенностью можно назвать "сухофруктами".


Глобально методы формирования культуры информационной безопасности в отдельно взятой организации можно разделить на следующие группы, находящиеся в тесной взаимосвязи между собой: информирование/ обучение, контроль/выявление нарушений, проведение внутренних проверок и расследований, дисциплинарное воздействие на нарушителей режима ИБ1.

К основным методам, нацеленным на информирование и обучение работников организации культуры ИБ, относятся:

1. Проведение очных инструктажей (вводных, повторных, внеплановых, по факту выявления нарушения) для сотрудников организации под роспись в журнале инструктажей по вопросам ИБ (в т.ч. при выходе новых нормативно-правовых документов в России и в организации) на регулярной основе. В рамках таких инструктажей целесообразно не только доводить информацию в формате, но и отвечать на вопросы сотрудников, сформированные в процессе работы.

2. Регулярное дистанционное информирование сотрудников по каналам внутренней корпоративной электронной почты. Материалы с иллюстрациями и описаниями с флагом "срочно" и/или "важно", полученные по внутренней корпоративной почте от сотрудников службы защиты информации, будут рассмотрены сотрудниками организации с интересом и неподдельным любопытством только в тех случаях, когда это не является обыденностью, не содержит сухой технический текст или скан-копии плохого разрешения и не переходит за грань "внутреннего спама".

3. Обязательное дистанционное обучение сотрудников организации актуальным вопросам информационной безопасности в формате электронного курса (слайды, презентации, демонстрационные ролики, интерактивные упражнения, промежуточные и итоговые тестирования, практические работы и пр.), опубликованного на внутреннем и/или внешнем облачном портале.

4. Популяризация темы защиты информации во внутренней корпоративной среде путем повышения интереса у работников к вопросам информационной безопасности на рабочем месте, направление памяток/информационных брошюр с иллюстрацией и/или яркой инфографикой.

5. Создание внутреннего доступного для всех сотрудников внутри сети организации ресурса (Web-портал, файловый сервер, база данных с доступом через сервер приложений и пр.) для размещения внутренних и внешних нормативных документов по ИБ.

Обеспечение режима ИБ в организации слабоэффективно при низком уровне культуры информационной безопасности у ее работников.

6. Участие представителей службы защиты информации во внутренних совещаниях и обучающих мероприятиях в организации и аргументированное рассмотрение (в устной и письменной форме) поступающих смежных вопросов с точки зрения обеспечения ИБ всеми работниками.

7. Электронная рассылка информационных бюллетеней, в т.ч. полученных извне, по актуальным угрозам ИБ и предложение комфортных для работников мер защиты, выбранных с учетом специфики организации.

8. …

Контрольные мероприятия, проводимые службой защиты информации, являются важным фактором, влияющим на уровень культуры ИБ в организации. В настоящее время применяются различные способы контроля за обеспечением режима ИБ в организации, в т.ч. подробно описанные в выпущенных регуляторами нормативно-методических документах. Наиболее эффективными, по мнению практиков, методами являются:

1. Внедрение инструментов (программных агентов, средств ограничения и блокировки избыточных прав и пр.) по контролю за действиями работников на автоматизированных рабочих местах, с периферийным оборудованием, с внешней электронной почтой, внедрение контроля доступа в Интернет и зоны с ограниченным доступом, а также контроля действий привилегированных пользователей.

Культура ИБ у работников организации не будет повышаться при отсутствии режима информационной безопасности.

2. Проведение внутренних тестов на проникновение. Реализация собственными силами сценариев, эмулирующих действия нарушителей, и мониторинг реакции работников организации на подобные ситуации.

Стабильно высокий уровень культуры ИБ у работников организация позволит в будущем снизить материальные расходы организации на мероприятия по контролю за обеспечением режима информационной безопасности.

3. Сбор организационными и техническими инструментами атомарных событий из внешних и внутренних информационных источников и формирование корреляционных цепочек по ранее созданным сигнатурам, позволяющих выявлять аномалии и несоответствия в действиях работников.

4. Создание сетки простых и понятных руководству метрик, позволяющих математически оценить количественные показатели культуры ИБ в организации (например, количество звонков в службу защиты информации в отчетные периоды по вопросам ИБ, количество оказанных работникам консультаций по электронной почте, количество выявленных подозрений на инциденты ИБ с участием работника организации, и пр.).

5. Оценка понимания работниками глубины и важности вопросов обеспечения ИБ в организации при согласовании внутренних нормативных или организационно-распорядительных документов, а также в рамках проведения совещаний по смежным вопросам.

6. Обязательное тестирование (в дистанционном, электронном и/или очно-бумажном формате) работников организации на знание теоретических основ информационной безопасности и основных положений внутренних нормативных документов организации.

7. Использование внешних аудитов на соответствие требованиям смежных с ИБ стандартов в качестве обязательных инструментов для формирования среза текущего уровня культуры ИБ в отдельных подразделениях или процессах в организации.

8. …

Экспертиза в части проведения внутренних проверок и комплексных расследований как элемент, позволяющий восстановить цепочку событий и выявить причинно-следственную связь в действиях работников, является обязательной частью цикла поддержания культуры ИБ и способствует развитию как рядовых работников, так и сотрудников службы защиты информации в организации, поскольку требует от экспертов высоких профессионализма и ответственности. Составными частями экспертизы, влияющими на уровень культуры ИБ в организации, можно назвать:

1. Определение соответствия между действиями нарушителей режима ИБ и требованиями внутренних нормативных документов организации и внешних правовых актов.

2. Сбор и анализ доказательной базы, чаще всего для внутреннего использования, при принятии решения в отношении сотрудника, допустившего нарушение.

3. Поиск актуальных источников для сбора атомарных событий, в т.ч. при отсутствии информации, необходимой для проведения комплексного анализа ситуации.

4. Налаживание взаимодействия со смежными подразделениями внутри и профильными структурами вовне организации и оперативный обмен значимой информацией в процессе расследования.

5. Накопление статистики и опыта для экспресс-оценки ситуации и выделения из потока событий и подозрений, подпадающих под критерии ошибок первого и второго рода.

6. Составление детальных отчетов как на техническом, так и на понятном рядовому сотруднику (не техническому специалисту) языке, после прочтения которых возникает осознание необходимости и важности соблюдения внутренних требований режима ИБ.

7. Оценка технической и экономической составляющих мошеннических действий, а также степени влияния этих действий на общий уровень защиты информации в организации.

8. …

Элементом модели, отвечающим за обратную связь в классическом процессном подходе, выступает функциональный блок "Дисциплинарное воздействие". Многим привычно под словосочетанием "дисциплинарное воздействие" понимать какое-либо негативное проявление. В контексте формирования и поддержания внутри организации культуры ИБ, помимо известных и понятных принципов "кнута и пряника", данный элемент включает в себя несколько скрытых, но при этом не менее важных аспектов:

1. При регулярной популяризации результатов экспертизы и разборе допущенных сотрудниками организации нарушений у коллег нарушителя происходит последовательное формирование четкого видения успешной работы по пресечению допущенных нарушений режима ИБ внутри их организации службой защиты информации. Затем приходит понимание наличия у экспертов достаточных инструментария и профессионализма для своевременного выявления и детального расследования инцидентов и, как следствие, представление собственной защищенности от внешних угроз при перманентном выполнении требований по ИБ.

2. Для экспертов по ИБ разбор организационных причин допущенных нарушений позволит улучшить действующие требования по ИБ, отладить критерии для выявления событий с признаками инцидентов ИБ, глубже понять схемы бизнес-процессов и с учетом вновь открывшихся обстоятельств адаптировать настройки технических средств мониторинга и контроля.

3. Участие экспертов по ИБ в оперативных мероприятиях, направленных на выявление умысла в действиях нарушителей режима ИБ, позволяет на реальных примерах понять требования и принципы работы сотрудников из подразделений корпоративной и физической безопасности внутри организации или силовых структур из правоохранительных органов, что, в свою очередь, может быть использовано для обучения сотрудников организации в будущем.

4. В процессе дисциплинарного воздействия на сотрудников с низким уровнем культуры ИБ чаще всего задействованы непосредственные руководители этих сотрудников. По завершении технических мероприятий и профилактических инструктажей руководители, самостоятельно осознав важность выполнения требования по ИБ, доносят позиции до других своих подчиненных, что положительно сказывается на поддержании уровня культуры ИБ в целом. Принцип "сарафанного радио" позволяет за минимальное время донести важную информацию в удобопонятном виде до всех сотрудников организации.

5. В некоторых случаях знание того, что в отношении коллег или целых подразделений проводится расследование по факту нарушения ими режима ИБ, дисциплинирует и мотивирует сотрудников гораздо больше, чем прохождение вводного дистанционного курса по ИБ. К сожалению, это только временный эффект, и его воздействие будет снижаться тем быстрее, чем реже в организации будут проводиться мероприятия, по результатам которых принимаются меры дисциплинарного и/или административного воздействия.

6. Еще один косвенный положительный эффект от применения методов дисциплинарного воздействия – это расширение неформального круга лиц, через которых внутри организации можно как передавать, так и получать информацию о выявленных или допущенных нарушениях режима ИБ. Известны случаи, когда своевременно и точечно доведенная до сведения отдельных сотрудников бухгалтерии информация о вирусной эпидемии в сторонней организации или о разрушительном воздействии "программ-шифровальщиков" позволила не допустить распространение данной угрозы в ранее подверженных подобным атакам организациях.

7. Любое дисциплинарное воздействие со стороны организации на сотрудника является внешней экспертной оценкой корректности его действий. Точно также это воспринимается работниками в процессе становления культуры ИБ в организации. Для нетехнических работников наличие профессиональной и понятной оценки от эксперта в области защиты информации становится дополнительно мотивирующим фактором к развитию.

8. …

Представленный выше перечень методов является открытым, он не претендует на полноту и побитовое соответствие требованиям аудиторов. Однако в случае его применения в комплексе с уже внедренными в организации мерами полученный синергетический эффект должен стать хорошим подспорьем для экспертов служб защиты информации при формировании и поддержании на приемлемом, по мнению многих регуляторов, уровне культуры ИБ в организации.

___________________________________________
1Режим информационной безопасности (режим ИБ) – комплекс организационно-технических мер по обеспечению защиты от внешних и внутренних угроз информации/объектов, принимаемых обладателем и включающих в себя:

  • определение перечня информации/объектов, подлежащих защите;
  • ограничение доступа к информации/объектам, подлежащим защите, путем установления порядка обращения с этой информацией/объектами и контроля за соблюдением такого порядка;
  • учет лиц, получивших доступ к информации/объектам, подлежащим защите, и (или) лиц, которым такая информация/объекты были предоставлены или переданы;
  • регулирование отношений по использованию информации/объектов, подлежащих защите, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров и соглашений;
  • нанесение на материальные носители (документы), содержащие напечатанную информацию или объекты, подлежащие защите, соответствующих меток (грифа) с указанием реквизитов обладателя этой информации/объекта.
Колонка эксперта

О российском рынке SIEM

 

Денис Фокин
инженер Axoft

Основные отличия российского рынка SIEM от мирового

Российский рынок SIEM далек от насыщения. Наши заказчики получили технологии, но пока не до конца понимают, как их использовать с максимальной эффективностью. Forecast Analysis дает интересную мировую статистику по SIEM: рынок вырос с $1,67 млрд в 2014 г. до $1,73 млрд в 2015 г. Интерес к данному классу решений в России также растет.

Основные потребители SIEM-решений в России

В первую очередь, это крупные коммерческие компании и госсектор. В таких организациях требования к защите коммерческих и государственных тайн очень высоки: им необходим комплексный мониторинг ИТ-инфраструктуры. Возникает потребность в сборе информации как со средств активной защиты (NGWF, антивирусы, IPS, недавно появившиеся WAF), так и с отдельных узлов и информационной системы в целом.

На что заказчики в первую очередь обращают внимание?

Все большую роль играют качество работы с активами, полнота и актуальность базы знаний уязвимостей. Решение должно не только обнаруживать инциденты, но и предоставлять средства профилактического анализа возможных угроз, выдавать рекомендации по их устранению и, наконец, легко внедряться и интегрироваться в существующую ИТ-инфраструктуру.

Лидеры российского рынка SIEM

В России наибольшей популярностью пользуются решения HPE ArcSight и IBM QRadar. Популярный на Западе Splunk не так известен в России. Несмотря на схожие цели – сбор и управление событиями ИБ, – они предлагают различные подходы в вопросах корреляции и визуализации собранных с источников событий данных. При этом каждое из этих решений может служить прекрасной основой для SOC. Не стоить забывать про российские разработки (Positive Technologies и НПО "Эшелон"), которые могут достойно конкурировать с мировыми лидерами рынка.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2016
Посещений: 7731

Приобрести этот номер или подписаться
  Автор

Алексей Плешков

Алексей Плешков

Независимый эксперт по информационной безопасности

Всего статей:  21

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций