Контакты
Подписка
МЕНЮ
Контакты
Подписка

С чего начать CISO при приходе в новую компанию?

С чего начать CISO при приходе в новую компанию?

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

С чего начать CISO при приходе в новую компанию?

При приходе в новую компанию любой CISO нацелен на достижение в кратчайшие сроки максимальной эффективности в выполнении поставленных перед ним целей и результатах своей деятельности. Так как же повысить авторитет функции ИБ и стать неотъемлемой частью бизнеса, без которой компания уже не сможет представить свое существование? Постараемся найти ответы в данной статье.
Дмитрий Маркин
Руководитель по информационной безопасности в группе компаний “Русагро", CISA/CISM

Выявим основных стейкхолдеров и их интересы

На рис. 1 представлен потенциальный перечень стейкхолдеров1 по ИБ, который может быть представлен практически в любом бизнесе. Критически важно пообщаться с каждым из них и понять, какие ожидания и интересы у них есть в отношении функции ИБ, какие проблемы у них накопились и как можно помочь с их решением.


В данной статье будем использовать термин "продажа" в отношении ИБ. Да, я считаю именно продажу ИБ конкретному стейкхолдеру залогом успеха CISO, т.к. только дав человеку средство для реализации его потребностей, можно стать для него нужным. Рассмотрим далее основные драйверы продажи ИБ каждому из представленных выше участников.

Служба HR

Кадровикам продаем две основные услуги:

  1. соответствие требованиям ФЗ-152 "О персональных данных";
  2. внедрение процесса обучения и повышения осведомленности персонала по вопросам информационной безопасности.

В контексте ФЗ-152: помимо личной беседы, нужно снабдить их качественной аналитической запиской с указанием требований законодательства, обязательных к исполнению, необходимых к разработке нормативных документов и таблицей штрафов за несоблюдение требований закона.

Если компания, в которой работает CISO, является публичной и ее акции котируются на какой-либо из фондовых бирж, то здесь ему могут помочь ежегодные аудиты системы внутреннего контроля

В контексте обучения: если компания имеет в своем штате более 100 сотрудников, то с большой вероятностью в ней уже используется система дистанционного обучения – используйте ее возможности для реализации программ обучения и тестов по ИБ.

Внутренний аудит

Юридическая служба может существенно помочь с повышением значимости проектов по соответствию требованиям ФЗ-152 "О персональных данных" и ФЗ-98 "О коммерческой тайне".

Внутренним аудиторам продаем процесс расследования инцидентов ИБ и случаев мошенничества, связанных с использованием ИТ. Помощь CISO будет незаменима при анализе бизнес-процессов на предмет выявления в них уязвимостей, позволяющих совершать мошеннические транзакции в информационных системах (ИС).

Зачастую ИТ-мошенничество становится возможным из-за нарушения принципа Segregation of Duties (конфликтное пересечение ролей), когда один пользователь получает одновременно права инициировать, авторизовать и совершать транзакции и/или права администратора и ревизора/аудитора, что позволит ему очищать журнал событий безопасности и совершать мошеннические действия, оставшись при этом незамеченным.

Поддержка внутренних аудиторов позволит инициировать проект по реализации ролевой модели разграничения доступа RBAC (Role-Based Access Control), предусматривающей предоставление прав доступа к ИС на основе принципов необходимого знания "Need to Know" и минимально необходимых привилегий "Need to Do", реализованных в виде матриц доступа

Поддержка внутренних аудиторов позволит инициировать проект по реализации ролевой модели разграничения доступа RBAC (Role-Based Access Control), предусматривающей предоставление прав доступа к ИС на основе принципов необходимого знания "Need to Know" и минимально необходимых привилегий "Need to Do", реализованных в виде матриц доступа.

Служба ИТ

Это один из самых важных и сложных стейкхолдеров, поскольку цели у ИТ и ИБ прямо противоположные. У ИТ основной показатель эффективности KPI – "чтоб работало любой ценой в установленные SLA-сроки", у ИБ – "чтоб работало только в безопасном режиме или не работало вовсе". Но все же здесь можно и нужно находить общие цели.

Коллегам из ИТ можно продать процесс создания ИС в защищенном исполнении в рамках более глобального процесса управления изменениями, реализация которого позволит избежать возникновения конфликта интересов по KPI, описанного выше. Если CISO будет привлекаться к согласованию технических заданий на новые ИС на этапе инициации проекта, то они будут создаваться уже с учетом выполнения применимых требований по защите информации и включать в себя все необходимые подсистемы информационной безопасности.

Также коллег из ИТ заинтересует внедрение упомянутой ранее ролевой модели разграничения доступа RBAC, которая позволит существенно сократить их трудозатраты по управлению жизненным циклом учетных записей пользователей за счет автоматизации процесса предоставления прав доступа к информационным системам.

Для снижения количества возможных инцидентов ИБ, которые придется отрабатывать Службе ИТ, целесообразно внедрить процесс управления уязвимостями (использование сетевых сканеров портов и уязвимостей). Выявление и устранение уязвимостей до их использования потенциальными злоумышленниками позволит снизить рискобразующий потенциал угроз ИБ и предотвратить возникновение инцидентов.

Служба безопасности

Это главный союзник CISO. Им надо помогать выявлять экономические преступления (если требуется экспертиза по ИТ), ловить инсайдеров и совместно расследовать инциденты ИБ при утечке сведений конфиденциального характера. Помочь в этом могут системы класса DLP (Data Leak Prevention), целесообразность внедрения которых во многом зависит от позиции топ-менеджмента компании и принятых организационно-режимных мер по безопасности периметра офисного здания.

Юридическая служба

Для снижения количества возможных инцидентов ИБ, которые придется отрабатывать службе ИТ, целесообразно внедрить процесс управления уязвимостями (использование сетевых сканеров портов и уязвимостей). Выявление и устранение уязвимостей до их использования потенциальными злоумышленниками позволит снизить рискобразующий потенциал угроз ИБ и предотвратить возникновение инцидентов.

Также является союзником CISO, т.к. является владельцем всех юридических рисков типа Compliance. Для них целесообразно подготовить аналитическую таблицу с указанием всех применимых требований законодательства по защите информации (включая зарубежные, при наличии), обязательных к исполнению, необходимых к разработке нормативных документов и таблицей штрафов за несоблюдение указанных требований. Юридическая служба может существенно помочь с повышением значимости проектов по соответствию требованиям ФЗ-152 "О персональных данных" и ФЗ-98 "О коммерческой тайне". Целесообразность внедрения режима коммерческой тайны на предприятии во многом зависит от позиции топ-менеджмента компании и действующей системы документооборота.

Юристы также будут заинтересованы в результатах работы процесса внутреннего аудита ИБ, который покажет наличие несоответствий в бизнес-процессах компании как требованиям законодательства, так и внутренним политикам и процедурам по ИБ.

Владельцы бизнес-процессов

Здесь для CISO наибольший интерес представляет Финансовая служба. Главный процесс, который нужно ей продать, – процесс управления рисками ИБ. С финансистами критически важно согласовать денежные шкалы уровней ущерба от нарушения конфиденциальности, целостности и доступности информации при реализации угроз ИБ, а также величину приемлемого уровня рисков для бизнеса. Используя эти шкалы в методике оценки рисков ИБ, CISO может инициировать взаимодействие со всеми владельцами бизнес-процессов, получая от них на выходе стоимость критичной информации для компании.

Далее эти сведения попадают на вход стандартного математического аппарата по оценке рисков:

информационный актив х уязвимость х угроза х вероятность = уровень риска

Только общаясь с бизнесом на языке рисков, CISO сможет обосновать внедрение процессов управления и подсистем ИБ, совокупная стоимость владения которыми не должна превышать величину возможного ущерба от реализации угроз ИБ в отношении критичной информации.

Если компания, в которой работает CISO, является публичной и ее акции котируются на какой-либо из фондовых бирж, то здесь ему могут помочь ежегодные аудиты системы внутреннего контроля, проводимые одной из консалтинговых компаний Big4. Данные аудиты, помимо финансовых критериев, включают в себя домены, связанные с использованием ИТ-контролей, – необходимость выполнения рекомендаций аудиторов является очень хорошим катализатором для реализации проектов по информационной безопасности.

Аудит текущего состояния ИБ

Пообщавшись с вышеперечисленными стейкхолдерами и успешно продав им решение имеющихся проблем по ИБ, CISO может сам или с привлечением внешних консультантов подготовить отчет о текущем состоянии и уровне зрелости процессов управления и обеспечения ИБ. В качестве базовых процессов управления и обеспечения ИБ, которые должны быть подвергнуты оценке, можно взять процессы, описанные в международном стандарте ISO/IEC 27001:2013 (Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования).


Оценка зрелости процессов может быть проведена на основании модели зрелости процессов Capability Maturity Model, применяемой в международном стандарте Cobit 5 "Бизнес-модель по руководству и управлению ИТ на предприятии"2. Критериями зрелости процесса являются наличие формализованного и документированного процесса, степень его управляемости и соответствия лучшим практикам, а также степень выполнения требований внутренних нормативных документов компании. Результат оценки может быть представлен в виде диаграммы на рис. 2 (приведен условный пример) и является входными данными для разработки Стратегии ИБ.

Разработка Cтратегии ИБ

Зафиксировав текущее состояние ИБ, CISO должен разработать Стратегию ИБ с описанием целевого состояния ИБ и Программы проектов для его достижения. Стратегические цели по ИБ могут быть сформулированы следующим образом:

Управление рисками ИБ на приемлемом для руководства компании уровне.

Критериями зрелости процесса являются наличие формализованного и документированного процесса, степень его управляемости и соответствия лучшим практикам, а также степень выполнения требований внутренних нормативных документов компании.

Для оценки экономической эффективности ИБ может быть использован показатель ROSI (Return of Security Investment) – достигается за счет снижения среднегодовых потерь от инцидентов ИБ. По сути продажа ИБ аналогична продаже страхового полиса – необходимо потратить деньги на защиту информации сегодня, чтобы в будущем не понести потери, кратно превышающие стоимость средств защиты.

Соответствие применимым требованиям законодательства в части защиты информации (ФЗ-149, ФЗ-152, ФЗ-98 и др.).

Снижение рисков типа Compliance достигается за счет успешного прохождения проверок Роскомнадзора и внешних аудитов, отсутствия жалоб и претензий со стороны субъектов персональных данных и контрагентов в рамках соблюдения требований NDA.

Расширение возможностей бизнеса за счет использования защищенных технологий.

Например, использование VPN-технологий для расширения географии бизнеса, PKI-инфраструктуры для получения новых каналов обслуживания клиентов, взаимодействия с партнерами и др.

Программа проектов может включать в себя: внедрение процессов управления и обеспечения ИБ, конкретных средств защиты информации или оказания аудиторских услуг консультантов со стороны (например, проведение тестов на проникновение).

Зафиксировав текущее состояние ИБ, CISO должен разработать стратегию информационной безопасности с описанием целевого состояния ИБ и программы проектов для его достижения.

Параллельно с реализацией бизнес-подхода top-down approach к выстраиванию ИБ на основе стратегического менеджмента, CISO может использовать bottom-up подход, основанный на анализе реальной защищенности корпоративной сети компании. Для этого, в отсутствие выделенных бюджетов на ИБ, можно запустить проведение пилотных проектов по таким продуктам, как сканеры уязвимостей, специализированные снифферы (сетевые анализаторы трафика), DLP-системы и специализированные средства аудита баз данных Database Activity Monitor. Работа данных продуктов может показать достаточно интересные результаты о реальном состоянии ИБ, включая наличие критических уязвимостей, утечек информации, нецелевого использования информационных ресурсов компании и т.п.

Вооружившись проектом Стратегии ИБ и Программы проектов, а также отчетом об оценке уровня зрелости процессов ИБ и результатами пилотирования продуктов по ИБ, CISO по сути обладает всеми необходимыми аргументами для того, чтобы пойти продавать ИБ топ-менеджменту компании.

Здесь необходимо учесть один немаловажный факт, что время топ-менеджмента стоит дорого и с большой вероятностью время на аудиенцию для CISO составит не более 20 минут. Поэтому необходимо заранее узнать к какому типу покупателей относится топ-менеджер: рациональным (использовать логику и бизнес-кейсы) или эмоциональным (использовать вау-эффект или страхи).

Успешная защита стратегии ИБ и Программы проектов для ее реализации является основанием для бюджетирования расходов на ИБ и позволяет вывести значимость функции ИБ на должный уровень.

___________________________________________
1 Стейкхолдер (заинтересованная сторона, причастная сторона) – физическое лицо или организация, имеющая права, долю, требования или интересы относительно системы или ее свойств, удовлетворяющих их потребностям и ожиданиям (ISO/IEC 15288:2008).
2 http://pl-e.ru/w/Capability_Maturity_Model

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2015

Приобрести этот номер или подписаться

Статьи про теме