BIS Journal №4(51)2023

17 ноября, 2023

Замки на песке. Заметки безопасника

В ИT-индустрии специалистов, которые разрабатывают сложные системы и определяют их поведение, именуют архитекторами. Задолго до появления ИT-технологий так называли людей, которые проектировали здания и сооружения. Эта схожесть в названии профессии неспроста: построить сложную систему порой немногим легче, чем воздвигнуть многоэтажный дом.

В отрасли ИБ тоже есть архитекторы. Ими часто называют тех, кто проектирует систему защиты организации. И аналогия со строительством и здесь видна очень хорошо, а уж какое именно «здание» в итоге получится, зависит от бюджета, сроков, команды, используемых технологий, а также степени зрелости ИT-инфраструктуры. Развивая эту мысль, интересно подумать, а что же можно тогда сравнить с фундаментом системы защиты информации? На этот счёт можно долго дискутировать, и у каждого опытного ИБшника наверняка будет своё мнение. Со своей невысокой колокольни я бы сказал, что фундамент — это очень базовые процессы, причём из области скорее ИТ, чем ИБ. Навскидку я бы назвал следующие. 

  • Управление сетевыми активами: отлаженный и реально работающий процесс добавления (и удаления!) элементов корпоративной сети. У компании должна быть централизованная база данных своих цифровых активов. И когда что-то новое где-то в Сети появляется, в этой базе должна появляться новая запись, а когда актив выводится из эксплуатации, в базе напротив него должна ставиться соответствующая пометка.
  • Управление учётными записями: всё то же самое, но в отношении пользовательских (и сервисных) аккаунтов и назначенных им прав.
  • Управление процессами и документированием: опять абсолютно те же принципы, но в отношении процессов и документов.

Нетрудно заметить простую, но чрезвычайно мощную общую мысль, объединяющую все эти пункты: появление любого нового объекта, его изменение и вывод из эксплуатации должны сопровождаться соответствующим документированием.

Всё это, конечно, не новость, и перечисленные рекомендации в той или иной форме кочуют из стандарта в стандарт. Вспомним хотя бы NIST Cybersecurity Framework, стандарт ISO/IEC 27001, и его российского «брата» ГОСТ Р No ИСО/МЭК 27001-2021. Тем не менее на практике дела с этим обстоят очень и очень неважно. Автор заметок в своей карьере повидал немало крупных корпоративных инфраструктур, и, например, степень инвентаризации хостов сети по ощущениям мало где доходила даже до 70%. Наверное, плюс-минус такой же (если не меньший) уровень был и в двух остальных рассмотренных областях. 

Разумеется, тезис о том, что же именно является фундаментом системы защиты информации, можно оспорить. Но если хотя бы отчасти согласиться с изложенной выше точкой зрения, то становится очевидно, что на полусыром фундаменте крепкого здания не построить. По этой причине автор всегда испытывает богатую гамму чувств, когда в очередной раз видит, как крупная компания с упорством, достойным лучшего применения, сосредоточенно внедряет сложный комплексный продукт для защиты информации, при этом не имея толком представления о том, как же работает её сеть или хотя бы из каких узлов она состоит. КПД такого внедрения обычно невелик, а в особо выдающихся случаях может и вовсе быть отрицательным. 

К сожалению, «продавать» руководству «фундамент» сложно, особенно когда приходится конкурировать с красочными презентациями воздушных замков, которые якобы сделают драгоценное ИT-болото заказчика полностью неприступным для хакеров. А ведь от того, насколько прочны «сваи», зависит надёжность всей системы защиты. И нужно всегда помнить, что какой бы скучной, рутинной, некрасивой и бессмысленной ни казалась работа по выстраиванию базовых процессов в ИT-инфраструктуре, без неё нельзя всерьёз говорить ни о каком обеспечении безопасности. Потому что в отсутствие этого фундамента все усилия в конечном счёте занесёт песком сумятицы и неразберихи случайных изменений. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.12.2024
Банки оставили позади маркетплейсы в рейтинге «техноработодателей»
04.12.2024
«Т-Банк» предлагает защитить «близких»
04.12.2024
Минцифры раздаст золотые медали своим «выпускникам»
04.12.2024
«Позитив» — об итогах Standoff 14
04.12.2024
«Матрица» вынудила киберполицейских стать полиглотами
03.12.2024
Аналитический Центр «БизнесДром» выступит партнёром XIX премии «Финансовая элита России»
03.12.2024
РСХБ рассказал, на что его клиенты тратят цифровые рубли
03.12.2024
«Яблочники» идут за вашими слепками
03.12.2024
«Также возможно введение квот на импортные печатные платы…»
03.12.2024
Хакеры готовы подарить свой авторский рецепт активации Windows

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных