Поддержка процессов и систем ИБ в Концерне Росэнергоатом

- Андрей Васильевич, расскажите, пожалуйста, о вашей непосредственной деятельности в концерне.
- Я руковожу Центром компетенции по ИБ, который занимается поддержкой процессов и систем информационной безопасности концерна. Центр компетенции ИБ создан на базе дочернего предприятия концерна - ЗАО "КОНСИСТ-ОС", - это аутсорсинговое предприятие, осуществляющее обслуживание и сопровождение программно-технических комплексов концерна. Помимо офиса в Москве, у нашей компании есть филиалы во всех регионах, где построены АЭС. Таким образом, мы имеем широкое представительство по всей стране.

- Какие задачи перед вами стоят в связи с современными угрозами ИБ?
- Мы уже давно ведем работу по повышению защищенности IT-активов концерна. Еще в 2006 г. были внедрены системы межсетевого экранирования, управление доступом, антивирусной защиты и другие системы обеспечения ИБ. Сейчас основной упор сделан на то, чтобы создать такую корпоративную систему ИБ, которая позволила бы правильно управлять всеми внедренными процессами и системами. Для этого разработана программа оценки эффективности ИБ, в рамках которой происходит регулярная оценка процессов и систем ИБ, что помогает нам определять, насколько мы соответствуем стратегии ИБ, требованиям регуляторов и современным вызовам.

– Какие проекты сейчас на стадии внедрения?
– На сегодняшний день самый большой проект связан с внедрением системы межсетевого экранирования. Было выбрано решение одного из лидеров в производстве межсетевых экранов, сейчас ведется активное внедрение.

– Каковы преимущества межсетевых экранов (МЭ)? В чем, с точки зрения заказчика, основное отличие современных МЭ от существовавших ранее?
– Мы постепенно внедряли эту систему, и уже на первом этапе у нас появилась возможность разобрать весь трафик, который выходит в Интернет или курсирует внутри сети, определить приложение, пользователя, контент. Таким образом, мы значительно расширили возможности нашей системы мониторинга. Если до этого мы осуществляли управление доступом и оперировали только объектом/субъектом (и то только тем, с которым взаимодействуем), то сейчас мы видим, какие приложения используются, к каким сайтам обращаются пользователи, заражены эти сайты или нет, к какой категории они относятся и т.д. Это оперативно помогает нам реагировать на инциденты, предотвращать либо устранять их. Предыдущие поколения МЭ этого не позволяли делать.

– Большое число инцидентов связано с инсайдерами. Как ведется работа с персоналом и помогают ли такие решения, как, например, DLP, выявить подобные инциденты и предотвратить их?
– Мы, конечно, используем в нашей работе DLP-решения, но предпочитаем активно работать с сотрудниками на организационном уровне: например, подписываем с ними соглашение o неразглашении информации. Учитывая, насколько сложно попасть в наш концерн на работу и насколько сотрудники дорожат своими местами, мы считаем, что этого достаточно.

– Как вы сказали выше, сейчас одной из главных задач является управление ИБ. Помогают ли в этом метрики, разработанные внутри Центра компетенции?

– В определенный момент развития нашей корпоративной системы управления ИБ мы стали задаваться вопросами:

• Насколько наши процессы и системы ИБ эффективны?
• Как можно количественно оценить эффективность нашей СУИБ и СОИБ?
• После внедрения системы/процесса/реализации плана как изменилось состояние ИБ?
• Что и как можно измерять?
• Как определить пороговые значения для измерений?
• Что можно считать наилучшим значением измерения?
• Какие единицы измерения лучше использовать?

Постепенно отвечая на эти вопросы, мы разработали для себя систему метрик. Поддерживая и постоянно пересматривая ее, мы получили инструмент, который позволяет нам практически в реальном времени понимать результативность и эффективность принимаемых нами мер в области ИБ.

– Это позволяет увидеть, какие средства тратятся на обеспечение ИБ, и можно ли их как-то сократить?
– Мы постоянно анализируем риски, пересматриваем компенсирующие меры. Понимая стоимость рисков и компенсирующих мер, определяем экономическую целесообразность. Вносим изменения в архитектуру и запускаем проекты по внедрению или замене компенсирующих мер. Имея систему оценки эффективности ИБ, мы оперативно можем оценить эффективность принимаемых мер, как на этапе внедрения, так и на этапе сопровождения. Имея оперативную информацию об эффективности, мы можем оперативно менять цели проектов, требования к системам обеспечения ИБ.

– Как вы считаете, должен ли каждый заказчик внутри своей организации разработать эти метрики или же можно прибегнуть к помощи российских и зарубежных производителей?
– Мы поняли, что не существует готовых решений и подходов. Вопрос измерений ИБ очень сильно зависит от особенностей компании, ее бизнес-процессов, организационной структуры и IT-архитектуры. Несомненно, существуют продукты, которые позволяют автоматизировать процесс измерений ИБ в компании. Но технические средства в этом вопросе не первичны. В первую очередь нужно определиться, кто является заказчиком измерений ИБ, какие цели стоят перед ИБ-менеджерами. Описав и формализовав метрики ИБ, можно приступать к выбору инструмента, который позволит собрать информацию из процессов и систем ИБ, провести расчет и вывести в нужном виде.

– Насколько сложно разработать метрики? С какими проблемами вы сталкивались?
– Основная проблема при разработке метрик – это методология. И иностранные вендоры, и отечественные производители "зашивают" все в программный продукт и не раскрывают информации о метрике и ее формулах. В принципе их тоже можно понять. Накопленный на конкретных проектах и кейсах опыт нельзя просто так взять и кому-то отдать, так как их бизнес потеряет всякий смысл. Заказчики начнут использовать их методологию и не станут тратить время на консалтинг и внедрение их системы. Поэтому сейчас главное для нас – понять, что такое метрика и насколько можно ей доверять.

– Как вы выбираете производителей? Есть ли какой-то приоритет у российских вендоров?
– Все начинается с оценки рисков. После того как решено, что риски требуют реализации компенсирующих мер и проблема решается техническими средствами, мы формируем полный перечень требований к системе. Из него выбираем те, которые имеют отношение к проблеме и отмечаем их как обязательные. Потом выбираем несколько релевантных решений. Для этих систем совместно с вендорами или их партнерами разворачиваем тестовые стенды и проводим коллегиальную оценку соответствия ранее выбранным требованиям. С результатами тестирования, оценкой соответствия выходим на архитектурный комитет, на котором принимается решение о включении в техническую политику концерна продукта, который максимально соответствует требованиям. После того как решение вошло как стандарт в техническую политику, начинается процедура приобретения и внедрения.

Отечественные продукты рассматриваем наравне с зарубежными.

– Сейчас модным трендом являются облачные решения и системы BYOD. Реализованы ли они у вас?
– Мы не используем внешние облака, так как придерживаемся принципа, что обработка и безопасность информации должна обеспечиваться внутри нашей организации. Что же касается BYOD-систем, то у нас используется этот подход. Сейчас мы как раз внедряем систему MDM (Mobile Device Management).

– Каких угроз следует опасаться бизнесу в 2014 году?
– На мой взгляд, наиболее опасными являются две угрозы. Первая связана с давлением на нашу страну со стороны других государств. Я имею в виду ситуацию с Крымом и санкции против Российской Федерации. Давление будет продолжаться не только на уровне официальных заявлений глав государств, но и со стороны спецслужб и преступных группировок, которые будут искать возможность скомпрометировать наше государство. Соответственно стоит ожидать реализации атак на информационные системы, принадлежащие госкомпаниям, в том числе на критически важные объекты.

А вторая проблема связана больше с угрозами в адрес физических лиц, преступные группировки продолжат развивать атаки, связанные с мобильными устройствами, интернет-платежами и другими видами мошенничества.

– Участвуете ли вы в принятии отраслевых стандартов, ведете ли по этому поводу обсуждение с игроками рынка?
– У нас есть отраслевой стандарт, разработанный госкорпорацией "Росатом". Кроме того, представители концерна наряду с другими игроками атомной отрасли принимают участие в разработке документации по защите АСУ ТП.

– Андрей Васильевич, как, по вашему мнению, должны взаимодействовать ИБ- и IT-директора, кто кому должен в первую очередь помогать? Кто в ком больше нуждается? Или нужно работать в хорошей связке?
– Мы находимся в одной лодке, каждый выполняет свою функцию. Если считать, что кто-то кому-то что-то должен, то это вопрос амбиций. Бизнес рассчитывает и на IТ, и на ИБ. Каждый должен приложить все усилия, чтобы не навредить бизнесу и достигнуть максимальной эффективности.

ИБ-служба держит руку на пульсе, у нас сосредоточена вся информация, связанная с инцидентами и состоянием ИБ. Наша задача – правильно формализовать, объяснить и донести до бизнеса основания для реализации компенсирующих мер. Но в то же время сам бизнес должен иметь высокий уровень зрелости в этом вопросе, понимать проблематику и поддерживать инициативу. В нашей компании все инициативы поддерживаются на самом верхнем уровне, поэтому у нас таких проблем нет.