Журнал "Information Security/ Информационная безопасность" #2, 2019

ринг осуществляется в автома- тическом режиме. Но, конечно, стоит учитывать специфику осу- ществляемого компанией биз- неса, так для телекоммуника- ционных, процессинговых и дру- гих сервисных компаний эта группа будет больше. Из личного опыта могу сказать, что эффек- тивно осуществлять мониторинг 30 узлов в компаниях с количе- ством пользователей ~500 чело- век и развитой ИТ-инфраструк- турой, но не из сферы телеком- муникационных услуг, возможно силами одного специалиста, при этом для обеспечения беспере- бойности работы лучше иметь второго сотрудника. Такая команда может орга- низовать всесторонний анализ различных источников событий и сформировать объективный взгляд на состояние внешней и внутренней информационной среды, что обеспечит защиту от большей части угроз, окру- жающих вашу компанию. Группа разработки Для поддержания эффектив- ной работы группы мониторинга зачастую необходимо создавать новые механизмы, которые поз- волят наиболее оптимально решать поставленные задачи. В частности, это предполагает автоматизированные средства обработки информации и мак- симальную их визуализацию. Для этого требуются специали- сты со знанием программиро- вания и визуализации процес- сов, а также компетенциями в вопросах интеграции различ- ных систем между собой. Таким образом, мы фактиче- ски получаем в команде CISO группу разработчиков про- граммного обеспечения, соз- дающих необходимые для прак- тической работы продукты и сервисы, которые потенциально даже можно монетизировать – то, чего зачастую вообще не ожидают от команды CISO. Как ни парадоксально, в рос- сийских компаниях в составе подразделений ИБ группа раз- работки зачастую не представ- лена вообще. Это не позволяет вести независимые перспектив- ные разработки тех средств ИБ, которые не представлены на рынке, но которые могли бы быть актуальными для вашей конкретной отрасли. Наличие по крайней мере 1–2 специали- стов в составе такой группы позволит решить большинство специфических задач по защите интересов бизнеса. Группа технических писателей и юристов Как бы мы ни старались обхо- диться без "бумажной" работы, мы гарантированно столкнемся с необходимостью создавать и поддерживать правовое поле для легализации наших дей- ствий в рамках компании. В про- тивном случае не будет воз- можности ни для проведения расследований, ни для офици- ального привлечения работни- ков к ответственности. К тому же нельзя забывать и про доку- ментирование всей системы защиты информации: это и схемы, и руководства, и пас- порта систем. Группа расследований Наконец, мы можем рассмот- реть группу расследований – группу, работающую на основе данных мониторинга и наделен- ную существенными правами в соответствии с внутренними нор- мативными актами. Данная груп- па проводит непосредственно сами расследования по выявлен- ным инцидентам, формирует заключения и составляет отчеты руководству о проблемных вопросах. В зону ответственно- сти данной группы также входит взаимодействие с архитектора- ми ИБ для формирования новых способов защиты, что позволяет усовершенствовать системы защиты и повысить общую защищенность компании. По собственному опыту, для успешной работы с постоянным потоком инцидентов на четырех специалистов мониторинга дол- жен приходиться как минимум один специалист группы рас- следований. На рис. 4 изображена струк- тура команды SICO более под- робно. Стоит отметить, что при соблюдении описанных прин- ципов формирования команды CISO каждый специалист эффективно дополняет друг друга. Это позволяет выстроить комплексную систему защиты компании, что в сегодняшнем мире, полном киберугроз, имеет решающее значение. l • 45 УПРАВЛЕНИЕ www.itsec.ru Стоит отметить, что любая профессиональная сфера под- чиняется одним и тем же зако- нам, привнося в их прочтение "свое" изложение и понимание. Но, кроме изложения, есть и другая сторона – профессио- нальная деформация. Когда ты посвящаешь свое время и энер- гию решению задач определен- ной направленности, это отра- жается на восприятии других вопросов. Профессиональный управленец, к примеру, изо дня в день, уже в качестве бессо- знательного навыка, произво- дит манипулятивные действия для достижения необходимого результата. И этот навык никуда не уходит при решении домаш- них задач или других, не связанных с основной дея- тельностью, вопросов. Как профессиональный води- тель, который придерживается своего стиля и на рабочем, и на личном авто, ограничиваясь только тех- ническими показателями средства передвижения. Тут могут быть исключения, но в основном это уже работа с бессознательным навыком, попытка его (навыка) ограничения. Вполне понятная модель, вызванная тягой к комфорту. Если получается, значит работает! А зачем отказываться от функционирующего решения? И деформация – это набор таких бессознательных и работающих моделей, присущих каждой профессии. Самая понятная аналогия в ИБ – это привычка к конфиденциальности, вырабо- танная благодаря необходимости выделять признаки, классифицирующие информацию разного характера, "на лету". В целом уместная при обеспечении стан- дартных процессов, эта привычка играет против самого специалиста по ИБ в момент коммуникации: к примеру, нужно объяснить специалисту из непрофильного под- разделения дочерней организации, как функционирует система защиты, которая отнесена к определенной категории. И в какой-то момент проще не подобрать актуальную и отвечающую всем требованиям аналогию, а просто гордо отрезать: "Это конфиденциальная информация". То же и с публичными действиями: статьи, блоги, презентации, доклады. Ключевая мысль не нова и взята из теории решения изобретательских задач (ТРИЗ): "Решить задачу – значит найти и преодолеть техниче- ское противоречие". То есть важно помнить, что из любой ситуации есть больше одного выхода. Лев Палей, начальник отдела ИТ-обеспечения защиты информации, АО “СО ЕЭС” Комментарий эксперта Рис. 3. Технические механизмы защиты информации, помогающие в работе команды CISO Ваше мнение и вопросы присылайте по адресу is@groteck.ru