Тестирование на проникновение: задача, решение и ограничения
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный семинар RISC
1. Проблема взаимодействия ИТ и
ИБ. Взгляд со стороны ИБ
Юрий Шойдин
Член правления Российского
Союза ИТ-директоров
2. Познакомимся
Связан с ИТ отраслью с 1992 года.
Имею 3 высших профильных образования, в том, числе МВА и
несколько специальных
Основная специализация - проектирование сложных изменений в
организации и системах управления
Более 35 проектов внедрения информационных систем (учетных и
систем безопасности) на предприятиях по всей России в качестве РП
Участвовал в создании элементов Электронного Правительства (ЭП) в
Правительстве Санкт-Петербурга
Являюсь:
• Действующим руководителем проектов (PMP)
• Членом Правления Российского Союза ИТ директоров (СоДИТ)
• Членом Правления Ассоциации Руководителей Служб ИБ (АРСИБ)
2
3. Очень трудно заставить человека понять
что-нибудь, если его доход напрямую
зависит от его непонятливости.
Эптон Синклер
3
4. Требования к информации:
• Доступность информации
• Достоверность
информации
• Своевременность
информации
• Конфиденциальность
информации
Требования Бизнеса (1/2)
Информация – самый важный из ресурсов современного
общества, вокруг которого крутятся деньги.
Развитие ИТ:
• Технологии
• Оборудование и программное
обеспечение
• Сети (проводные и беспровод-
ные)
• Внешняя инфраструктура
• Организационные технологии
4
5. Требования Бизнеса (2/2)
К подразделению СБ/ИБ:
• Защита информации от утечек
в любой форме
• Разделение уровня
информированности
(полномочий, доступов)
• Разные виды контролей
(внутри ИС или на основании
ее данных)
• Анализ рисков организации
• Выполнение требований
регуляторов (защита ПДн)
К подразделению ИТ:
• Снижение зависимости от ИТ
• Обеспечение доступности
информации
• Анализ рисков
• Измерение эффективности
процессов
• Персонализация
• Оптимизация расходов
5
6. Дорожная карта
Шаги Действие Описание
1
Признание проблемы Чувствуем, что-то не то, начинаем
оглядываться…
2
Сбор признаков (симптомов) Определение признаков, которые дают
нам понимание в чем выражается
проблема
3
Анализ признаков и
выявление проблемы
Формулирование проблемы
4
Анализ проблемы и выявление
ее причины
Определение из-за чего появилась
проблема, что нужно изменить, чтобы
проблема исчезла
5
Планирование мероприятий
действующих на причину
Что и кто должен делать чтобы избежать
*** В данном случае уместно использовать «Технологию проектирования сложного
изменения в организации», так как это позволяет не только выявить причины
происходящего, но и сформировать план действий по изменению ситуации.
6
7. Основные проблемы взаимодействия ИТ и СБ/ИБ
• Распределение ресурсов и полномочий
• Взаимоисключающая деятельность
• Что еще? …
7
8. Проблема 1. Распределение ресурсов и полномочий
Прогр.-Тех. средства Персонал
За ресурсы
ИТ ИБ
За полномочия
Кто принимает
Зона конфликта
решение
Кто несет
ответственность
8
9. Причины конфликта ИТ и СБ/ИБ
• Условие: Два мальчика в
песочнице. Один играет в
машинки и строит дороги, другой
делает куличики из формочек
• Вопрос 1: Что произойдет через
некоторое время?
• Вопрос 2: Почему это произошло?
• Целью деятельности любого подразделения
безопасности является защита (сохранение,
недопущение и проч…), соответственно метод
обеспечения – это ограничения.
• Деятельность ИТ обратная по своей природе – еще
быстрее, доступнее и проч …, соответственно, и метод
обеспечения – открытость и мобильность, что в корне
противоречит целям и методам безопасности.
9
10. Проблема 2. Противонаправленность действий
Увеличение
доступности
ИБ
Максимум открытости
может быть только при
максимуме контроля
ИТ СБ
Уменьшение
доступности
Теорема о точке равновесия: Конечный конфликт N субъектов с
полной информацией имеет точку равновесия.
10
11. Причины порождающие проблемы
• Несоответствующая организационная
структура
• Разные типы мышления ИТ и СБ
• Что еще?...
11
12. Причина 1. Организационная структура
Подчиненность первому лицу / совету директоров
Подчиненность подразделению ИТ
5
Подчиненность подразделению безопасности
Не крупные компании с ярко выраженной ИТ Наибольшее распространение
составляющей
12
13. Место ИБ в структуре предприятия
Подчиненность Первое лицо / СД Подразделение ИТ
Подразделение безопасности
Плюсы
1. Статус направления;
2. Общение напрямую с
первым лицом/советом
директоров;
3. Независимость в принятии
управленческих решений;
4. Эффективность
деятельности;
5. Соответствие мировой
практике.
1. Эффективность
взаимодействия ИБ и ИТ;
2. Высокий уровень
компетенции специалистов
ИБ в специфике ИТ
инфраструктуры компании;
3. Единый центр
ответственности.
1. Комплексный подход к
информационной безопасности
за счет взаимодействия с
физической и экономической
безопасностью;
2. Независимость в принятии
управленческих решений;
3. Эффективный контроль
внутренних угроз.
Минусы
1. Неготовность российского
менеджмента. Исключение
– банковская сфера;
2. Недостаточная
квалификация менеджеров
по информационной
безопасности;
3. Малое количество
прецедентов в России.
1. Зависимость направления ИБ
от ИТ;
2. Сомнительная
эффективность контроля
состояния информационной
безопасности;
3. Основная направленность –
безопасность ИТ-сервисов
(сетевая безопасность,
антивирусная защита и др.);
4. Контроль внутренних угроз не
входит в компетенцию ИТ.
1. Низкая квалификация
руководителей безопасности в
вопросах ИБ;
2. Разделение ответственности с
ИТ в части непрерывности ИТ-
сервисов;
3. Основная направленность –
мониторинг и расследование
инцидентов. Реже аудит ИБ,
анализ рисков, контроль
эффективности менеджмента
ИБ. 13
14. Причина 2. Разные типы мышления
• Психология CSO=CEO основана на элементах ре-активного
управления. Как правило, это управление по отклонениям.
При выявлении проблемы идет команда, что необходимо
сделать для ее устранения. В последствии рефлексия и
ограничение, чтобы не повторить.
• Психология же CIO основана на элементах про-активного
управления. Это использование потенциальных
возможностей: мы видим технические возможности и
можем предложить их для устранения возможных
проблем в будущем.
Это и есть основная психологическая проблема «разных
языков» CIO и CSO. А какая должна быть психология CISO?
14
15. Методы устранения проблем
Структура.
Функции
KPI.
Мотивация
Полномочия.
Ответственность
Правильно определить
место ИБ в структуре.
Разделить функции СБ,
ИБ, ИТ
Пересмотреть систему
мотивации/демотиваци
и. Ввести связанные KPI
(зависящие от второго
подразделения)
Прописать на уровне
подразделения не
только полномочия, но
и ответственность.
Составить матрицы
ответственности за
функции или сервисы
Очень трудно заставить человека
понять что-нибудь, если его доход
напрямую зависит от его
непонятливости.
Эптон Синклер
16. Чеширский Кот, - начала Алиса, – не будете
ли Вы так любезны подсказать мне, каким
путем лучше выйти отсюда?
Это зависит от того, куда Вы хотите попасть, –
сказал Кот.
16