Как прервать цепочку событий от угрозы до происшествия и обеспечить безопасность 24/7

Авторская версия

Все, кто занимается безопасностью в любом ее проявлении, рано или поздно сталкивается с вопросом – «А вы в состоянии обеспечить стопроцентную безопасность?» Чаще всего его задает кто-то очень высокой должности, задает прилюдно, на большом совещании, ожидая от вас четкого и однозначного ответа.

Если ответить отрицательно, то ваши потребности сразу потеряют актуальность на многие годы. Зачем давать деньги тем, кто не может ничего обеспечить 24/7? Берите пример с ИТ подразделений, у них все системы на пять девяток!

Если ответить утвердительно, то, после уточнения, какой бюджет вам необходим, небольшого секвестрования, семи кругов согласования и реализации, вы начнете нести персональную ответственность за все возможные инциденты. Неплохой вариант на время, если вы планируете сменить работу в ближайшие год-два.

Куда не кинь, всюду клин. Давайте рассмотрим, как прервать цепочку реализации инцидента и приблизиться к заветным цифрам обеспечения безопасности 24/7. Для этого нам необходимо определиться с ключевыми элементами данной цепочки.

Активы

Те из нас, кто работает в состоятельных компаниях, способных тратить значительные суммы на безопасность, могут попробовать защитить все активы. Остальным же в первую очередь необходимо провести их инвентаризацию (объектов защиты). Каждый телефон и компьютер учитывать не обязательно, хотя бы выделить секторы.

После проведения инвентаризации необходимо провести ранжирование объектов защиты. Самый наглядный, но трудоемкий способ – по финансовому ущербу. Если у нас украдут список клиентов, то мы потеряем 100 миллионов рублей, а если колесо со склада – то 20 тысяч.

В качестве альтернативы можно использовать любые критерии: влияние на бизнес-процессы, величина простоя в днях, восполнимость актива, частота использования и многое другое.

После ранжирования необходимо сделать отсечку, какие активы защищаем всеми силами, а какие «как получится». Например, все, что дороже 1 миллиона рублей, должно быть защищено.

Угрозы

Здесь и далее мы будем ставить знак равенства между угрозой и риском. Классическое определение риска гласит:

Риск (от лат. resecō — «отсекать», «сокращать» или др.-греч. ῥιζικόν — «опасность») — сочетание вероятности и последствий наступления неблагоприятных событий.

А его формулу записывают так: Величина риска = вероятность события * размер ущерба

Таким образом, под угрозой мы будем понимать вероятностные действия, причиняющие ущерб объектам защиты.

Зная наши активы, мы теперь можем составить карту угроз для каждого актива. Она может выглядеть, например, так:

На данном этапе не требуется составлять подробную карту угроз. Достаточно понимать основные методы воздействия на актив. Угрозы можно разделить на два больших класса – антропогенные (реализуемые человеком) и не антропогенные (реализуемые без участия человека). С не антропогенными угрозами все более или менее понятно – сюда относятся стихийные бедствия, техногенные аварии, случайности. С антропогенными угрозами все несколько сложнее, т.к. в них появляется переменная величины – злоумышленник. Существует большая и развернутая теория классификации злоумышленников, их типов и видов. Для нашей цели достаточно понимать мотивы злоумышленника:

  • финансовый интерес;
  • межличностные интересы;
  • доминантность.

К первой категории относится 95% потенциальных нарушений. Мир преступлений (а особенно киберпреступлений) прагматичен: если из определенного действия нельзя извлечь материальную выгоду, то найдется очень мало желающих этим заниматься.

Ко второй категории относятся все случаи слежки, например, чтобы добиться внимания женщины или отомстить обидчику.

«Вершиной» мотивов является доминирование, когда те или иные действия совершаются «просто потому, что я могу». Например, обесточивание целого здания.

Определившись с нарушителями, мы можем дополнить нашу карту угроз:

Таким образом, мы точно узнаем цепочку событий от угрозы до инцидента:

Рисунок 1. Цепочка событий от угрозы до ущерба

Теперь давайте разберемся с тем, как ее прервать.

Обнаружение

В нашей цепочке ключевым является последний пункт – ущерб. Т.е. инциденты, приводящие к финансовым потерям, должны обнаруживаться и предотвращаться. Также обнаруживаться должны все неудачные попытки причинить ущерб, т.е. свершенные угрозы, которые не нанесли ущерба по каким-либо причинам.

Для обнаружения инцидентов необходимо выполнить ряд шагов:

  1. Заручиться поддержкой высшего руководства. Без осознания возможных потерь от ущерба и требуемых мер, все дальнейшие действия будут являться полумерами или будут полностью провалены. При общении с топ-менеджментом выгоднее всего опираться на финансовые показали (подробнее можно узнать в статье «Вопросы совокупной стоимости владения и эксплуатации комплексных систем безопасности» журнал «Системы безопасности», №1, 2021).
  2. Понимать, знать и закрепить нормальное (обычное) состояние актива. Если колеса должны лежать на складе, то в секции Е-21. Если база клиентов располагается в общей информационной сети, то доступ к ней должен иметь отдел продаж, бухгалтерия, ИТ-администраторы и безопасники.
  3. Принять меры физической защиты актива. Меры физической защиты должны завесить от ценности актива и угроз. Колеса можно положить в секцию Е-21 под замок, выдавать ключ под роспись и поставить видеонаблюдение.
  4. Принять организационные меры по защите актива. Должны быть приняты внутренние правила и регламенты по использованию актива, предоставлению доступа, списанию и уничтожению, и другим применимым действиям.
  5. Создать или дополнить штат службы безопасности необходимыми специалистами. Какие бы средства автоматизации вы не применяли, при недоборе в штатном расписании вы физически не сможете вовремя реагировать на инциденты.

Получив необходимые рычаги, теперь можно перейти к выстраиванию системы обнаружения инцидентов. Главный принцип обнаружения инцидентов – выявление отклонений от нормального состояния актива. Для этого могут использоваться различные методы и их комбинации:

  1. Штатное очное наблюдение. Если ваши ресурсы позволяют поставить возле каждого ценного актива охранника с пистолетом, то необходимо этим пользоваться. Или хотя бы разделить объект на контролируемые зоны и назначить ответственного за него.
  2. Использовать автоматизированные датчики контроля состояния актива и пространства вокруг него, в зависимости от его природы. Например, при обеспечении безопасности особенно ценных материальных активов можно хорошо себя показывает связка датчиков движения с видеонаблюдением или СКУДом. Для перемещаемых активов можно использовать RFID–метки, которые позволят не только быстро найти актив, но и следить за его перемещением.
  3. Использовать автоматизированные системы для наблюдения за контролируемыми зонами. Сюда относятся системы контроля пересечения периметра, видеонаблюдение, системы контроля доступа и т.п.
  4. Для информационных систем необходимы системы мониторинга и контроля пользователей. Сюда относятся средства защиты от несанкционированного доступа, системы защиты от утечек информации (DLP системы).
  5. Для объединения всех используемых методов крайне желательно создать ситуационные центр безопасности, куда будут подключены все системы обнаружения и безопасности. Это позволит штатному составу СБ работать с уже обработанной информацией, а не искать признаки инцидентов, тратя большое количество человеко-часов.

Предотвращение

Когда процессы обнаружения более или менее выстроены, перед службой безопасности часто встаёт задача предотвращать инциденты на ранней стадии, а не разбираться с их последствиями, т.е. «бить по хвостам». Предотвращение инцидентов комплексная задача, имеющая более низкий КПД. Здесь нет универсальных рецептов, т.к. основной источник проблем – люди, а, как известно, человеческая душа – потемки, по крайней мере, пока службы безопасности не станут массово брать на работу телепатов. Здесь можно расставить лишь ориентиры для последующей работы.

  1. Первое направление — это работа с сотрудниками. Сотрудники должны быть информированы, желательно под подпись, с действующим режимом работы, что делать нельзя, и какая ответственность за это наступает. Для подавляющего большинства людей страх наказания выше, чем сиюминутная прибыль. Там, где возможно, необходимо вводить материальную и коллективную ответственность, чтобы контроль и пресечение инцидентов осуществлялся коллективом.
  2. Необходимо выявлять потенциально опасных сотрудников. Кто-то недоволен текущим положением, кто-то хочет уйти к конкурентам, кто-то слишком разговорчив в интернете. Конечно, слишком сложно и дорого отслеживать каждого сотрудника, но для ключевых позиций это жизненно необходимо.
  3. Необходимо создать комплексную скоринговую модель каждого бизнес-процесса, где участвуют ключевые активы, и занести ее в информационную систему ситуационного центра. В зависимости от приоритетов и оценок, это позволит выявлять пограничные состояния перед инцидентом, когда он еще не реализовался, но вот-вот может.

Расследование

Говоря об инцидентах, нельзя обойти вниманием вопрос об их расследовании. Расследование можно разделить на внутреннее и с привлечением правоохранительных органов. Разница в последствиях – при внутреннем расследовании максимум, чего можно добиться — это увольнения нарушителя и, иногда, возмещения вреда.

Если руководство перед вами ставит задачи максимального наказания нарушителей, вплоть до привлечения к уголовной ответственности, то весь процесс обнаружения инцидентов должен быть выстроен с учетом этой особенности. Оперативно-розыскные мероприятия очень чувствительны к обстоятельствам обнаружения инцидента, сбору доказательств и свидетельских показаний. Особенно это касается инцидентов в информационных системах. Если перед вами стоит задача максимального наказания нарушителей, то лучше сразу обратиться в специализированную организацию.

В заключение

Таким образом, к работе по обнаружению и предотвращению инцидентов следует подходить комплексно. Чем основательней будут проведены первые этапы по инвентаризации и категорированию активов и угроз, тем проще будет подобрать эффективный набор мер, даже в условиях ограниченного бюджета.

Дудко Дмитрий для журнала «Системы безопасности» (№2, 2021).

Вопросы совокупной стоимости владения и эксплуатации комплексных систем безопасности

Авторская версия.

В современной корпоративной и государственной жизни невозможно избежать встречи с автоматизированными системами. Каждый из нас является пользователем как минимум 2-3 из них. Кроме того, некоторые в той или иной мере выступают владельцами существующих или проектируемых систем в части определения целей, задач и методов их выполнения. Владельцем системы может быть и руководитель крупного департамента, и начальник отдела, и ведущий инженер или администратор.

Каждый владелец рано или поздно сталкивается с потребностью в дополнительном финансировании для поддержания деятельности системы, либо для создания новой. При поиске источников финансирования владельцы должны быть готовы ответить на ряд вопросов, главный из которых, без сомнения, – «Сколько система будет стоить?». Говоря другими словами, необходимо оценить совокупную стоимость владения. Также инвесторы не оставят без внимания окупаемость системы и вклад в финансовые показатели организации.

И если с ИТ-системами уже предпринимаются робкие попытки расчета таких оценок, то в системах безопасности, как говорится, еще и конь не валялся. Поэтому предлагаю вашему вниманию методологию расчета совокупной стоимости владения, которую я и мои коллеги используем для расчета экономического эффекта автоматизированных систем (АС).

Определения

Самая частая проблема, возникающая у безопасников в коммуникации с финансовыми подразделениями и владельцами бизнеса, – отсутствие единой цели. Мы мыслим совершенно непохожими категориями, т.к. имеем отличные друг от друга устремления. Следовательно, и словарем пользуемся разным.

Поэтому начнем с самого начала – с уточнения понятий.

Разговаривать мы будем о совокупной стоимости владения (для автоматизированных систем вообще) или стоимости жизненного цикла (больше применимо для ИТ и ИБ систем). В общем случае эти термины эквивалентны.

Совокупная стоимость владения (от англ. total cost of ownership, TCO) – общая величина целевых затрат, которые вынужден нести владелец с момента начала реализации вступления в состояние владения до момента выхода из состояния владения и исполнения владельцем полного объёма обязательств, связанных с владением.

Из определения TCO, согласно западной методологии, вытекают два фундаментальных понятия о затратах:

  • CAPEX (от англ. CAPital EXpenditure) – капитальные расходы компаний на приобретение или модернизацию физических активов;
  • OPEX (англ. сокращение от operating expense, operating expenditure, operational expense, operational expenditure) – операционные расходы, повседневные затраты компании на ведение бизнеса, производство товаров и услуг.

В нашей же методологии мы пользуемся следующими понятиями:

  • прямые затраты;
  • косвенные затраты.

Почему? Во-первых, данные понятия есть в Налоговом кодексе РФ и ПБУ (Положении о бухгалтерском учете). Во-вторых, это упрощает отнесение затрат по статьям расходов.

Далее мы не будем пользоваться понятиями CAPEX и OPEX. Те из вас, от кого требуют расчеты с четким разделением на CAPEX и OPEX, смогут самостоятельно разнести затраты из методологии. Основной (упрощенный) принцип такой – если затрата единоразовая, то это CAPEX, все остальное –OPEX.

Прямые затраты

Если вы поищете в интернете определение прямых затрат, то найдете следующее определение:

«Прямые затраты» — это то, что потрачено на производство конкретных товаров или услуг. Такие расходы можно включить в себестоимость: например, стоимость сырья и зарплаты сотрудников, которые работали над продуктом.

Точное определение представлено в статье 318 Налогового кодекса РФ и содержит перечисление того, что входит в данный вид затрат.

Применимо к теме нашего разговора для расчета совокупной стоимости владения автоматизированной системой под прямыми затратами мы будем понимать:

«Прямые затраты на АС» – то, что непосредственно потрачено на создание, эксплуатацию, масштабирование и развитие автоматизированной системы.

Косвенные затраты

Общее определение косвенных затрат звучит так:

«Косвенные затраты» — это расходы, связанные с производством, которые нельзя напрямую включить в себестоимость конкретного вида изделия.       

Точное определение представлено все в той же статье 318 Налогового кодекса РФ.

Для расчета TCO для автоматизированных систем мы будем использовать следующее определение косвенных затрат:

«Косвенные затраты на АС» – другие (сопутствующие) затраты, необходимые для создания, эксплуатации, масштабирование и развитие автоматизированной системы, не входящие в перечень прямых затрат.

Если немного запутались, что относить к прямым затратам, а что к косвенным – не отчаивайтесь.

Данные виды затрат отличает один признак: в зависимости от организации и проекта при создании АС без косвенных затрат можно обойтись, а без прямых – нет.

Пример необходимости расчета TCO

Одно очень крупное российское промышленное предприятие решило внедрить у себя комплексную систему защиты. В рамках внедрения была запланирована система двухфакторной аутентификации с помощью токена (защищенной USB-флешки). Токены (несколько тысяч штук) и необходимое ПО были закуплены подрядчиком, все было готово к внедрению. Итогом стал провал внедрения подсистемы, токены так и остались лежать в коробках.

Основные причины провала.

  1. Противодействие со стороны ИТ-службы в рамках внедрения подсистемы. Процедура требовала организации, учета, замены и вывода из обращения старых флешек, а также организации обучения пользователей новым правилам. ИТ-служба должна была понести значительные финансовые и временные затраты, что, к сожалению, не было учтено при проектировании.
  2. По внутренним регламентам предполагалось, что сотрудники будут использовать токены только во время работы, получая их у своего руководителя под роспись. После окончания работы токены необходимо было сдавать и хранить, например, в сейфе. Расходы на эти и другие процедуры также не были учтены.

Таким образом, ключевой проблемой стал учет только прямых расходов на систему.

Методика расчета совокупной стоимости владения

Не существует самой общей и полной методики расчета TCO, т.к. большинство затрат по статьям и размерам зависит от специфики конкретной организации. Подход, о котором я хотел бы рассказать, – часть большой методики оценки эффективности внедрения и эксплуатации автоматизированных систем, которую ЛАНИТ использует в проектах. Описываемый метод применим в первую очередь для бюджетной оценки внедрения АС, которая, как правило, применяется на стадии формулирования потребности и решения. Бюджетная оценка обладает значимой погрешностью (до 18%), устранение которой требует проведения дополнительных работ по оценке и анализу бизнес-процессов заказчика.

Полная оценка внедрения, планирование инвестиций в среднесрочном периоде (3-5 лет), а тем более оценка влияния на финансовые показатели, лежат вне рамок небольшой журнальной статьи. Если вам требуется взвешенная и обоснованная оценка – обратитесь к специалистам.

Итак, методика расчета совокупной стоимости, в сущности, сводится к суммированию перечня планируемых затрат. Данный метод позволяет производить оценку в среднесрочном периоде, влияние на производственные и непроизводственные процессы, учитывать разные источники финансирования, валюты закупок, способы оплаты и расчета с поставщиками.

Планируемые затраты:

  1. прямые затраты на внедрение АС;
  2. прямые затраты на сопровождение АС;
  3. косвенные затраты на внедрение АС;
  4. косвенные затраты на сопровождение АС.

Прямые затраты на внедрение АС

Самый простой и очевидный перечень затрат. Прямые затраты на внедрение включают следующие пункты. Это:

  1. Закупка аппаратных компонентов АС. Затраты на аппаратные компоненты АС – это могут быть блоки управления, считыватели, камеры и т.д., все те компоненты АС, которые закупаются с НДС. К данной статье затрат не относится серверное оборудование.
  2. Закупка программного обеспечения АС. Затраты на программные компоненты АС, в подавляющем количестве случаев – это будут лицензии или неисключительные права использования на программное обеспечение, т.е. компоненты, покупаемые без НДС.
  3. Закупка серверного оборудования. Затраты на закупку серверов и систем хранения данных. Данная статья расходов выделена, т.к. серверное хозяйство может быть представлено физическими или виртуальными серверами или быть размещено в облачной инфраструктуре. В общем случае это компьютеры, на которых будут установлены программные компоненты АС.
  4. Закупка автоматизированных рабочих мест. Затраты на покупку рабочих мест пользователей и администраторов. В рамках проекта могут использоваться: существующие компьютеры, модернизация существующих компьютеров, закупка новых.
  5. Закупка программного обеспечения (общесистемного). Затраты на программное обеспечение серверов и рабочих станций. В 90% случае это затраты на закупку дополнительных лицензий операционной системы, офисного пакета и другого ежедневно используемого ПО.
  6. Закупка программного обеспечения (инфраструктурного). Затраты на ПО, обеспечивающее беспрерывную работу оборудования АС. Наиболее часто встречается расширение лицензий СУБД, систем администрирования и резервного копирования.
  7. Закупка программного обеспечения (специализированного). Закупка программного обеспечения, не входящего в другие категории. Например, докупка лицензий на дополнительные камеры видеонаблюдения, считыватели СКУД и т.п.
  8. Закупка инфраструктурного оборудования. Затраты на инфраструктурное оборудование, которое будет обеспечивать беспрерывную работу АС. Сюда включаются дополнительные маршрутизаторы для нового сегмента сети, дополнительные диски для архивирования, увеличение оперативной памяти и пропускной способности серверов и маршрутизаторов.
  9. Затраты на средства информационной безопасности. Затраты на средства информационной безопасности АС, включают в себя: антивирусы, средства защиты от НСД, межсетевые экраны, VPN и т. д.
  10.  Затраты на средства физической безопасности. Затраты на средства физической защиты: решетки, сейфы, видеокамеры, размещение дополнительных постов охраны, организацию пропускного режима и т.п.
  11.  Закупка монтажных комплектов и соединений. Все закупленное оборудование необходимо установить, смонтировать и подключить. В подавляющем большинстве случаев крепеж серверов, а также кабели подключения не идут в комплекте поставки. Данный раздел не учитывают чаще всего. К нему относятся: серверные стойки, ИБП, монтажные комплекты серверов, трансиверы, оптоволоконные кабели и кабели питания.
  12.  Работы по проектированию. Работы по созданию необходимого комплекта проектной и организационно-распорядительной документации.
  13.  Работы по монтажу, настройке и пусконаладке АС.
  14.  Обучение администраторов. Курсы повышения квалификации для администраторов по обучению работы с новой системой.

Прямые затраты на сопровождение АС

Прямые затраты на сопровождение – это затраты на поддержание работы системы в течение определенного периода времени (обычно 1 год). Затраты на сопровождение включают следующие позиции:

  1. Закупку вендорского технического сопровождения и обновления ПО. Затраты на техническую поддержку закупленного ПО (всех видов), обычно закупается на срок 12 или 36 месяцев.
  2. Закупку продления гарантии на аппаратные компоненты АС.
  3. Зарплату администраторов АС. В большинстве случае зарплата ИТ-персонала коррелирует с количеством и сложностью систем, находящихся в их ведении. Чем больше систем, тем выше зарплата и/или больше администраторов требуется.
  4. Затраты на наем персонала. Затраты на поиск, наем и оформление новых сотрудников необходимой квалификации. Обычно данные затраты ложатся на отдел кадров.
  5. Затраты на техническое сопровождение АС. Затраты, связанные с эксплуатацией и масштабированием АС. Изменения организационных процессов, выпуск новых регламентов по работе и приему заявок от пользователей, организация ремонта и замены элементов АС, привлечение субподрядной организации для технического сопровождения. Таким образом, в данную статью включается, все то, что вовлеченные подразделения должны организовать для штатного функционирования системы.

Косвенные затраты на внедрение АС

Косвенные затраты на внедрение – затраты на внедрение, которые обычно не включаются в стоимость контракта с Исполнителем и обеспечиваются заказчиком.

  1. Организационные работы по внедрению. Любое внедрение системы требует большой подготовительной работы со стороны заказчика, организация внедрения, разработка соответствующих приказов и распоряжений, завоз и вывоз оборудования подрядчиков и многое другое. Чаще всего это сопровождается вовлечением большого количества структурных подразделений, чьих сотрудников отвлекают от текущих задач. Все это является затраты для заказчика.
  2. Затраты на помещения. Для размещения новых рабочих мест и оборудования может потребоваться новое помещение, которое необходимо привести в порядок, сделать ремонт или построить.
  3. Затраты на мебель. В случае организации новых рабочих мест могут потребоваться новые столы, стулья, шкафы и т.п.
  4. Затраты на электричество и охлаждение. Затраты чаще всего возникающие при размещении оборудования в ЦОДах, где может не быть дополнительных электрических и охлаждающих мощностей под новое оборудование. Что потребует проведение новой электрической ветки или установки нового кондиционера.
  5. Затраты на обучение пользователей.  Затраты на обучение существующих пользователей.

Косвенные затраты на сопровождение АС

Косвенные затраты на сопровождение – все дополнительные затраты в течение срока сопровождения АС.

  1. Затраты на помещения. Аналогичны косвенным затратам на внедрение АС. Дополнительно пересчитываются в случае масштабирования или переезда АС.
  2. Затраты на электричество и охлаждение. Аналогичны косвенным затратам на внедрение АС. Дополнительно пересчитываются в случае масштабирования или переезда АС.
  3. Затраты на обучение новых пользователей и сотрудников.

Получив оценку по каждой статье расходов, вы оцените совокупную стоимость внедрения вашей системы. Этот метод позволит руководителям безопасности и ИТ подразделений  точнее оценить потребность в финансировании  и перевести общение на язык цифр и денег.

Дудко Дмитрий для журнала «Системы безопасности» (№1, 2021).

Печатная версия

По следам черного лебедя: о чем говорили ИБ-эксперты на конференции «Умные решения – умная страна»

Онлайн-конференция «Умные решения – умная страна: инновационные технологии для новой реальности», организатором которой выступила компания ЛАНИТ, была наполнена полезным и разнообразным контентом. Продолжаем делиться самым интересным (о выступлении всемирно известного футуролога Кьелла Нордстрема можно почитать здесь). 

Во второй день форума, Technology Day, прошла секция «Информационная безопасность», на которой руководители компаний и эксперты в области ИБ делились своим видением трендов, уже оказывающих или лишь начинающих оказывать свое влияние как на современный бизнес, так и на общественную жизнь в России. (Я тоже, кстати, рассказывал про оценку рисков информационной безопасности.) В этой статье я сделаю обзор выступлений на нашей секции. Важно отметить, что никакая статистика и анализ не уберегут от наступления событий, описанных Нассимом Талебом в его книге «Черный лебедь». Непредсказуемые события непрогнозируемых масштабов случаются, и 2020-й год стал наилучшим тому подтверждением.

Онлайн-платформа конференции. Приветственное слово модератора секции «Информационная безопасность» Андрея Голова

Уроки 2020 года


«Крайне нетипичным» дипломатично назвал в своем докладе 2020 год Андрей Голов, генеральный директор компании «Код Безопасности». Шаг за шагом он проследил цепочку изменений, вызванных к жизни пандемией коронавируса. «Удаленка» разрушила привычный периметр безопасности корпоративной инфраструктуры, породив новые модели потребления ИТ-сервисов и, как следствие, значительно изменив ландшафт киберугроз. К вышеперечисленному добавился макроэкономический идеальный шторм, каскад государственных локдаунов и разрыв цепочек поставок.

Андрей отметил взрывной рост спроса на решения сетевой безопасности и обслуживающий их персонал, логично перейдя к неизбежному ускорению цифровизации социальных сервисов, которое уже началось.

Все эти вызовы требуют работы, которую можно провести только на государственном уровне. К ней, в частности, относится интеграция всего технологического стека ИТ в рамках процесса импортозамещения. Диалог руководства страны, экспертного сообщества и бизнеса в данном направлении идет, и его результаты Андрей оценил как положительные.

Отдельно докладчик остановился на вопросах обеспечения «цифрового суверенитета». Сейчас этим вопросом занимаются во всем мире, и России крайне важно не отстать от глобальных процессов. Ведь в скором будущем ИТ-системы будут управлять буквально всей жизнью в стране. Руководство страны это понимает и продолжает повышать требования к защите критической инфраструктуры.

Семь тенденций кибербезопасности, которые будут влиять на вашу организацию в 2021 году


Самым, пожалуй, «богатым на новые тренды» стал доклад Алексея Лукацкого, бизнес-консультанта по вопросам безопасности Cisco. Алексей выделил семь основных тенденций, касающихся кибербезопасности как непосредственно, так и в преломлении бизнеса.

  • Усиливается регуляторная нагрузка на эксплуатантов информационных систем и ужесточение ответственности за нарушения.
  • Самой важной метрикой в информационной безопасности становится время обнаружения атаки, а отчеты службы ИБ включают все больше метрик, связанных с бизнес-целями предприятия.
  • Невозможность обеспечить абсолютную защиту от угроз смещает фокус внимания служб ИБ с предотвращения атак на своевременное обнаружение и реагирование на них.
  • Самым слабым звеном любой системы безопасности остается человек. Число атак, связанных с социальным инжинирингом, будет только расти.
  • Количество событий безопасности в сложной системе ИБ превысило физические возможности специалистов по реагированию на них.
  • Злоумышленники все чаще атакуют не своих жертв напрямую, а их поставщиков ПО и оборудования.
  • Растет важность «безопасной разработки», предъявляющей новые требования к создателям программного кода на всех этапах его производства.

Кибербезопасность в эпоху цифровой трансформации


Мир погружается в «цифру», а неопределенность растет. Растет и число кибератак, несущих угрозу новой реальности. Николай Фокин, руководитель отдела информационной безопасности компании «ЛАНИТ-Интеграция», напомнил о том, что кибератаки входят в ТОП-5 глобальных угроз наряду с изменением климата, эпидемиями и природными катастрофами. К 2022 году, по оценке ВЭФ, ущерб мировой экономики от киберпреступлений может достичь $8 трлн.

С приходом пандемии коронавируса ландшафт киберугроз сильно изменился. В недавнем отчете Интерпола говорилось, что с приходом COVID-19 все больше хакерских группировок, стремясь увеличить свой доход, стали переносить фокус внимания с частных лиц и малого бизнеса на крупные корпорации. «Модным» трендом стали нападения на промышленные предприятия с использованием программ-шифровальщиков. Вызванные этими атаками длительные простои производств влекут за собой огромные убытки, и даже выплата выкупа отнюдь не гарантирует пострадавшей стороне возвращение доступа к собственной инфраструктуре.

«Один из самых распространенных векторов атаки шифровальщиков — RDP. На теневом рынке стоимость покупки учетных данных организации составляет всего $20. При этом большинство компаний не применяют необходимые средства защиты от этой угрозы». Николай Фокин

Вывод Николая не внушает оптимизма: 90% компаний по-прежнему могут быть взломаны за несколько дней, а 77% бизнесов не имеет четкого плана реагирования на киберинциденты. Помочь в этой ситуации может только тотальный пересмотр всех политик ИБ, ужесточение контроля за средствами удаленного доступа, внедрение технологий многофакторной авторизации и программ обучения персонала правилам «цифровой гигиены».

Проект «Безопасность детей ХМАО-Югры в сети Интернет»


Цифровая трансформация общества оказала большое влияние на формирование детской психики, которое сейчас происходит в окружении всевозможных гаджетов. Вопросам защиты уже второго по счету поколения «цифровых аборигенов» посвятил свой доклад Константин Игнатьев, эксперт «Лаборатории Касперского» по детской безопасности в сети.

Более половины родителей признаются, что используют гаджеты, чтобы занять ребенка. Девять из десяти родителей прибегают к электронным устройствам в процессе обучения своих детей в возрасте 3-6 лет. Сделать эти процессы максимально безопасными призван проект-финалист премии IT Stars имени Георгия Генса «Безопасность детей ХМАО-Югры в сети Интернет».

Ханты-Мансийский автономный округ стал площадкой для эксперимента не случайно. Многие родители здесь работают вахтовым методом и зачастую не в состоянии контролировать время, проведенное ребенком в интернете, или характер потребляемого им контента. Помочь им в этом был призван специальный продукт Kaspersky Safe Kids.

За год его использования детский интернет-трафик претерпел серьезные изменения. Интересным стало падение популярности компьютерных игр с 32% до 16%. Связано это по всей видимости с тем, что родители сочли эту категорию наименее желательной. Зато значительно вырос трафик новостных ресурсов, интернет-магазинов и банков. Проект уже отмечен многочисленными благодарностями родителей, учителей и представителей администрации округа.

Защита от несанкционированного доступа к инфраструктуре бизнеса


С распространением цифровизации бизнеса среди всех инструментов анализа информационной защищенности корпоративной инфраструктуры пентест выходит на первый план. Мурад Мустафаев, руководитель службы информационной безопасности компании «Онланта», и Дмитрий Донской, директор по развитию группы компаний «Эшелон», рассказали о том, как инсценировка преднамеренного взлома помогает объективно определить уровень защищенности компании, и привели живой пример.


Главным выводом эксперимента стало четкое понимание необходимости мониторинга всех ИБ-событий в реальном времени. Наилучшим способом добиться этого на сегодняшний день является использование SIEM-систем. Неудивительно, что подобным инструментам  уделено большое внимание в федеральном законе N 187-ФЗ, посвященном требованиям к защите критической информационной инфраструктуры.

Безопасность виртуальной облачной сети предприятия


Доклад Дмитрия Жечкова, менеджера по развитию бизнеса сетевой виртуализации и безопасности VMware в РФ и СНГ, был посвящен новым подходам к обеспечению информационной безопасности в условиях «новой нормальности». Параллельно с трендом цифровизации бизнеса и массовым переходом на удаленную работу сформировалось три основных потенциально уязвимых области в ИТ-инфраструктуре любого предприятия:

  • пользователи на дистанционной работе;
  • пользовательские устройства;
  • приложения, не контролируемые службой безопасности компании.

Традиционный подход к защите, основанный на применении большого количества специализированных продуктов (программных и аппаратных), ведет к переусложнению инфраструктуры и ее насыщению десятками разрозненных ИБ-решений, которые сами могут стать мишенью для атаки. По мнению специалистов VMware, будущее за универсальными платформами цифровизации, уже оснащенными нативными и эластично масштабируемыми средствами обеспечения ИБ, работающими на трех важнейших уровнях: на любых устройствах, во всех приложениях, во всех облаках (частных и публичных).


VMware уже пошла по этому пути, предлагая создавать безопасные цифровые экосистемы предприятий, основанные на решениях Workspace ONE, Carbon Black, NSX и CloudHealth.

Экономическая оценка рисков информационной безопасности


А теперь немного о моем выступлении. Я работаю руководителем отдела департамента информационной безопасности ЛАНИТ. Более восьми лет наша компания занимается консалтингом в сфере оценки рисков как информационной безопасности, так и более широких, связанных с функционированием бизнеса в целом. Созданная за это время карта рисков включает в себя 152 показателя, сведенные в девять групп:

  • производственные;
  • инфраструктурные;
  • управленческие;
  • организационные;
  • антропогенные;
  • законодательные;
  • санкционные;
  • нарушения;
  • репутационные.

Анализ более 3 тыс. инцидентов позволил нашей команде вывести общие закономерности, помогающие понять, какой экономический ущерб могут нанести те или иные нежелательные события. Так, к примеру, опыт ЛАНИТ показывает, что ущерб от инцидентов, связанных с нарушением или блокировкой деятельности бизнеса в результате хакерской атаки, для компаний среднего размера, как правило, находится в диапазоне 0,5-10% годового оборота. Ущерб от кражи конфиденциальной информации может достигать 100% годового оборота. Причем чем меньше компания, тем уровень ущерба выше.


Информационная безопасность остается одной из ключевых сфер ИТ. Тональность докладов, прозвучавших на конференции «Умные решения — умная страна», говорит о том, что проблема ее обеспечения не просто не решена, —  она с каждым годом становится все более актуальной. А значит, мы продолжим обсуждать ее и в следующем году. В том числе —  и на Хабре.  

Видеозаписи докладов, а также презентации спикеров конференции «Умные решения — умная страна: Инновационные технологии для новой реальности», организованной компанией ЛАНИТ, доступны до 1 февраля 2021 года на платформе мероприятия. Вам понадобится заполнить простую форму для регистрации и в разделе «Библиотека IT-знаний» выбрать интересующий материал.

P.S. Оригинал записи

Как я читаю новости про информационную безопасность

Новости… вы знаете, я довольно редко читаю новости вообще, и по информационной безопасности в частности. В лучшем случае обхожусь чтением заголовков. Несмотря на то, что новость суть квинтэссенция информации (одно из определений: информация – что-то новое), а я защитой этой информации занимаюсь, читать новости сейчас занятие совершенно неблагодарное. Сейчас в новости, кроме информации, стараются впихнуть еще нужную интерпретацию, что делает чтение довольно увлекательным, но крайне энергозатратным занятием. Сегодня расскажу, как читаю новости я.

С новостями (в широком смысле – информация+интерпритация) надо понимать главное – никто ничего просто так писать не будет. У всего есть цель, у каждого предложения, у каждого акцента. Об этом мы поговорим как-нибудь потом. Но прежде чем искать скрытые смыслы, мы что делаем? Просто читаем новость, предлагаю этим и заняться.

Просто читаем новость

Как-то я зашел в facebook и увидел пост от Рустэма Хайретдинова и комментарии под ним. А все, что пишет Рустэм Нилович, надо читать, поэтому начнем.

Оригинал поста

Вчера многие позлорадствовали, мол «топ-менеджеры из Инфовотч валят, видать, там всё фигово». Даже какие-то непрофильные телеграмм-каналы выступили. Вот уж никак не ожидал такой славы.

Дочитав до этого места, я понял, что материал стоящий. Т.к. я новостей не читаю, то сразу проснулся интерес. Сразу зароились вопросы – кто ушел из Инфовоча? Почему? Почему все решили, что все фигово?

Как говорится, не дождётесь. Во первых, уйти так, чтобы после тебя всё осталось работать и твой уход никак не сказался на бизнесе — знак качества менеджера,

Тут нам говорят, что менеджеру надо уходить, когда все работает. Видимо, когда не работает – уходить не надо.

хотя это больше касается не меня, а Кости и Лены,

Костю и Лену знаю лично. Отличные продавцы.

построивших лучший в отрасли отдел продаж.

So-so. Но уж точно неплохой. Рустэм Нилович всегда был немного пафосен, за что мной и любим.

Во вторых, если начальнику долго сидеть на одном месте, то у подчинённых замедляется стимул к росту — такого не подсидишь.

Главный стимул к росту – подсидеть начальника? Действительно, если все работает – надо уходить.

А теперь молодёжь получила свой шанс.

Шанс поработать там, где все работает?

Мои проекты в Инфовотч — Апперкат и Атак Киллер — стали частью продуктового портфеля Инфовотч и уже не требуют отдельного лидера.

Теперь там коммунизм?

Так что не беспокойтесь — лидер на DLP-рынке не поменяется,

Ъ.

а челленджер в Application Security и защите АСУ ТП и дальше будет активно беспокоить других игроков.

Про это ничего не слышал, но допустим.

А у заказчиков всё также будет выбор из нескольких российских решений,

Решений чего? DLP?

а, с другой стороны, не нужно будет выбирать между сертифицированным и работающим решением.

Инфовотч – это сертифицированное или рабочее решение?

Как много вопросов и как мало ответов. Поэтому решил копать дальше. И нашел инфоповод, который породил данный текст.

Прочитаем инфоповод

Оказывается, Рустэм Нилович уходит в компанию BI.ZONE.

https://bi.zone/ru/news/bi-zone-usilil-kommercheskiy-blok/

19 октября 2020 года, Москва — Директором по росту компании BI.ZONE стал Рустэм Хайретдинов,

Директор по росту компании это кто? Не хочется шутить по Агушу. Тут начинают закрадываться смутные сомнения.

до этого более десяти лет занимавший должность вице-президента группы компаний InfoWatch.

А еще он был учредителем (об этом ниже).

В его обязанности входит управление фронт-офисом BI.ZONE:

Фронт-офис – это колл-центром что ли? Я понимаю, что в некоторых компаниях фронт-офисом называют продавцов, но так они в основном с физиками работают.

коммерческим блоком и подразделениями, ответственными за маркетинг и PR.

Понятно, Хайретдинова взяли, чтобы увеличить продажи.

Вместе с Рустэмом направление продаж BI.ZONE усилили его коллеги,

Рустэм Нилович не шибко продажами занимался. Он больше этакий Лукацкий на максималках – статью там написать, с презой выступить, на гитаре поиграть.

с которыми они вместе работали с момента создания коммерческого департамента InfoWatch, — Константин Левин и Елена Сучкова.

Мало ли кто с кем работал с момента создания чего-либо? Я вот долго работал, сидя рядом с программистами, от этого программистом не стал…

Эта команда известна тем, что вывела компанию InfoWatch в лидеры российского DLP-рынка.

Т.е. Рустэм, Костя и Лена? Думаю, тут кому-то должно стать обидно…

В BI.ZONE Константин занял должность коммерческого директора, а Елена — должность директора по продажам.

Поздравляем.

Основная задача новых руководителей — помочь BI.ZONE в течение трех лет стать крупнейшей компанией на рынке сервисов кибербезопасности в России и СНГ, а также добиться устойчивого развития бизнеса на международной арене.

Держим кулачки.

«Цель поставлена более чем амбициозная, но мы с командой BI.ZONE настроены на победу,

Победа при поставленной цели… Т.е. цель стоит победить?

с ресурсами тоже все в порядке — уверен, что все получится. Сейчас экономический кризис подталкивает организации к сокращению расходов, в том числе и через аутсорсинг,

В среднем аутсорсинг в 3 раза дороже собственных специалистов…

а меры против коронавируса усилили важность цифровых каналов и мероприятий по их защите. Здесь важно сохранять баланс и предлагать рынку недорогие и эффективные решения, которые уже получили высокую оценку наших текущих клиентов», — поделился Рустэм Хайретдинов.

Рустэм Хайретдинов окончил механико-математический факультет МГУ им. М. В. Ломоносова и аспирантуру Института механики многофазных систем РАН. Рустэм — президент Ассоциации по вопросам защиты корпоративной информации (BISA). Автор курсов, посвященных различным аспектам взаимодействия кибербезопасности и бизнеса. Преподает на программе MBA в РАНХиГС при Президенте РФ, Сколтехе, ведет занятия в нескольких корпоративных университетах, выступает с лекциями в рамках профориентации студентов ведущих вузов. Имеет более сотни публикаций по кибербезопасности в профильной, общественной и научной прессе.

И курсы, и сообщество, и статьи, и преподование. Когда же Рустэм Нилович найдет время, чтобы победить поставленные цели?..

И тут я уже совсем засомневался. Ведь Рустэм Хайритдинов…

Владелец заводов, газет, пароходов

…является совладельцем Infowatch. По крайне мере, так написано на сайте Инфовоча.

Идем проверять. Действительно, пока Рустэм Нилович Хайретдинов является соучредителем

  • ООО «ЛАБОРАТОРИЯ ИНФОВОТЧ» (10%) (владеет исключительными правами на Infowatch);
  • ООО «АТАК КИЛЛЕР» (10%).

Другим учредителем является  ООО «ИНФОВОТЧ УПРАВЛЕНИЕ АКТИВАМИ». А всего там Инфовотчей целая куча.

Компании ГК Инфовотч

Так, на ООО «ИНФОВОТЧ УПРАВЛЕНИЕ АКТИВАМИ» наложено обременение… Опять надо гуглить:

https://www.interfax.ru/business/731172

Фух.

Т.е. в сухом остатке, потратив час времени, я остался с кучей неотвеченных вопросов:

  1. Зачем было Хайретдинову писать свой пост, если все хорошо?
  2. Зачем Хайретдинову уходить в Бизон, если все работает, и он является совладельцем большой и успешной компании?
  3. Зачем Бизон взял на работу владельца конкурирующей компании?

Поэтому я новости стараюсь не читать. Всего вам доброго.

Проблемы внедрения ИБ в больших организациях

Сегодня я хотел бы рассказать о проекте по внедрению системы защиты конфиденциальной информации на 5600 автоматизированных рабочих мест. Этот кейс мы реализовали в прошлом году. Он вобрал в себя множество типовых и уникальных проблем, которые могут возникнуть при внедрении в больших организациях. «Очень больших» — намекает картинка.

Источник

Характеристика объекта внедрения

Крупный военный завод. К сожалению, военные заводы не любят, когда распространяются об их деятельности в области безопасности и на каждом шагу упоминают их названия. Поэтому будем для лаконичности называть объект внедрения просто – военный завод.

На заводе работают порядка 16 000 человек на 5600 автоматизированных рабочих местах (АРМах). Инфраструктура расположена в двух ЦОДах плюс в мобильном ЦОДе. Итого 119 объектов/отделов на 15 площадках.

Состав внедряемых подсистем:

  • СЗИ от НСД плюс централизованное управление;
  • платы СДЗ плюс централизованное управление;
  • межсетевые экраны;
  • VPN-шлюзы;
  • система обнаружения вторжений;
  • анализ защищенности;
  • USB-токены;
  • SIEM-система;
  • антивирусная защита.

Вендоров называть не буду, чтобы не сочли за рекламу. Лучше расскажу про сроки. Начало работ — 15 июля 2019 года, окончание — 27 декабря 2019 года.

Специфика ИБ-внедрений

Можно долго дискутировать, какие проекты проще: ИТ или ИБ. С одной стороны, ИБ-проекты сильно опираются на готовую нормативную базу, что упрощает выбор технических решений и организационных мероприятий. ИТ-проекты же крайне бизнес-зависимы (за исключением инфраструктурных, конечно). В первую очередь здесь необходимо учитывать требования функционального заказчика, который будет взрывать мозг вам и вендору.

Но сложность ИБ-проектов кроется как раз в той самой нормативной базе. Когда требование есть, но реализовать его невозможно, во всяком случае в рамках текущего времени и бюджета. В противном случае или это требует изменения такого количества процессов в производстве, что вы даже не захотите начинать об этом думать. 

В рамках данного проекта мы должны были выполнить (сокращенный перечень):

  • постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказ ФСТЭК России от 28.02.2017 № 31 «Об утверждении Требований к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых организациями оборонно-промышленного комплекса»;
  • приказ ФСТЭК России от 29.05.2009 № 191 «Об утверждении Положения по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну»;
  • приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Не вдаваясь в подробности конкретных положений, те, кто с ними сталкивался, думаю, могут представить конкретные проблемы реализации. Однако хотелось бы заострить внимание на следующих моментах.

  • Система защиты должна была быть аттестована, а потом проверена регуляторами, что очевидным образом максимально повышает приоритет задаче: неукоснительное выполнение требований.
  • Требования прописаны в государственном контракте, и несмотря на то, что в данном списке есть неприменимые к заводу нормативно-правовые акты (НПА), их требования необходимо выполнять. 
  • Некоторые НПА предъявляют разные требования к одним и тем же элементам, а следовательно реализовывать их надо будет все. Т.е., если один НПА предъявляет минимальные требования, а другой – повышенные, реализовывать надо будет по максимуму.
  • В информационной безопасности, к сожалению, небольшой перечень решений, которые можно было бы применить. Так что если средство защиты не подходит к конкретной ИТ-архитектуре, то заменить его очень сложно, тем более в рамках четкого ТЗ по 44-ФЗ.
  • При отсутствии технической возможности выполнения требований, можно применить организационные мероприятия. Но это потребует огромного количества согласований и может растянуться на годы в такой огромной организации, как военный завод. А срок исполнения проекта ограничен.

Здесь мало что можно порекомендовать. В случае невозможности реализовать конкретное мероприятие, его можно попробовать согласовать с региональным регулятором. При замене технических мер организационными, если вы точно не укладываетесь в сроки, необходимо подготовить план мероприятий, который должен включать:

  1. Четкие этапы внедрения новых мер.
  2. Сроки данных этапов.
  3. Ответственных за выполнение плана.
  4. Обязательное обучение сотрудников и ответственных.
  5. Быть принятым на уровне организации.

Источник

Чужой проект

Так случилось, что данный проект изначально вел другой интегратор. В течение трёх лет по всем правилам был проведен аудит и техническое проектирование. В начале 2019 года завод готов был заключить договор с единственным поставщиком на работы по внедрению, но… интегратор ушел, что называется, «в несознанку». Он перестал отвечать на письма и звонки, а когда все же удалось с ним связаться, ответил, что данный проект его не интересует.

Это породило две проблемы – в проекте была чужая спецификация, и сроки уже начали поджимать.

Чужая спецификация

Чужая спецификация в информационной безопасности — не такая уж и большая проблема. Как уже упоминалось, на рынке средств защиты информации круг решений скромный, и от большинства знаешь, чего ожидать.

Проблема крылась в другом: за строчкой в спецификации – 5600 СДЗ —  может скрываться внедрение на одной площадке, а может и по всей области (в итоге площадок оказалось 15). В данной строке не виден парк конечных станций, их распределение и готовность к внедрению.

Плюс к этому из спецификации не прослеживалось, что реализованы все необходимые подсистемы безопасности. Также в проекте была заложена SIEM-система, что накладывало дополнительные ограничения на подключаемые средства защиты и системы. Вишенкой на торте стала спецификация серверного оборудования в составе  трех серверов, одной СХД и одного ноутбука (!), что, мягко говоря, маловато.

В этот момент стало понятно, что, если и ввязываться в данный проект, то необходимо провести минимум рекогносцировку на местности. Так как изначальный проект можно изучить только на месте, мы сформировали команду из четырёх человек, усилились представителями вендоров и выехали на объект.

Посмотрев первоначальный проект и предполагаемые проблемы, стало понятно, что всю спецификацию надо менять. Например, прошлый проектировщик заложил 2000 плат СДЗ с локальным (!) управлением, что должно было стать катастрофой ещё на этапе внедрения.

Мы изменили спецификацию: просто заменили конкретные позиции без увеличения количества и качества. Теперь все стало хотя бы напоминать рабочее решение, но повлекло за собой фундаментальные проблемы, которые чуть не привели к краху всего внедрения. Подробности ниже.

Время внедрения

В связи с отказом от выполнения работ предыдущего поставщика сильно сократился срок внедрения. Первоначально планировалось все реализовать за 12 месяцев, но т.к. пришлось организовывать конкурс, его отыгрывать, проводить пресейльные мероприятия, согласовать и организовать подписание договора по 44-ФЗ с казначейским сопровождением, в чистом остатке на внедрение у нас оставалось менее 6 месяцев.

В принципе, этот срок был уже на грани возможностей. Камнем преткновения стала установка 5600 плат СДЗ (средство доверенной загрузки, которое защищает рабочую станцию на этапе загрузки BIOS). Каждая плата должна быть установлена в компьютер путем нехитрых манипуляций: прийти на место, выгнать пользователя, снять крышку корпуса, вставить плату, загрузиться, протестировать плату, провести настройку, завинтить крышку, отдать компьютер пользователю.

В идеале, это занимает 15 минут. При планировании же мы ориентировались на час работы. Итого 5600 трудо-часов. Применив нехитрые статистические методы, стало ясно, что на эту работу потребуется минимум 10 человек. Собственно, на этом работу можно было бы и закончить. Ни один интегратор в здравом уме не отправил бы 10 инженеров в командировку из Москвы на 3 месяца крутить компьютеры. Во-первых, это очень дорого и накладно, а, во-вторых, это верный способ этих инженеров потерять.

Выручило нас то, что у ЛАНИТ в данном регионе есть ресурсный центр (у нас их несколько по России), который плотно взаимодействует с региональными вузами. В этот момент у них начался очередной раунд стажировки студентов. Договорившись с коллегами, обеспечив транспорт, питание и контроль над молодыми специалистами, мы получили 15 стажеров на внедрение плат.

15 июля 2019 года ГИП, руководитель проекта, три аналитика и три инженера из Москвы, 15 студентов-стажеров, руководитель ресурсного центра, его заместитель, бригадир стажеров и два представителя вендоров зашли на завод, чтобы начать работу.

Сложности согласования

Каждая более или менее крупная организация обрастает большим количеством сопутствующих бизнес-процессов и в конце концов бюрократией в хорошем смысле слова. Организация работы 20 человек уже требует определенного упорядочивания, что сложно сделать народными методами, то есть устно. Появляются положения, регламенты, инструкции (я уже писал, о том, как они появляются), что в конечном счете приводит к наличию множества параллельных структур, которые напрямую в проекте не участвуют, но мнение которых надо учитывать (бюрократия в плохом смысле слова). 

Приведу два примера. В начале проекта в июле мы решили согласовать с бухгалтерией завода форму закрывающих актов (у нас было шесть промежуточных и один закрывающий). Когда мы принесли подписанную форму закрывающего акта бухгалтерам 24 декабря, оказалось, что форма совершенно неправильная. Да и промежуточные хорошо бы поправить, хотя те же самые формы были еще раз согласованы внутренним порядком в начале декабря. Спектр эмоций команды проекта с обеих сторон можете себе представить.

Бывают сложности и внутри проекта. Это уже второй пример. Когда мы подписали договор и начали работы, все резко осознали, что в спецификацию надо внести изменения из-за того, что требуемые серверы не успеют прийти вовремя. Сразу же эти изменения обговорили и потом четыре месяца согласовывали их в спецификации внутри команды проекта со стороны заказчика, так как любые решения у нас должны пройти стадию тестирования. Этот процесс мы не можем завершить, так как нет серверов. Серверы не можем заказать, так как заложенные не успеют прийти, а планируемые никто не будет заказывать без изменения спецификации. Круг замкнулся.

В таких случаях надо переходить сразу к пятой стадии – принятие. И, конечно, хорошо бы знать особенности своих заказчиков, чтобы быть готовыми к подобным поворотам и играть на опережение. Заранее официальными письмами все согласовывать.

Источник

Сложности коммуникации

В заключение хотелось бы осветить типовую, но не менее болезненную тему – коммуникации. Если внутри своей компании исполнитель может договориться и прийти к единой точке зрения, то проблемы с общением внутри заказчика встают наиболее остро. В нашем случае в команде проекта со стороны завода было три подразделения: айтишники, ИБ-специалисты и отдел технической защиты информации (ТЗИ). 

По всем ключевым вопросам общение делилось на три стадии.

  • Кулуарное или неофициальное обсуждение. Самый простой и эффективный способ, с помощью которого решались все вопросы, не затрагивающие других уровней и зависящие от одной из вертикалей.
  • Официальное обсуждение на рабочем уровне. Общение, требующее утверждение всех заинтересованных отделов. Это совещания, плавно растягивающиеся на несколько часов, когда все всё понимают, но имеют старые обиды и противоречия. Цель данных совещаний — закрепить протоколом те или иные решения, влияющие на проект. 
  • Официальное обсуждение на утверждающем уровне. После рассмотрения вопросов рабочей группы надо получить согласование руководителя данной вертикали. Обычно руководителя очень сложно застать на месте, и у него есть особое, зачастую перпендикулярное мнение по текущему вопросу.

Не буду описывать особенности коммуникации на каждой из стадий. Заострю лишь внимание на единственном решении, доступном исполнителю. Любую устную договоренность необходимо фиксировать письменно. Даже если все трое представителей заказчика пришли к определенному решению, завтра они совершенно спокойно могут об этом «забыть», и вы начинаете обсуждение сначала.

Способов закрепления договоренностей немного (в порядке убывания).

  1. Протокол рабочей группы с подписями участников (за полгода я подписал их десятки).
  2. Официальное письмо заказчика. Часто, чтобы что-то двинулось, надо, чтобы заказчик послал соответствующий запрос или требование. Разумеется, это письмо будете писать вы.
  3. Официальное письмо исполнителя. Если нет ничего лучше, пишите официальные письма. Проблема данного способа в том, что письмо совершенно спокойно может потеряться в канцелярии или у секретарей. У нас однажды 15 коробок с платами потерялось на проходной, что уж говорить о листе бумаги.
  4. Проектная документация. Иногда при понимании всех причастных можно требуемое прописать в утверждаемых документах. Мол, оно всегда там было.
  5. Письмо электронной почтой. В крайнем случае фиксируйте все в электронной переписке. В случае чего вы сможете сослаться на то, что информировали заказчика. Хотя шансов немного.

Это лишь малая часть проблем, с которой мы столкнулись. Несмотря ни на что, проект был нами сдан вовремя и уже прошел несколько проверок. Заказчик остался доволен, и мы продолжили с ним сотрудничество.

А на сегодня все, до новых встреч.

P.S. Оригинал статьи.

Посиделки ПоИБэ — да будет битва!

Нет, ничего лучше, чем забойный баттл. Конечно, если он организован честно. 8 мая будет мероприятие в нашей поибэ. И тема заявлена моя любимая – BYOD против in-house. По старой доброй традиции выскажу ожидания от дискуссии.

Преамбула

Самой теме BYOD – 10 лет в обед. Очень давно ничего не было слышно от адпетов BYOD, тема старая и не хайповая. По критериям безопасности BYOD почти всегда не проходит, к тому же очень дорог, и даже лидеры рынка от него отказываются.

Но у нас случилась эпидемия короновируса, которую многие BYODовцы и примкнувшие к ним удаленщики восприняли, как знак свыше, чтобы вновь напомнить о себе. Думаю, у них появились новые аргументы.

Главные тезисы

Я сам выступал в подобных дебатах, и очень  хотелось бы видеть соблюдение следующих правил:

1. Отсутствие джинсы

Некрасиво, когда один из участников тратит все свое эфирное время на рекламу поставщиков решений для BYOD. Надеюсь, участники воздержатся от этого.

2. Четкость определений

Участники должны говорить на одном языке. Не примешивать к BYOD удаленную работу. Четко определять, что такое информационная система, к которой нужен доступ с личных устройств (кроме почты). Удаленщики должны прокомментировать, почему в период текущей пандемии крупные компании за наличные скупили большое количество ноутбуков для организации удаленной работы своих сотрудников.

3. Четкие критерии

Хотелось бы услышать от участников, почему выгодно именно их решение. Крайне желательно с реальными кейсами. Очень хотелось бы услышать мнение адептов BYOD и удаленной работы о решении IBM об отказе от удаленки и BYOD.

4. Отсутствие популизма

Очень хотелось бы, чтобы участники не скатывались в «за все хорошее, против всего плохого». Не аргументировали свою позицию «мировыми трендами», которых либо не существует, либо они провалились. То, что мобильные устройства сейчас есть даже у младенцев, не аргумент в дискуссии о безопасности удаленного доступа.

И, разумеется, не применять квантор всеобщности – если кому-то лично удобно работать удаленно, это не значит, что будет удобно и всем остальным.

5. Без фуфелов

И, конечно, очень хотелось бы, чтобы участники не пользовались демагогическими приемами. Очень уж популярно у нас в ИБ стало изобретать некий страшный фуфел, который с блеском разбивается и побеждается.

Особенно это касается адептов «неэффективной офисной работы». Если она так неэффективна, то в чем конкретно, сколько это стоит, и как ваше решение поможет это исправить.

С нетерпением жду начала батла. Приходите.

Фриланс в ИБ

В последнее время поднялась тема дополнительного заработка для информационных безопасников. Видимо, бизнес-тренеры и их адепты основательно проникли и в нашу отрасль. А вспомнилось мне это благодаря Рустэму Хайретдинову. Поэтому с него и начнем.

С оказией зашел в Facebook и наткнулся на воспоминания Рустэма Ниловича:

Я не претендую на открытие Америки, но в 2010, когда у меня не было денег на найм мегаспецов, я их арендовал. Мне писали стратегию продвижения, корпоративную брошюру, ядро платформы и другие специфические софты, профессионалы, которые выступали кейноут спикерами на многотысячных конференциях, заведовали кафедрами и работали за многие мильёны на лучшие компании. Они никогда бы не пошли ко мне работать не просто потому, что я бы их не потянул по зарплате, но и по широте и масштабу задач — мои были слишком нишевыми для них. Но я платил за результат, а они могли дать его быстро и не особо напрягаясь, а сами поднять за выходные незапланированных денег на новую дорогую покупку или путешествие в Париж бизнес-классом. Чего уж скрывать, некоторые из них при этом даже нарушали корпоративный трудовой договор, явно запрещающий им делать это.

Потому что это win-win: деньги для них не главное, но обязательное условие, профессионал не работает бесплатно, но плюс к этому они тешат своё тщеславие, участвуют в новом проекте ничем не рискуя, видят плоды своего труда. Я же получаю за календарный месяц (профессионал работает над моим проектом только в свободное от основной работы время) результат работы топового специалиста по цене полугодовой зарплаты посредственного сотрудника той же отрасли — то есть быстрее, качественнее и дешевле, как бы не говорили, что три этих свойства несовместимы.

Ни на что не намекаю, но похоже опять у крутых специалистов стало больше свободного времени. Главное, чтобы результат работы был измерим и отчуждаем.

Как мы видим, ничего на свете не меняется. Всегда есть люди, которые могут сделать работу, и компании, которые хотели бы получить качественный результат, но не могут себе это позволить по полному прайсу. При обоюдном желании специалист и компания договариваются на сдельную или проектную работу. Собственно, это основа фриланса. Сделал и ушел.

Но мы сразу же сталкиваемся с неудобными моментами, на что и указал Рустэм Нилович: как закрепить договоренности?

Самый очевидный способ – договор. А отношения на договорной основе неудобны обеим сторонам.  Для заказчика основная трудность будет состоять в разработке ТЗ. Если он слабо разбирается в тематике, ТЗ вряд ли будет грамотным. Фрилансер, выполнив условия договора, не захочет еще некоторое, довольно длительное время, сидеть рядом с заказчиком и переделывать работу под его недовольное и неуверенное «а я думал, тут вот так будет, а получилось не так…». Умный фрилансер заберет деньги и уйдет.

Но у него на руках договор, а значит, ему необходимо удовлетворить нужды налоговой, а там, глядишь, на бизнес-класс до Парижа не хватит. Не, фрилансеру это не нужно. Да еще и с работы уволить могут за нарушение корпоративного трудового договора.

Поэтому мы переходим ко второму варианту – по дружбе/по понятиям. Т.е. все то, что должно было быть в договоре, обсуждаем устно, максимум закрепляем письмом, и вперед. Разумеется, деньги тебе заплатят сразу по достижении результата (или не заплатят, ведь при отсутствии договора и такое может быть). Конечно, и у заказчика могут быть проблемы. Рустэм Нилович рекомендует набирать на работу топовых специалистов, но не говорит, как нам оценивать их работу (при условии, что мы не разбираемся в данном вопросе, зачем бы иначе мы искали специалиста). То есть втюхать нам могут абсолютно любой результат – проверить его мы не сможем. Нельзя забывать и про геморрой с обналичкой (ака уход от налогов), но это действительно будет намного дешевле, чем брать сотрудника в штат и платить за него все налоги. Тут Рустэм Нилович прав.

Давайте посчитаем для верности, пользуясь критерием Хайретдинова. Проект фрилансера стоит полугодовой зарплаты среднего специалиста — вот вам и критерий, когда фрилансера брать выгодно. Например, средняя зарплата 60 т.р., то за проект имеет смысл платить не более 300 т.р., если больше – то надо уже крепко думать. За такую сумму топовый специалист в вашу сторону не посмотрит.

Где же в безопасности нам может потребоваться помощь фрилансеров? Рустем Нилович делится с нами опытом. Итак, он заказывал:

  • стратегию продвижения;
  • корпоративную брошюру;
  • ядро платформы;
  • специфический софт.

Начнем со стратегии. Топовый специалист наверняка создаст ее качественной. Вопрос лишь в том, что с ней станет, когда специалист помашет нам рукой, не задерживаясь в штате наших сотрудников. Скорее всего, она осядет мертвым грузом, не внеся изменений в бизнес-процессы компании, зато заказчик сможет писать и говорить о том, что он заказывал стратегию продвижения у топового специалиста.

Корпоративная брошюра, очевидно, не стоит 5 тысяч долларов. Во всяком случае в 2010х, а сейчас да – упаковка все, функционал вторичен.

Софт же стоит, как правило, гораздо дороже указанной суммы, и за выходные его не разработаешь. Но, очевидно, Рустэму Ниловичу очень везет, и ему достались именно такие ребята. Тут тот же вопрос, что и для стратегии – кто будет поддерживать этот софт после ухода фрилансера? Разумеется, все зависит от вида софта, но Рустэм Нилович пишет, что фрилансер разрабатывал ему ядро платформы. Что ж, ему повезло уже дважды.

И последний вопрос – сроки. Ни один работающий фрилансер не подпишется на масштабную работу длительностью в год. Ему нужны легкие и, желательно, быстрые деньги. Подавляющее количество фриланс-проектов, которые я видел, длилось не более 2 месяцев. Что можно успеть сделать за это время? Можно успеть написать почти любой документ или даже пачку документов. Когда я был литературным негром, с трудом укладывался в 6 месяцев на 300 тысяч знаков.

Программирование же обычно занимает гораздо больше времени, оно затратнее в коммуникациях как для исполнителя, так и для заказчика. Представляете, сколько времени уйдет на написание ядра неизвестного тебе софта? Я не представляю. Может быть, действительно пара вечеров, а потом можно и в Париж.

В любом случае хочу сказать Рустэму Ниловичу спасибо за интересную историю. Надеюсь, она реальная, а не написана для коротания долгих карантинных вечеров.

В следующий раз рассмотрим фриланс и фрилансеров на примерах. До новых встреч.

P.S. Для истории:

Паразиты&ИБ

Сегодня у нас не про ИБ, но разве что чуть-чуть. Сегодня у нас про фильмы, и как информационная безопасность на них похожа. Конечно, можно было бы взять что-нибудь эпичное (вроде, Джокера), и рассказать, как наша ИБ сходила медленно с ума, работая за три копейки, пинаяемая модными подростками, но произошел общий бунт и мы возглавляем его, носимые на руках (нет). А, вот, на что наша отрасль похожа, так это на оскороносный фильм «Паразиты». Об этом и поговорим.

Надо сказать, что я посмотрел всех претендентов на Оскар до премии в кино (за исключением Паразитов). Все фильмы мне фильмы мне понравились, некоторые прямо очень-очень. В этом году вообще очень сильный состав, но выиграл, кто выиграл. И я, разумеется, решил к этому шедевру прикоснуться.

Скажу сразу, фильм хороший, для корейских, наверняка, так и отличный. Общая визуальная составляющая на высшем уровне (вроде, за нее в первую очередь и дали). История в духе Тарантино, могла бы даже понравиться и осесть в коллекции, финал с потугами на вечные социальные проблемы о материальном неравенстве и классовой ненависти. Но…

Надо сказать, что фильм я смотрел вдумчиво в три приема. Первый раз я остановился на моменте, как мама устроилась на работу. В этой части я прямо орал. Фильм виделся этакой вариацией на «Поймай меня, если сможешь». В серьез виделась логика в поступках главных героев, которые старались улучшить свою жизнь всеми доступными способами. И пусть герои действуют, переступая через головы других, но зато каков реализм. Ведь именно история, в которую веришь, является лучшей. Тут фильм мог превратиться либо в комедийный, либо с оттенками драмы. Про милых, или не очень мошенников. И сюжет можно было бы поворачивать и так и эдак, например, героев могло в конце ждать неминуемое фиаско. Но это не про фильм Паразиты.

Второй раз я прервался, когда хозяева вернулись с кемпинга. Эта часть фильма просто трешак. Где-то даже задорный. Разумеется, эту часть запускает приход старой экономки и огромный рояль в кустах. Спойлерить не буду, сами посмотрите. Да, этот ход поддает драйву всему действу, иначе был все грозило скатиться в черт пойми что. Посудите сами, умные и талантливые мошенники решили устроить пьянку в доме людей, которые вытащили их из бедности. Хм… что могло бы пойти не так? Если после первой части, я думал что нас ждет какой-нибудь крутой обман или афера, например, женить сына на дочери хозяев, перед этим устранив любым способом (добрым – и вот, вам комедия, через убийство – реалистичная драмма) остальных. То в конце второй части ожидал что-то в духе Бешенных псов, где все друг друга мочат и (не)получают по заслугам. Здесь уже в голос не орал, но было интересно.

Финальная часть – полный провал. Более банальной и ординарной развязки придумать было сложно. Гениальные оборванцы начинают вести себя, как непроходимые тупицы и получают два раза камне по голове. Хозяина дома убивают, потому что наши мошенники не могут постирать одежду с кондиционером или залить себя духами, хотя деньги у них на это были. Хозяева дома вообще предстают самыми положительными героями, они работают, давая возможность заработать другим, а их работники их обманывают и в темную эксплуатируют. За это хозяева расплачиваются психозами детей и в итоге смертью. Вот, уж действительно – не делай добра, не получишь зла.

В фильм пытались притянуть социальный подтекст, но вся классовая ненависть между героями и хозяевами надумана. Хозяева не давали поводов для ненависти, обращались с героями нормально, не грубили и не хамили. И, вдруг, за десять минут до конца фильма, наши бедные герои их возненавидели. С таким же успехом они могли сменить пол, или уйти в секту. Предпосылки теже самые были.

Итоговый монолог сына – крайне спорен для оскораносного кино. «Достать денег любыми способами, но не через труд и учебу». Т.е. скорее всего, нелегально, путем обмана и криминала. Грустно.

Главный итог по фильму Паразиты, что он заявляет много чего (и комедию, и драму, и триллер), но ничего не доводит до конца. Например, линия друга-студента так и почила в бозе. Да, героев настигает возмездие, но не благодаря их действиям, а тупости (кто просил сына спускаться в подвал?) и роялям в кустах (не открой они старой экономке, можно было бы обойтись без массовых убийств). И сын не извлек выводов из данной истории, воруй-убивай, честный труд побоку. Фильм красивый, и один раз его точно стоит посмотреть, но заслуживает ли он Оскара – большой вопрос.

И, вот, досмотрев фильм – я подумал, что у нас все как в Паразитах. Дикая смесь услуг и продуктов, без четкой идентификации. Да, мы межсетевой экран, но с функциями DLP. А наша DLP это DLP, но с функциями SIEM. И так далее. Само по себе это ни хорошо, и ни плохо. Но эта каша переносится на всю отрасль.

Так у нас есть крупные и не очень вендора, которые ходят и продают сами. Зачем вендору штатные аккаунты в большом количестве я затрудняюсь сказать. Разумеется, возникают всякие паскудные истории, когда вендор уводит у интегратора заказчика, что не добавляет здоровья рынку и репутации производителю. Интеграторы у нас не лучше, спроси любого, что ты умеешь делать и получишь ответ «Все!». В таких, случаях хочется спросить, а что из этого ты умеешь делать хорошо? Кстати, знаете как определить хорошего исполнителя от всеумеющего? У всеумеющего на сайте соседствуют услуги по ISO 27000 и защите АСУ ТП.

И так в нашей поибешечке во многом, а хочется чего-нибудь настоящего. Ну, хотя бы в стиле Джокера, не говоря об «Однажды в Голливуде».

Всего вам доброго.

Первое свидание с мужчиной

Здравствуйте, здравствуйте, мои дорогие. В период долгой разлуки имел массу времени подумать о жизни нашей бренной вообще и нашей поибешечке в частности. И кривая мыслительного процесса завела к теме, с которой хоть раз в жизни столкнётся любой мужчина – свидание с другим мужчиной. Где бы я ни был, куда бы ни заходил – везде наблюдал одну-две парочки, мило о чем-то общающихся. Предлагаю эту тему обсудить.

Эти разные незнакомцы

Говоря о первом свидании, мы в первую очередь говорим о незнакомых или мало знакомых людях, с которыми, наконец, остаемся вдвоем. Так уж получилось, что на нашей планете только два гендера – мужчины и женщины, и ограничивать себя только женщинами — это мизандрия. Это название ненависти к мужчинам, а мужчина с мизандрией должен ненавидеть и себя лично, что не добавляет душевного здоровья и серьезно сдвигает чердак. Сложно жить ненавидя себя, так и руки на себя наложить недолго.

Значит, определились, для общего здоровья встречаться с мужчинами нужно. И множество этих встреч будет происходить тет-а-тет, в приватной обстановке, чтобы лучше понять собеседника. А так как мы говорим о незнакомцах, то рано или поздно у вас будет первое свидание. И здесь вас может поджидать множество неочевидных моментов, которые могут разрушить нарождающуюся крепкую мужскую дружбу. Это уже потом, когда ваши отношения претерпят временные кризисы (обычно это 1 месяц – «влюбленность», 3 месяца – «страсть», 1 год – «остывание» и 3 года – «новые ощущения»), вы уже сами станете разбираться, как вести себя с тем или иным партнером, но в самом начале можно наделать ошибок.

Как выбрать место?

Как вы понимаете – выбор места очень важен. Разумеется, сразу отметаем – встретиться у вас дома. Это сопряжено с определенным дискомфортом: надо убираться, носки собрать, да и пожрать надо что-то соорудить. Вряд ли заказанная пицца или пельмени настроят партнера на нужный лад. Плюсом не надо забывать о семье: жена и дети не поспособствуют приватности и доверительному разговору.

Также не стоит устраивать свидание на работе. Из минусов: никакая еда, чай-печеньки вообще ни о чем, а, как известно, путь к сердцу мужчины лежит через желудок. Минус номер два: время бронирования переговорок ограниченно, час, максимум два. А что можно успеть за это время?

Поэтому наш выбор – ресторан, кафе. Там вкусно кормят, можно расслабиться, а если позволяет время дня — немного выпить. К тому же всегда можно найти уединенный уголок, где никто не помешает вашему знакомству.

Для хорошего вечера ресторан должен удовлетворять трем из четырех условий (лучше, конечно, всем):

  • В меню должно быть хорошее мясо;
  • Пиво;
  • Виски;
  • Кальян.

Как задать тон встрече?

Если есть какой-нибудь нейтральный повод – Новый год, 23 февраля, День победы, — можно купить подарок. Так вашему партнеру будет проще настроиться на позитивный лад.

Что дарить? Тут уж смотрите сами, в зависимости от ваших финансовых возможностей и соответствия ситуации. Можете подарить ежедневник или iPhone. Цветы при первой встрече лучше не дарить, т.к. сложно угадать, какие именно мужчине нравятся.

О чем общаться?

Обычно в первые 5-10 минут становится понятно, ваш это человек или нет. Если человек закрыт, отвечает односложно – можно поговорить о чем-то нейтральном: погода, дороги, общие знакомые. Можно немного выпить, чтобы партнер расслабился. Если ничто не помогло, то не судьба. Лучше расстаться, и начать поиск в другом месте.

Если же человек раскрепостился, то дальше уж сами. Небольшая ссылка в помощь.

Надо ли платить на первом свидании?

Все мясо съедено, а виски выпито, жена написывает смски «когда будешь?». Пора закругляться. Вам приносят счет, и возникает ситуация – а кто будет платить? Тут возможны варианты.

Вариант 1

У нас уже давно завершились все возможные революции от социалистической до сексуальной, поэтому вы можете заплатить каждый за себя. Равноправный, но плохой вариант. Вряд ли ваши отношения будут теплыми и перейдут на другую стадию.

Вариант 2

Разделить чек пополам. Хороший вариант, если вы встретились с коллегой по работе и равны в статусе. Может стать началом хорошей дружбы. Но вряд ли вам удастся таким способом завладеть партнером целиком, он может легко найти связи на стороне.

Вариант 3

Оплатить чек самому. Тем самым вы показываете свое благое расположение к партнеру. Он вряд ли это забудет, но велик шанс напороться на альфонса, которому важны не вы, а ваши деньги и подарки.

И, разумеется, вы должны оплачивать счета молодых людей, которых вы затащили в пафосный ресторан, который им в обычной жизни не по карману. Ну, это как назначить встречу студенту в Бизоне.

Вариант 4

Позволить заплатить за вас. Чаще всего происходит, когда вы сам – молодой и горячий, но без денег. Тут уже смотрите сами, если вашего партнера это не обременяет, то можно и согласиться.

В нашей поибешечке, многое зависит, с кем вы встречаетесь и где работаете. Если в вендоре или интеграторе, то чаще будете платить вы. Поэтому не забудьте озаботиться представительскими расходами. Чтобы не улететь в трубу, заказчиков, с которыми мало шансов, можно водить по кофейням или на бизнес-ланчи.

Если вы заказчик, то, скорее всего, платить будут за вас, возить на такси и подливать безмерные дозы алкоголя. Тут уже вы сможете выбирать, кто вам мил, а кто нет.

А как вы поступаете с чеком на первом свидании?

Инвентаризация рисков ИБ: нормативные, методические и практические аспекты

Управление риском в широком смысле слова, и рисками информационной безопасности в частности, – это то, чем мы с вами занимаемся каждый день. Зачастую это происходит неосознанно, на автомате, однако, тем не менее, дает реальные результаты. Конечный результат управления риском – предотвращение ущерба объекту риска: вам, вашей семье, вашей компании, отдельным процессам, отрасли или государству в целом.

Вы можете подумать, что к вашей компании не применимо большинство рисков и уж точно никакого отношения не имеют риски информационной безопасности, т.к. «компания небольшая и брать нечего». Но даже в этом случае у вас есть ценный актив.

Можно украсть информацию о вашей производственной деятельности: закупочные цены, если вы что-то продаете, ноу-хау и секреты, если что-то производите. Даже ваши планы закупок могут представлять интерес.

Можно украсть персональные данные сотрудников и клиентов – их можно продать или оформить множество потребительских кредитов.

Можно получить доступ к банк-клиенту.

Можно воровать вычислительные мощности на ваших серверах, например, чтобы майнить биткоины, разместить там свой сервер или просто рассылать спам.

Можно просто воровать ваш интернет.

Чтобы этого не случилось, нужно обеспечить выполнение правил ИБ. Но прежде всего, необходимо выявить какие риски существуют и оценить возможный ущерб.

Заранее посчитанные риски

Классическое определение риска гласит:

Риск (от лат. resecō — «отсекать», «сокращать» или др.-греч. ῥιζικόν — «опасность») — сочетание вероятности и последствий наступления неблагоприятных событий.

А его формулу записывают так: Величина риска = вероятность события * размер ущерба

Вероятность в данном случае – вещь сугубо субъективная. Мы склонны перестраховываться, не понимая, что перед нами лишь иллюзия опасности. Причина этому уходит корнями глубоко в древность, а точнее к тем инстинктам, что принимают камень за льва. Здесь не страшно ошибиться и обознаться, однако эта ошибка дает шанс убежать от реального льва. Поэтому в первом приближении будем рассматривать риски лишь с точки зрения ущерба.

Для большого количества рисков уже посчитаны вероятность и ущерб. Существуют даже целые области математики, рассчитывающие риски для определенных отраслей. Например, есть актуарная математика, занимающаяся методами расчета, связанными со страхованием различных рисков, скажем, расчет риска дожития.

Или еще пример: известный расчет риска гибели в процессе авиапутешествия. Вероятность того, что пассажир, севший в самолет, погибнет в авиакатастрофе, составляет примерно 1/8 000 000. Таким образом, если пассажир будет садиться каждый день на случайный рейс, ему понадобится 21 000 лет, чтобы погибнуть.

Далее мы не будем рассматривать заранее известные и просчитанные риски, т.к. это не принесет практической пользы.

Инвентаризация рисков

Все основополагающие понятия в управлении риском мы повторили. Теперь же приступим к определению первого этапа – инвентаризации, или, если вы впервые выявляете риски, идентификации рисков. Чтобы не запутаться: выявляете риски первый раз для любого объекта – производите идентификацию рисков, все последующие работы по выявлению и пересмотру – инвентаризация рисков.

Идентификация рисков – это процесс (бесконечный процесс) определения факторов, событий, ситуаций, которые могут нанести ущерб.

Для успешной идентификации риска достаточно ответить на три простых вопроса:

  1. Какой будет ущерб?
  2. Какое событие/действие должно произойти, чтобы мы понесли ущерб?
  3. В отношении какого объекта должно произойти событие, чтобы мы понесли ущерб?

Вы могли заметить, что вопросы выражают обратную последовательность действий: ущерб <- действие <- объект. Этот способ используется для простоты. Когда вы станете опытнее, сможете использовать прямую схему: объект -> действие -> ущерб.

Объект риска

Объектом ущерба может выступать:

  • компания или ее часть;
  • бизнес-процесс;
  • информационная система;
  • банк данных или информация;
  • инфраструктура;
  • человек и т. д.

Объектом может быть вообще любой предмет, материальный или нематериальный актив, негативные действия по отношению к которому принесут ущерб.

Действие риска

Действия над объектом – перечень негативных операций над объектом, которые приводят к ущербу. К общим негативным операциям можно отнести кражу объекта или его части, повреждение или уничтожение, разглашение, несанкционированное использование и так далее.

В информационной безопасности выделяют следующие действия.

  1. Нарушение конфиденциальности – мы получаем ущерб от того, что что-то стало известно. Например, наша секретная формула стала известна конкурентам.
  2. Нарушение целостности – мы получаем ущерб от того, что наши данные неполны и/или изменены. Например, компьютерный вирус поменял все 0 на 9 в бухгалтерском отчете, что на один порядок увеличило налоговые выплаты.
  3. Нарушение доступности – мы получаем ущерб от того, что в определенный момент не получили доступ к нужной информации или услуге. Например, у нас не было доступа в интернет, чтобы выиграть очень важный аукцион, или мы вовремя не ответили на запрос контролирующих органов, потому что у нас свет отключили.

Источник действия – нарушитель

Чтобы в конце не запутаться, сформируйте для себя модель нарушителя. Речь о перечне источников действий, которые могут нанести ущерб. На первом этапе достаточно будет просто выявить группы нарушителей, например, сотрудники, конкуренты, хакеры, стихийные бедствия, технологенные факторы, «человеческий фактор» (глупость/некомпетентность) и так далее.

Выявить основные группы потенциальных нарушителей поможет понимание мотивов этих группы (за исключением техногенных и природных факторов, разумеется). Мне в этом помогает простая модель поведения субъекта (в порядке убывания):

  • финансовый интерес;
  • межличностные интересы;
  • доминантность.

К первой категории относится 95% потенциальных нарушений. Мир преступлений (а особенно киберпреступлений) изменился в прагматическую сторону, если из определенного действия нельзя извлечь материальную выгоду, то найдется очень мало желающих этим заниматься.

Ко второй категории относятся все случаи слежки, например, чтобы добиться внимания женщины или отомстить обидчику.

«Вершиной» мотивов является доминирование, когда те или иные действия совершаются «просто потому, что я могу». Например, обесточивание целого здания.

Теперь вы можете записать каждый риск примерно в таком виде:

Объект воздействия Нарушитель Действие Ущерб
1 Ноу-хау компании Сотрудники Кража Средний
2 Ноу-хау компании Конкуренты Кража Катастрофический
3 директор по ИТ и ИБ Техногенные факторы Пропажа информации с телефона владельца Катастрофический

Ущерб от риска

В завершение мы должны оценить ущерб. Оценку нужно производить в деньгах. В третьей строке таблицы мы описали риск увольнения директора по ИТ и ИБ. Это будет не только личной трагедией для топ-менеджеров, но и принесет ущерб компании, которой, как минимум, придется искать новых сотрудников.

В первом приближении можно остановиться на качественной оценке ущерба с градацией «незначительный-средний-высокий-очень высокий».

Методы инвентаризации рисков

Существует два больших множества методов инвентаризации рисков. Первое множество –отраслевые, или стандартизированные, методы.

Во многих отраслях и направлениях уже сформированы базы рисков, которые могут быть отнесены к тем или иным объектам. Например, в информационной безопасности можно воспользоваться Банком данных угроз безопасности информации ФСТЭК России. Каждый риск (угроза) имеет описание: объект, источник угрозы (нарушитель), описание (действие), последствия реализации угрозы (ущерб).

Задав в поиске «источники угроз и последствия», вы можете сделать первоначальную выборку угроз (в данном случае информационной безопасности) и начать с ними предметную работу.

Методик и стандартов определения рисков информационной безопасности достаточно. Если вы захотите лучше разбираться в рисках, то можно рекомендовать серию стандартов ISO 2700x, полностью посвященных рискам и риск-менеджменту.

Второе множество методов идентификации рисков я называю «рабоче-крестьянскими» – они являются родственными методам «что если?» (самым ярким представителем которых является методология SWIFT). Данные методы требуют больше времени для определения рисков, но лишены недостатков стандартизированных методов, т.к. учитывают особенности конкретного объекта.

Заключение

После проведения инвентаризации рисков, вам потребуется оценить последствия (ущерб) и выработать защитные меры от рисков. По отношению к выявленным рискам возможны следующие защитные действия:

  • ликвидация риска (например, за счет устранения причины);
  • уменьшение риска (например, за счет использования дополнительных защитных средств);
  • принятие риска (и выработка плана действия в соответствующих условиях);
  • переадресация риска (например, путем заключения страхового соглашения).

Этап инвентаризации рисков является ключевым для любого вида деятельности, чем больше рисков вы предусмотрите, тем менее разрушительными будут последствия от свершившихся рисков. Желаю вам, что бы вас не касались риски с катастрофическими последствиями.

3 декабря 2018 года, для журнала Connect WIT 2018 № 11-12