24 ноября, 2016, BIS Journal №4(23)/2016

Два берега И-реки


Агеев Артём

CISSP, CEH, MCSA, Security, консультант по информационной безопасности (Accenture)

Смрнов Константин

CISA, CBCP, MBCI, менеджер информационной безопасности (Accenture)

Должна ли ИБ подчиняться ИТ?

"Что же? Искусство подчинять - не разделить ли его на две части?"
Платон. "Диалоги. Софист"
 
"Для достижения устойчивости при переходе к цифровой модели, компаниям будет необходимо пройти фундаментальную организационную перестройку, в частности интегрировать кибербезопасность с бизнес-процессами и изменить способ управления ИТ".
Beyond Cybersecurity. Protecting Your Digital Businеss
James M. Kaplan
 
ИСТОКИ
 
Если проследить эволюцию информационной безопасности, то мы увидим, что ИБ существовала задолго до появления вычислительной техники и информационных технологий. Многочисленные способы защиты информации хорошо известны - от узелкового письма инков, стратагем Сунь Тзы, криптографии в Византии и арабском мире, языка русских офеней, говоривших слова задом наперед, вплоть до военной криптографии, появившейся в конце XIX века. Если взглянуть с точки зрения современных стандартов (например, ISO 27001), то мы увидим, что усилия наших предков, в основном, сосредотачивались на обеспечении конфиденциальности.
 
В конце 40-х годов, когда появились первые ЭВМ, информационная безопасность сводилась к охране зданий, в которых они находились (Physical Security).
 
Через полтора десятилетия, с появлением многопользовательских ОС, а затем вычислительных и автоматизированных телефонных сетей, проблема обеспечения информационной безопасности изменилась качественно. Новые ОС, СУБД и распределение вычислительных мощностей означали, что контроль периметра здания уже не мог обеспечить нужный уровень безопасности - доступ к информации можно было получить и без доступа в здание или машинный зал.
 
IT SECURITY
 
Ответом на новые вызовы явилось появление простейших функций аутентификации пользователей и разграничений прав доступа. Эти системы разрабатывались теми же программистами, которые разрабатывали ОС, СУБД и приложения. Естественно, что ответственность за эти функции легла на плечи тех же отделов, что управляли информатизацией предприятий. Так информационная безопасность попала в область ответственности ИТ, что вполне отражалось в её названии - IT Security.
 
Примечательно, что в первом крупном документе, посвящённом информационной безопасности - RAND Report R-609-1[1], опубликованном в 1969 году, уже были чётко видны попытки отделить ИБ от ИТ в плане разделения обязанностей, была даже описана роль - Systems Security Officer.  Но, как ясно видно из документа (раздел “II. System Personnel”), назначалась эта роль Responsible Authority, двумя абзацами выше описывающаяся как "глава ИТ-департамента" ("The head of the department or agency responsible for the proper operation of the secured computer system").
 
Хотя уровень автоматизации бизнес-процессов предприятий (а особенно - финансового сектора) рос очень быстрыми темпами, коммуникационные сети не были доступны широкой публике. Примеры Milwaukee 414s (взлом более 60 организаций, включая ядерную лабораторию в Лос-Аламосе), Кевина Митника в США с его ранними взломами телефонных и компьютерных сетей в 1980-х или Мурата Уртембаева в СССР с остановкой конвейера ВАЗА в 1983 году незначительно способствовали повышению роли ИБ. До появления общедоступного Интернета в начале 90-х годов, а также возможности выхода в Интернет с помощью сотовых телефонов, информационная безопасность оставалась на заднем плане, будучи скорее ареной борьбы пользователей за права доступа.
 
Бум доткомов в 1999-2001 гг.  и взрывообразный рост электронной коммерции, а затем - финансовых и государственных услуг, оказываемых через сеть Интернет, поставил компании перед фактом, что 99% процентов их бизнес-процессов зависят от информации, содержащейся в информационных системах и способности систем к обработке этой информации. Это вполне отразилось в новом названии - Information Security.
 
Так как основные технические средства обеспечения ИБ - антивирусы, межсетевые экраны (брандмауэры), прокси-сервера - обслуживались ИТ, то логичной моделью взаимодействия ИТ и ИБ являлось подчинение ИБ департаментам ИТ.  На тот момент ИТ можно было уподобить архитекторам, а ИБ - пожарной охране.  По сути это явилось развитием модели, принятой в начале 70-х годов XX века.
 
ЗА РАМКАМИ ОРГАНИЗАЦИИ
 
Однако та же электронная коммерция, которая развилась в цифровой бизнес, подразумевает, что автоматизированные (поддерживаемые информацией и приложениями) бизнес-процессы выходят за рамки организации и обеспечивают взаимодействие с клиентами, поставщиками, правительственными организациями и третьими сторонами. Примечательно, что и угрозы, которые раньше концентрировались вокруг информационных систем, с развитием социальных сетей и мобильного интернета приобрели совершенной иной характер. Именно изменение характера бизнеса, появление новых прямых "цифровых" каналов продаж и новых угроз для этих каналов явилось причиной качественных изменений в информационной безопасности. Что собственно и отразилось в новых терминах - Digital Security или Cybersecurity.
 
Это качественное изменение не произошло моментально и не во всех секторах экономики сразу. Одно можно сказать совершенно точно - финансовый сектор был в первых рядах этих изменений.
 
ДИКТУЕТ БИЗНЕС
 
Это приводит нас к первому тезису: кибербезопасность - это проблема и ответственность прежде всего бизнеса, а не ИТ. Раскроем этот тезис:
 
  • Безопасность касается всех сотрудников.
  • Безопасность выходит за пределы специфичных для ИТ процессов и технологий, от предсказуемого контекста к реакции на неизвестное (переход от ИБ-самураев к ИБ-ниндзя, по Gartner).
  • Цифровая революция, происходящая в финансовом секторе, означает прямое взаимодействие с клиентом (прямой канал продаж). Характер такого взаимодействия определяется индивидуально для каждой группы клиентов соображениями бизнес-стратегии компании. Характер угроз ИБ, таким образом, может зависеть от решений бизнес-подразделений компании.
  • Характер угроз, возникающих в новых каналах продаж может не иметь никакого отношения к ИТ.
  • ИБ может иметь собственный взгляд на вещи, который не совпадает с взглядами ИТ (например, на назначение прав доступа привилегированным пользователям).
  • Преступные группировки осведомлены о внутреннем устройстве коммерческих[2], но и (возможно) центральных банков[3]! Это означает, что в состав преступных группировок входят действующие сотрудники ИТ, либо недавно покинувшие банки. 

ДИКТУЕТ КЛИЕНТСКИЙ ОПЫТ
 
Второй тезис проистекает из самой природы цифрового бизнеса: клиентский опыт (ощущения клиента от взаимодействия с продавцом или сотрудника – с компанией) диктует характер многих решений, которые применяются для защиты цифровых каналов продаж. Раскроем этот тезис:
 
  • ИБ должна постоянно балансировать между требованиями защиты информации и возможностью комфортного для клиента ведения бизнеса.
  • В цифровом бизнесе огромную роль играет Digital Identity, особенно аутентификация, которая формируется под воздействием требований клиентского опыта и борьбы с мошенничеством, далеко выходящим за рамки ИТ. Дружественный, удобный и безопасный интерфейс порождает положительный клиентский опыт, да и просто гамму позитивных эмоций у клиента, что не может не сказаться на продажах.
  • Изменения, которые необходимо провести в организации для реализации цифрового бизнеса, далеко выходят за пределы ИТ.
  • Современная организация утратила четкие границы. Такие технологии, как BYOD, home office, облака и соцсети размывают само понятие "контролируемой зоны", заставляя сдвигать парадигму ИБ от "100% защита внутри охраняемого периметра" (бункер) к "целостность в недружелюбной среде". Последнее означает, что ИБ должна распространять свои активности за пределы организации, занимаясь киберразведкой и проактивным анализом угроз. 
МОНЕТИЗАЦИЯ УСЛУГ ИБ
 
Третий тезис: монетизация услуг ИБ. На американском, европейском, а также и на нашем рынке мы видим постоянное движение в сторону монетизации услуг кибербезопасности, которая становится товаром, особенно на рынке b2b. С точки зрения корпоративных бюджетов, кибербезопасность начинает переходить от источника затрат к источнику прибыли. 
 
РЕГУЛЯТОРЫ И СТАНДАРТЫ
 
Четвертый тезис: требования регуляторов и стандартов: Слово «комплаенс[4]» уже плотно вошло в жаргон специалистов в области информационной безопасности, учитывая существенные (и, порой, заслуживающие лучшего применения) усилия правительств по контролю киберпространства. Некоторые крупные финансовые организации даже ввели должности ответственных за выполнения требований регуляторов (Chief Compliance Officer, CCO), существенную долю в работе которых занимают вопросы соответствия требованиям по безопасности персональных данных, платежной информации, инсайдерской информации, банковской и налоговой тайны и т.д. Обратной стороной таких усилий по комплаенсу является формализация требований ИБ, вне зависимости от контекста деятельности компании, и движимых этой деятельностью целей и задач ИБ. Это приводит к неэффективному использованию ресурсов подразделений ИБ на так называемую «бумажную безопасность».
 
С точки зрения стандартов в области информационной безопасности, таких как СТО БР ИББС и ISO 27001, разделение обязанностей и ответственности между ИТ и ИБ является рекомендуемой практикой. Например, СТО БР ИББС идёт даже дальше, рекомендуя службам ИТ и ИБ иметь разных кураторов на уровне руководства организации и разные бюджеты (пункт 8.2.1 СТО БР ИББС-1.0-2014).
 
ЗА И ПРОТИВ
 
Что же плохого в том, что ИБ будет подчиняться ИТ? Безусловно, здесь есть свои положительные стороны:
 
  • Упрощённое взаимодействие внутри организации.
  • Быстрое проведение изменений – быстрый вывод продуктов и услуг на рынок (существенное конкурентное преимущество).
  • Упрощённый процесс бюджетирования (безусловный плюс для любых организаций).
  • Упрощённое управление людьми и компетенциями. 
Однако стоит понимать, какова цена таких выгод:
 
  • Противоречия интересов из-за разности целей ИТ и ИБ.
  • Объективность оценок деятельности ИБ оказывается под вопросом: различные показатели эффективности и разная отчётность (например, разрешение инцидентов ИТ и ИБ может измеряться совершенно по-разному).
  • Взаимодействие ИТ и ИБ порождает противоречие интересов при внедрении мер ИБ. С точки зрения бизнеса или ИТ применение таких мер может замедлять реализацию ИТ-проектов или вносить ограничения в свойства реализуемых с помощью ИТ продуктов и услуг.
  • Если ИБ будет подчиняться ИТ, то внедрение мер ИБ будет неизбежно иметь пониженный приоритет (со всеми вытекающими рисками для бизнеса).
  • Учитывая, что ИТ становится единственным подразделением организации, имеющим компетенцию в части использования и распределения ИТ-ресурсов, управления доступом к чувствительным данным, появляется риск потери контроля за действиями ИТ со стороны топ-менеджмента организации.
  • Информация о рисках ИБ может доводиться до менеджмента организации выборочно.
  • Бюджет ИБ, который контролируется ИТ означает, что для обоснования инвестиций ИБ будет просителем, который ассоциируется с противоречащими ИТ интересами. Как показывает практика, запуск проектов ИБ в такой ситуации затруднён. 
Зачастую, наличие отдельного ИБ подразделения в организации позволяет разгрузить ИТ начальников от чуждых им функций, таких как контроль администраторов или комплаенс. Стоит лишь намекнуть им о том, что им более не придется разрабатывать политики и руководства безопасности, решать проблемы с соблюдением бесчисленных законов, правил и стандартов, как они становятся приверженцами разделения ИТ и ИБ.
 
ВЫХОД ЕСТЬ. ПРОТИВОРЕЧИЯ ОСТАЮТСЯ
 
Очевидный выход известен всем – это раздельное подчинение ИБ и ИТ руководству компании, когда противоречие интересов разрешается выше уровня оперативного руководства каждой из областей. (Здесь следует сделать оговорку: многое зависит от размера организаций. Для малых организаций разделение таких функций может быть затруднительно.)
 
Противоречия между ИТ и ИБ неизбежны в любом случае, внутри отдела или внутри одной компании. Однако, именно из противоречий рождается новое. ИБ функционально тяготеет ближе к физической и экономической безопасности, в то время как ИТ – ближе к операционной деятельности.
 
Наладив тесные контакты с экономической безопасностью, ИБ может обогатить ИТ сервисы информацией об актуальных угрозах и мерах защиты, оценить безопасность поставщиков услуг и контрагентов, дать адекватную оценку рисков ИТ сервисов.
 
Несмотря на то, что в будущем роли ИТ и ИБ будут и далее разделяться, только тесное взаимодействие ИТ и ИБ будет приносить желаемые для организации результаты – быстрый вывод прибыльных продуктов на рынок с минимальным риском.
 
ЗАКЛЮЧЕНИЕ. У ОДНОЙ РЕКИ
 
В заключение, нам бы хотелось сформулировать несколько тезисов, которые завершат эту статью:
 
  • ИБ и ИТ дополняют, а не замещают друг друга, например, в управляющих комитетах или в реакции на инциденты.
  • Внедрение Agile, который трансформирует традиционную модель разработки банковских (и прочих) продуктов означает более тесное взаимодействие ИТ и ИБ на уровне исполнителей.
  • Роли типа BISO (Business Information Security Officer) и координатора ИБ внутри ИТ могут сгладить имеющиеся противоречия и упростить взаимодействие между ИБ, ИТ и бизнесом.
  • Только вместе ИБ и ИТ смогут обеспечить выполнение политик ИБ.
  • Подобно тому, как повышение степени разделения труда и повышение степени кооперации в производстве сложных товаров стало гигантским шагом для человечества, чёткое разделение функций ИБ и ИТ и их более тесное сотрудничество принесут дальнейшие выгоды компаниям. 
Немного определений
 
Кибербезопасность, безопасность киберпространства - сохранение конфиденциальности, целостности, доступности информации в Киберпространстве
(ISO 27032 4.20)
Киберпространство - сложная среда, образующаяся в результате взаимодействия людей, компьютерных программ и сервисов в сети Интернет посредством технологических устройств и сетей, подключенных к Интернету, не существующая ни в какой физической форме (там же, 4.21).

 
[1] См. http://www.rand.org/pubs/reports/R609-1/index2.html
[2] См. интервью c замначальника ГУБЗИ ЦБ А.М. Сычевым - http://www.plusworld.ru/journal/online/art197552/
[3] См. http://blogs.wsj.com/indiarealtime/2016/05/10/fbi-suspects-insider-involvement-in-81-million-bangladesh-bank-heist/
[4] Комплаенс представляет собой соответствие каким-либо внутренним или внешним требованиям или нормам. Википедия.

 

Смотрите также

Подпишись на новости!
Подписаться