Проектируем ИБ-систему: нюансы и цели процесса

Проектируем ИБ-систему: нюансы и цели процесса

Проектируем ИБ-систему: нюансы и цели процесса

Чтобы предотвратить ИБ-риски, компаниям приходится выстраивать комплексы из различных решений, настроек, правил и политик. ИБ-проектирование стало столь же серьёзным и ответственным делом, как проектирование архитектуры ИТ-ландшафта или, как минимум, ключевой информационной системы. Расскажем о нюансах этого процесса.

 

 

 

 

 

  1. Зачем проектировать ИБ-системы?
  2. ИБ-проектирование — только для крупных структур?
  3. Проект ИБ-системы — гарантия безопасности?
  4. Как осуществляется проектирование?
  5. Как поступить, если не хватает средств?
  6. Нужен ли для ИБ-проектирования интегратор?

Зачем проектировать ИБ-системы?

К сожалению, проектный подход при формировании своих ИБ-систем применяют далеко не все компании. Дело здесь не только (и не столько) в пренебрежении требованиями информационной безопасности. Часто аспекты ИБ-проектирования неочевидны для менеджмента компании-заказчика. И это — повод хотя бы в общих чертах рассказать об особенностях разработки таких проектов.

Потребность в проектировании систем защиты информации может возникнуть у компании по двум причинам. Одна связана с обеспечением соответствия (комплаенс), когда создание такой системы диктуется нормативными правовыми актами, требованиями регулятора или внутренними политиками. Во-вторых, потребность в проектировании ИБ-системы может возникнуть просто по мере достижения компанией высокого уровня зрелости. Организация естественным образом осознаёт необходимость реализации комплексного подхода к обеспечению безопасности инфраструктуры.

С требованиями регуляторов ситуация во многом прозрачна. Они касаются государственных информационных систем, объектов критической информационной инфраструктуры, а также банковской сферы. Впрочем, такие требования могут содержаться и во внутренних документах самой компании. При этом некоторые организации занимаются ИБ-проектированием только в части защиты тех систем, которые подпадают под формальные требования.

Осознанность — гораздо более сложная материя. Она наступает, когда процессы в ИТ и ИБ организации становятся достаточно развитыми, приводя к пониманию, что создание проекта по мере выстраивания ИБ-системы может привести к ошибкам, которые не позволят нейтрализовать все актуальные угрозы и уязвимости. К сожалению, формирование такой осознанности — нечастое явление. Во многих случаях менеджмент компании даже не задумывается о том, что необходимо комплексное, а не ситуативное проектирование ИБ-систем.

В любом случае, приступая к проектированию системы информационной защиты, необходимо определиться с перечнем рисков, реализации которых нельзя допустить. Результаты такого анализа и становятся основой для разработки проекта. В зависимости от основного вида деятельности риски могут варьироваться, но объединяет их негативное влияние на основной процесс компании и репутацию, что выливается в финансовые потери. Для одних это может быть приостановка процесса предоставления онлайн-услуг (что равно потере прибыли), для других — предание огласке конкурентных разработок.

Именно на основе такого рискового подхода создавались федеральный закон 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» и его подзаконные акты, которые определяют недопустимые риски для государства и населения. Эти риски существуют как побочный эффект деятельности отдельных организаций, подпадающих под определение субъекта критической информационной инфраструктуры.

ИБ-проектирование — только для крупных структур?

Означает ли это, что проектирование ИБ-систем актуально только для крупных компаний? Однозначного ответа на этот вопрос не существует. Дело в том, что проектирование ИБ-системы отражает её целевое состояние, то, какой она должна быть и от каких рисков защищать. Вполне вероятно, что небольшая организация с парком компьютеров из двадцати машин и пары серверов, использующая две-три информационные системы, подвергается рискам порой куда более серьёзным и разнообразным, чем в разы большая структура. Хотя, казалось бы, вполне достаточно оснастить компьютеры и серверы простыми антивирусными средствами, чтобы обеспечить действенную защиту.

Ответ на вопрос о том, нуждается ли организация в ИБ-проектировании, может дать всестороннее рассмотрение бизнес-процессов, их сложности и зависимости от работы информационных систем, внутренних компетенций, которые имеются у компании. Рядовой системный администратор небольшой компании вполне может оказаться высококлассным специалистом, прекрасно разбирающимся в нюансах защиты инфраструктуры.

И, конечно, окончательный ответ на вопрос о необходимости проектирования для компании может дать только всесторонний аудит рисков, которым она подвергается, с определением тех из них, реализации которых допускать нельзя ни при каких обстоятельствах.

Проект ИБ-системы — гарантия безопасности?

Проект системы информационной безопасности основывается не только на перечне недопустимых рисков. Помимо него во внимание принимаются и другие факторы, включая технологические и экономические.

Все они становятся предметом обсуждения для проектной команды и команды специалистов самой компании. Вместе им необходимо разобрать существующие в организации бизнес-процессы, составить список бизнес-функций, информационных систем и сервисов, компонентов информационной инфраструктуры, которые их обеспечивают, и на этой основе определить все потребности в средствах ИБ.

Конечно, чем более квалифицированные специалисты привлекаются к разработке проекта, тем больше вероятность создания действительно эффективной системы. Но стоит иметь в виду, что даже заранее ожидаемый результат в итоге может оказаться неидеальным. Часть рисков, которые учтут проектировщики, могут оказаться для компании вполне приемлемыми, а заданные изначально приоритеты — измениться с течением времени, по мере развития защищаемой инфраструктуры или появления новых бизнес-процессов. Поэтому совместная работа проектной команды и команды заказчика должна продолжаться и после того, как будут определены все параметры создаваемой системы: в ходе кооперации могут быть выявлены новые нюансы.

Действительно, проект может оказаться малорезультативным. Это зачастую происходит по причине ошибок, допущенных на начальных этапах проектирования. Такие ошибки могут возникать из-за низкой компетентности исполнителя проекта или низкой вовлечённости заказчика. Так, например, невовлечённый заказчик может неправильно обрисовать границы своей информационной инфраструктуры или предоставить информацию не обо всех сервисах, требующих защиты. В свою очередь, некомпетентный исполнитель не выстроит вовремя диалог, который мог бы позволить избежать потери столь ценной для проекта информации. Результатом такого проектирования становится система защиты с очевидными белыми пятнами в охвате актуальных угроз, расширяющими спектр возможностей злоумышленника.

Проектируемая система защиты должна соответствовать тем задачам, которые ставятся перед нею бизнесом. И именно бизнес должен быть самой заинтересованной стороной на всех этапах проекта, что накладывает на него роль ответственного контролёра.

Как осуществляется проектирование?

Порядок проектирования ИБ-систем вполне укладывается в требования государственного стандарта, который определяет его этапы (ГОСТ Р 59793—2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»):

  • формирование требований,
  • разработка концепции,
  • техническое задание,
  • эскизный проект,
  • технический проект,
  • рабочая документация,
  • ввод в действие,
  • сопровождение.

При этом все перечисленные стадии — отнюдь не догма, их состав и очерёдность могут корректироваться в зависимости от особенностей заказчика. Распространено, например, объединение эскизного проекта, технического проекта и рабочей документации в технорабочий проект. Для маленьких же систем первые этапы могут быть упакованы в отчёт по аудиту и комплекс рекомендаций, на основе которых будет сформирован технорабочий проект.

Стоит учитывать, что проектирование ИБ-систем занимает не одну, а сразу несколько стадий проекта, от момента формирования требований и до создания рабочей документации.

Как поступить, если не хватает средств?

«Стоимость защиты информации не должна превышать стоимости самой информации» — таково золотое правило борьбы с угрозами. Иными словами, стоимость защиты не должна превышать убытков в случае реализации рисков. Организации, которые не могут выделить на создание ИБ-системы значительный бюджет, могут выстраивать её постепенно, поочерёдно «закрывая» наиболее актуальные для себя риски и дорабатывая систему по мере возможностей.

Возможен и другой вариант: проект системы разрабатывается целиком, а её внедрение осуществляется постепенно. В любом случае, приоритет должен отдаваться защите критически важных узлов инфраструктуры.

Нужен ли для ИБ-проектирования интегратор?

Привлекать ли стороннего интегратора для разработки системы информационной защиты — вопрос, ответ на который зависит от возможностей компании.

Правильным образом составленный проект должен учитывать такие нюансы, как:

  • конкретизация рисков в виде состава объектов защиты;
  • определение угроз для этих объектов;
  • определение защитных мер, нейтрализовывающих актуальные угрозы на этих объектах;
  • подбор средств защиты, организационных и технических мероприятий для реализации мер по борьбе с угрозами;
  • учёт всех инфраструктурных особенностей объектов защиты, в том числе исторических;
  • подбор производителей средств защиты, исходя из финансовых и технологических параметров проекта, а также особенностей лицензирования разных продуктов разных назначений;
  • определение ключевых и вспомогательных настроек оборудования и средств защиты;
  • недопущение существенного влияния системы защиты на бизнес-процессы компании;
  • технические расчёты по отказоустойчивости, кондиционированию, пожаротушению, потреблению электроэнергии;
  • инфраструктурная обвязка самой системы защиты;
  • расчёт численности и определение требований для персонала, который будет эксплуатировать и администрировать систему защиты; 
  • иные нюансы, влияющие на успешность внедрения системы защиты и выполнения поставленных перед нею задач.

Многие организации, особенно крупные, обладают достаточными компетенциями для того, чтобы разработать такой проект самостоятельно. Но большинству всегда мешают и недостаток экспертизы, и чрезвычайная нагрузка на ИБ-специалистов. Приглашение ИБ-интегратора также оправданно, если компания обладает необходимыми для этого средствами. Дело в том, что специалисты подрядчика будут объективнее и эффективнее при выполнении ключевой задачи проекта — аудите существующей системы безопасности и формировании на этой основе перечня рисков, от которых должна защищать создаваемая система. Исчезает фактор так называемого «замыленного глаза». 

При этом роль интегратора может не ограничиваться собственно проектированием. Его специалисты проведут и внедрение системы, а также, что не менее важно, смогут осуществлять её дальнейшие поддержку и развитие.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru