Взаимодействие ИТ и ИБ: средства защиты
Ярослав Ясенков, инженер по информационной безопасности, Отдел развития Производственного департамента Security Vision
Введение
Практика показывает, что цель достижения информационной безопасности возникает перед компаниями, достигшими определенного уровня зрелости. На пути к достижению этой зрелости увеличивается объём обрабатываемой информации, растут риски утраты или утечки такой информации. Одновременно с этим растёт и количество персонала. Расширение штата приводит к разделению целей и задач, возложенных на ответственных лиц. А там, где происходит разделение целей, неизбежно возникают конфликтные ситуации. Не становится исключением и разделение ИТ и ИБ подразделений компании.
Развитие таких конфликтных ситуаций может негативно сказаться на эффективности работы компании в целом. Поэтому важно понимать основные точки противоречий между ИТ и ИБ подразделениями и принять ряд организационных решений, способных минимизировать такие ситуации и направить работу специалистов в плодотворное русло.
Проблемы взаимодействий
Одной из основных проблем является недостаток взаимопонимания между ИТ и ИБ специалистами. Как правило, основной целью, стоящей перед ИТ подразделением, является автоматизация и повышение эффективности процессов компании. Основными приоритетами ИТ при этом являются быстрота, простота и дешевизна. И это может быть актуально как для ИТ подразделения, которое создает автоматизацию для использования внутри компании, так и для поставки заказчику. В то же время перед ИБ подразделением стоит цель снижения рисков информационной безопасности и достижения пресловутого состояния защищенности информации. Такое состояние не может быть достигнуто быстрыми, разовыми действиями, а требует плановой продолжительной организационной и технической работы. На практике это приводит, например, к тому, что ИТ подразделение может стремиться к максимально быстрой и неограниченной доступности информации, в то время как ИБ подразделение всячески «вставляет палки в колеса» путем ограничения доступа к информации.
Другой проблемой является недостаток обмена информацией между ИТ и ИБ подразделениями. ИТ отдел может не всегда предоставлять достаточную информацию о новых системах, обновлениях или изменениях в инфраструктуре, что затрудняет работу ИБ специалистов. ИБ отдел, в свою очередь, может недостаточно проинформировать ИТ отдел о новых угрозах или требованиях безопасности, что может привести к уязвимостям в информационных системах.
Наконец, финансовые ограничения могут стать еще одной проблемой между ИТ и ИБ подразделениями. ИТ отдел может считать, что улучшение безопасности требует дополнительных затрат, которые могут быть неприемлемы для компании. ИБ отдел, в свою очередь, может считать, что ИТ отдел не выделяет достаточно ресурсов на обеспечение безопасности.
Подходы к преодолению проблем
Для преодоления проблем при взаимодействии ИТ и ИБ подразделений в компании можно применить следующие подходы:
Установление четкой коммуникации: важно создать каналы связи между ИТ и ИБ подразделениями, чтобы обеспечить регулярный обмен информацией и обсуждение вопросов безопасности. Следует организовать регулярные совещания, чтобы обсудить текущие задачи, проблемы и планы. Это поможет улучшить взаимопонимание целей и задач и согласованность в работе.
Обучение и повышение квалификации: следует организовывать тренинги и семинары для ИТ и ИБ специалистов, при этом роль учителя по очереди может принадлежать, как ИТ подразделению, так и ИБ подразделению. Это поможет улучшить понимание друг друга и снизить конфликты, связанные с различиями в подходах и приоритетах.
Разработка процедур и политик: компания должна разработать единые процедуры и политики, которые учитывают как потребности ИТ, так и ИБ подразделений. Например, можно создать процедуры для обмена информацией о новых системах и изменениях в инфраструктуре, а также политики безопасности, которые устанавливают требования и меры защиты данных.
Участие руководства: руководство компании должно активно участвовать в урегулировании конфликтов и поддержке сотрудничества между ИТ и ИБ подразделениями, а также выполнять роль посредника при разногласиях и принимать решения, которые учитывают как потребности безопасности, так и эффективность работы.
Выделение достаточных ресурсов: компания должна обеспечить достаточные финансовые и человеческие ресурсы для обеспечения безопасности информации. Это может включать найм специалистов по информационной безопасности, приобретение необходимого оборудования и программного обеспечения, а также проведение аудитов и тестирований безопасности.
Также не стоит забывать и про то, что совместное использование средств защиты ИТ и ИБ подразделениями, может предоставить ряд преимуществ и пользы для обеих сторон, а также повысить эффективность рабочих процессов.
Как работают со средствами защиты в ИТ
Сведения о результатах работы межсетевых экранов, прокси, систем обнаружения вторжений и других средств, которые позволяют контролировать сетевую активность и обнаруживать аномалии или подозрительное поведение помогут ИТ подразделению лучше понимать актуальный ландшафт угроз, и проектировать и настраивать инфраструктуру оптимальным образом.
Использование сканеров уязвимостей позволит найти слабые места в ИТ-инфраструктуре и быстро получить рекомендации по их устранению. Анализаторы коды позволят на ранних этапах разработки выявить недостатки в разрабатываемом ПО и принять меры для их устранения, что позволит оптимизировать затраты на разработку.
Использование средств контроля доступа позволит защитить данные от несанкционированного доступа и изменений. Это особенно важно для ИТ подразделения, которое отвечает за хранение и обработку большого объема информации.
Применение средств класса GRC позволит повысить эффективность как ИБ, так и ИТ подразделений. Поможет автоматизировать и обеспечить процессы соблюдения требований информационной безопасности.
Системы класса SIEM, основной функцией которых является анализ и корреляция событий, могут быть использованы ИТ подразделением для осуществления мониторинга доступности информационных систем. В случае выхода из строя или незапланированного отключения источника событий SIEM сможет проинформировать администраторов о произошедшем сбое. Правила корреляции SIEM также могут помочь в мониторинге информационных систем, поскольку могут выявлять разного рода отклонения в штатном потоке событий.
Другим примером системы, которая может быть одинаково полезна ИТ и ИБ подразделению является IDM. IDM позволяют централизованно управлять доступом пользователей к различным ИТ ресурсам, а также автоматизируют процессы управления доступом, такие как создание, изменение прав доступа, удаление и блокирование учетных записей пользователей. Это, с одной стороны, позволяет сократить время и ресурсы, затрачиваемые ИТ подразделением на управление учетными записями, а с другой стороны позволяет ИБ подразделению реализовать контроль над процессами предоставления доступа к информационным ресурсам и обеспечить соответствие нормативным требованиям.
Средства защиты информации являются основным источником сведений о происходящих в инфраструктуре инцидентах. Но для результативного обеспечения информационной безопасности важно также уделять внимание коммуникации между ИБ и ИТ подразделением. По результатам расследования инцидентов специалисты ИБ накапливают знания о недостатках существующей информационной инфраструктуры, о способах усиления её защищенности для устранения возможности повторения подобных инцидентов в будущем. Поэтому крайне важно обеспечить передачу таких знаний ИТ подразделению.
Выводы
В целом, совместное использование средств защиты информации ИБ и ИТ подразделениями, а также их эффективное взаимодействие помогут повысить безопасность и надежность информационных систем компании, ускорить выявление и реагирование на инциденты информационной безопасности, выполнить нормативные требования в области информационной безопасности, и в конечном счете снизить использование ресурсов, включая финансовые бюджеты, персонал и инфраструктуру, а также приведет к оптимизации процессов работы компании, улучшению производительности и снижению времени простоя систем.