Командная организация в ИБ: CISO и его команда

Только к концу нулевых годов нарастающая сложность систем обеспечения информационной безопасности наглядно показала бизнесу в России: далеко неспроста весь западный мир все это время делал ставку на опытных специалистов из ИТ, поскольку совершенно невозможно обойтись без штата компетентных сотрудников, способных к сопровождению и эксплуатации данных систем.

Итак, какие же существуют механизмы формирования команды ИБ в современных компаниях?

Для начала определимся, в чем же суть команды CISO и какие функции она должна выполнять на сегодняшний день (рис. 1).

Вот краткий перечень задач, стоящих перед командой CISO в современных реалиях:

• построение архитектуры ИБ;
• внедрение систем ИБ;
• сопровождение и администрирование систем ИБ;
• многоцелевой мониторинг;
• проведение исследований в области ИБ;
• формирование нормативной базы;
• проведение служебных расследований.

На основании данной функциональной структуры и необходимо подбирать команду, при этом опираясь на знания и компетенции каждого члена команды (рис. 2).

Группа архитекторов ИБ

В состав группы архитекторов инфраструктуры ИБ должны входить специалисты, владеющие современными технологиями обеспечения ИБ: NGFW, VDR, DLP, SIEM, iDM, VM, BM и др. В том числе для построения универсальной архитектуры далеко не будут лишними навыки работы с продуктами разных производителей для построения мультивендорной защиты (рис. 3).

Группа внедрения и администрирования

Команда внедрения и администрирования фактически выполняет ту стратегию, которую разработала группа архитекторов, и формирует всю цепочку интеграции во взаимодействии с подразделениями ИТ в части информационной безопасности.

Группа мониторинга

Одними из ключевых качеств специалистов группы мониторинга должны являться тщательность, ответственность, внимание к мелочам, ведь именно в результате проведения регулярного комплексного мониторинга могут быть выявлены основные проблемные места компании. Подбор такого рода специалистов представляет собой весьма тонкую задачу, но именно эти люди являются вашими глазами и вашей опорой. Полномочия группы мониторинга распределяются на отдельные зоны:

• мониторинг внешнего периметра компании (СМИ, социальные сети и т.п.). Данное направление является весьма важным для ведения бизнеса, так как мониторинг внешней среды позволяет повысить осведомленность высшего менеджмента и акционеров об информационной обстановке в сфере интересов бизнеса. Поэтому обеспечение внешней информационной безопасности является неотъемлемой частью задач команды CISO. Штат такой команды формируется в зависимости от географии бизнеса – это Россия, СНГ, ЕС, Азия и т.д. – и специфики распространения информации, и в среднем состоит из 2–5 сотрудников;
• мониторинг систем утечки информации. Задачи данного направления, с одной стороны, являются стандартизированными, но с другой – уникальными, так как зачастую "слив" информации может быть всего лишь в пяти цифрах, отправленных внешнему абоненту. Как правило, количество сотрудников в штате данной команды зависит от плотности потока событий в системе. Например, если на первоначальный анализ инцидента требуется в среднем 5–10 минут, то один человек может обработать за рабочий день около 50 инцидентов, соответственно, при плотности потока в 200 инцидентов в сутки необходима группа из четырех человек для осуществления постоянного мониторинга. При этом надо понимать, что расследованием выявленных нарушений должна заниматься отдельная группа;
• мониторинг серверной инфраструктуры;
• мониторинг систем защиты периметра;
• мониторинг антивирусной безопасности;
• мониторинг активного сетевого оборудования.

Хорошо, когда за каждое направление отвечает 1–2 человека. Но на практике эти четыре команды часто объединяются в одну, состоящую из 1–2 специалистов. То есть фактически эта команда из группы мониторинга самая малочисленная. Это обусловлено тем, что мониторинг осуществляется в автоматическом режиме. Но, конечно, стоит учитывать специфику осуществляемого компанией бизнеса, так для телекоммуникационных, процессинговых и других сервисных компаний эта группа будет больше. Из личного опыта могу сказать, что эффективно осуществлять мониторинг 30 узлов в компаниях с количеством пользователей ~500 человек и развитой ИТ-инфраструктурой, но не из сферы телекоммуникационных услуг, возможно силами одного специалиста, при этом для обеспечения бесперебойности работы лучше иметь второго сотрудника.

Такая команда может организовать всесторонний анализ различных источников событий и сформировать объективный взгляд на состояние внешней и внутренней информационной среды, что обеспечит защиту от большей части угроз, окружающих вашу компанию.

Группа разработки

Для поддержания эффективной работы группы мониторинга зачастую необходимо создавать новые механизмы, которые позволят наиболее оптимально решать поставленные задачи. В частности, это предполагает автоматизированные средства обработки информации и максимальную их визуализацию. Для этого требуются специалисты со знанием программирования и визуализации процессов, а также компетенциями в вопросах интеграции различных систем между собой.

Таким образом, мы фактически получаем в команде CISO группу разработчиков программного обеспечения, создающих необходимые для практической работы продукты и сервисы, которые потенциально даже можно монетизировать – то, чего зачастую вообще не ожидают от команды CISO.

Как ни парадоксально, в российских компаниях в составе подразделений ИБ группа разработки зачастую не представлена вообще. Это не позволяет вести независимые перспективные разработки тех средств ИБ, которые не представлены на рынке, но которые могли бы быть актуальными для вашей конкретной отрасли. Наличие по крайней мере 1–2 специалистов в составе такой группы позволит решить большинство специфических задач по защите интересов бизнеса.

Группа технических писателей и юристов

Как бы мы ни старались обходиться без "бумажной" работы, мы гарантированно столкнемся с необходимостью создавать и поддерживать правовое поле для легализации наших действий в рамках компании. В противном случае не будет возможности ни для проведения расследований, ни для официального привлечения работников к ответственности. К тому же нельзя забывать и про документирование всей системы защиты информации: это и схемы, и руководства, и паспорта систем.

Группа расследований

Наконец, мы можем рассмотреть группу расследований – группу, работающую на основе данных мониторинга и наделенную существенными правами в соответствии с внутренними нормативными актами. Данная группа проводит непосредственно сами расследования по выявленным инцидентам, формирует заключения и составляет отчеты руководству о проблемных вопросах. В зону ответственности данной группы также входит взаимодействие с архитекторами ИБ для формирования новых способов защиты, что позволяет усовершенствовать системы защиты и повысить общую защищенность компании.

По собственному опыту, для успешной работы с постоянным потоком инцидентов на четырех специалистов мониторинга должен приходиться как минимум один специалист группы расследований.

На рис. 4 изображена структура команды SICO более подробно.

Стоит отметить, что при соблюдении описанных принципов формирования команды CISO каждый специалист эффективно дополняет друг друга. Это позволяет выстроить комплексную систему защиты компании, что в сегодняшнем мире, полном киберугроз, имеет решающее значение.

Комментарий эксперта

Лев Палей

Начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС”

Стоит отметить, что любая профессиональная сфера подчиняется одним и тем же законам, привнося в их прочтение "свое" изложение и понимание. Но, кроме изложения, есть и другая сторона – профессиональная деформация. Когда ты посвящаешь свое время и энергию решению задач определенной направленности, это отражается на восприятии других вопросов. Профессиональный управленец, к примеру, изо дня в день, уже в качестве бессознательного навыка, производит манипулятивные действия для достижения необходимого результата. И этот навык никуда не уходит при решении домашних задач или других, не связанных с основной деятельностью, вопросов. Как профессиональный водитель, который придерживается своего стиля и на рабочем, и на личном авто, ограничиваясь только техническими показателями средства передвижения. Тут могут быть исключения, но в основном это уже работа с бессознательным навыком, попытка его (навыка) ограничения.

Вполне понятная модель, вызванная тягой к комфорту. Если получается, значит работает! А зачем отказываться от функционирующего решения? И деформация – это набор таких бессознательных и работающих моделей, присущих каждой профессии. Самая понятная аналогия в ИБ – это привычка к конфиденциальности, выработанная благодаря необходимости выделять признаки, классифицирующие информацию разного характера, "на лету". В целом уместная при обеспечении стандартных процессов, эта привычка играет против самого специалиста по ИБ в момент коммуникации: к примеру, нужно объяснить специалисту из непрофильного подразделения дочерней организации, как функционирует система защиты, которая отнесена к определенной категории. И в какой-то момент проще не подобрать актуальную и отвечающую всем требованиям аналогию, а просто гордо отрезать: "Это конфиденциальная информация".

То же и с публичными действиями: статьи, блоги, презентации, доклады. Ключевая мысль не нова и взята из теории решения изобретательских задач (ТРИЗ): "Решить задачу – значит найти и преодолеть техническое противоречие". То есть важно помнить, что из любой ситуации есть больше одного выхода.