Журнал "Information Security/ Информационная безопасность" #6, 2021

Еще один способ повы- шения эффективности – автоматизация. Она акту- альна как для отделов ИТ, так и для ИБ. Проверка эффективности работы компании является одним из признаков зрело- сти управленческих процес- сов. Это же относится и к различным подразделениям. Аудит дает возможность увидеть эффективность рас- ходования денежных средств и иных ресурсов компании, включая время высшего руководства. В опросниках к своим работам мы просим ответить, насколько регламентирована деятельность отдела ИБ, от 1 до 10. Средний ответ – 6. Фактический – 3. Когда пишут 10 – понимаем, что с этим клиентом будет тяжело. Оптимально ли финансирование ИТ и ИБ? Вопрос финансирования, в отличие от квалификации и рег- ламентации, не так однозначно негативен. Например, в финан- совом секторе за последние несколько лет за счет жестких требований Банка России объем бюджетов на ИТ и ИБ вырос в несколько раз. К сожалению, иногда это происходит "для галочки", но разумные организа- ции выбрали путь "тратить – так на пользу!". За счет этого средняя оценка информационной без- опасности среди банков выросла с 2019 г., на сегодняшний день с 0,72 до 0,86 (см. рис. 3). Финансирование ИТ стоит оговорить отдельно: многие понимают, что за данной сфе- рой будущее. Организации при- шли к этому пониманию благо- даря локдауну и удаленной работе. Но объем финансиро- вания и оптимальность его рас- ходования, увы, не всегда идут рука об руку. Все чаще нами проводятся судебные эксперти- зы многомиллионных контрак- тов, по которым подрядчик про- дает разработку стоимостью несколько сотен тысяч рублей как прорывную технологию за кратно большие деньги. Можно ли повысить эффективность отделов ИТ и ИБ без существенных ресурсов? Если понимать под ресурсами только деньги, то можно. Напи- сание тех же регламентов не очень дорогое мероприятие, но позволяет снизить количество ошибок и даже требования к персоналу. Ниже требования – меньше зарплаты. Не стоит увлекаться и нанимать фило- логов, которых не взяли в "Мак- дональдс" (могут же прочитать регламент), в ИТ-отдел. Возь- мите их референтами или дело- производителями. После регламентации дея- тельности следует оптимизиро- вать финансирование. На этом этапе принимается решение о целесообразности аутсорсинга. Сразу стоит отметить, что для ИБ она выше. Специалисты дороже и встречаются реже. Разумеется, еще один способ повышения эффективности – автоматизация. Она актуальна как для отделов ИТ, так и для ИБ. Средство мониторинга событий, резервного копирова- ния, более мощное оборудова- ние – достаточно эффективные вложения, которые окупятся не только за счет уменьшения штата, необходимого для их обслуживания, но и за счет отсутствия инцидентов утечек данных или простоев системы. Ведь эффективность – это не соотношение цены до и после, это соотношение цены и каче- ства (см. рис. 4). Соответствуют ли применяемые технологии требованиям компании? Вопрос соответствия крайне сложный. Требования бывают объективными, экономическими и бывают просто неадекватны- ми. Ответ на этот вопрос сле- дует разбирать в каждом отдельном случае. Приведем пару примеров. 1. У одного из наших клиентов в ходе пентеста выявили уязви- мости веб-сервера, который заказчик считал более надежным, чем хостинг. То есть заказчик сам настоял на его использова- нии и формально соответствие требованиям привело ко взлому. Хорошо, что это были плановые работы по ИБ, а не действия хакеров. Кстати, интересная деталь: обслуживание своего сер- вера стоило клиенту почти на порядок дороже, чем хостинг. 2. Другой клиент считал, что DLP ему не нужна: зачем систе- ма предотвращения утечек, если ценной информации нет? И когда один из сотрудников получил доступ к сведениям о зарплате других работников, произошел скандал. В этом слу- чае руководство взяло ответ- ственность за инцидент на себя, ведь требования компании нарушены не были. Сисадмин не пострадал. Как часто следует проводить аудит безопасности? Аудит безопасности рекомен- дуется проводить ежегодно, хотя бы в сокращенной форме. Это может быть технический аудит в виде пентеста и анализ изме- нений внутренних документов. Полноценный аудит, с провер- кой знаний ответственных лиц, должен проводиться минимум один раз в два года. Похожего мнения придерживается и Банк России в части требований по проведению аудитов банками. Действовавший еще недавно 382-П и вышедший ему на заме- ну 719-П, а также 683-П реко- мендуют полноценный аудит раз в два года. Пентесты – один раз в год. А вот аудит про- граммного обеспечения – при его замене, что вполне логично: проверил один раз и пользуйся до обновления. Кому необходим аудит? Проверка эффективности работы компании является одним из признаков зрелости управленческих процессов. Это же относится и к различным подразделениям. ИТ и ИБ не являются каким-либо исключе- нием, поэтому вне зависимости от способа организации работы этих отделов (аутсорсинг либо штатные сотрудники) аудит крайне важен. Этот процесс позволяет оце- нить эффективность работы специалистов по ИБ, ответить на вопрос: действительно ли качественно решаются задачи? Аудит дает возможность уви- деть эффективность расходо- вания денежных средств и иных ресурсов компании, включая время высшего руководства. В результате могут быть сформированы обоснованные и эффективные управленческие решения, вплоть до перехода на аутсорсинг или, наоборот, возврата к своему собственно- му отделу. Крайне важно, чтобы аудит был действительно независи- мым. Доверять аудит интегра- тору (провайдеру аутсорсинго- вых услуг) очень рискованно, поскольку подрядчик заранее заинтересован в демонстрации преимуществ одного из вари- антов решения задач. Анало- гично и с поставщиками техни- ческих решений. l • 27 УПРАВЛЕНИЕ www.itsec.ru Рис. 4 Рис. 3 Ваше мнение и вопросы присылайте по адресу is@groteck.ru