Журнал "Системы Безопасности" № 5‘2021

S E C U R I T Y A N D I T M A N A G E M E N T 23 или недостаток аргументации, то явные требо- вания по необходимости формирования перечня процессов организации, содержащие- ся в данном законе, – отличный и веский довод, который может предложить подразде- ление кибербезопасности. и то, что безопас- ность предоставит такой инструмент, о котором невовлеченные подразделения могут даже не знать, будет очередным плюсом в выстраива- нии доверительных отношений внутри субъ- екта Кии. не стоит также забывать и о том, что сформи- рованная внутри субъекта комиссия по катего- рированию объектов Кии – дополнительная площадка для диалога бизнес-подразделений с подразделением кибербезопасности и воз- можность найти больше общих точек контакта по вопросам, которые зачастую тяжело донести друг до друга (особенно вопросов обеспечения безопасности). Уроки, которые мы извлекаем по итогам проделанной работы исследуя процессы организации, мы получаем следующие значимые сведения, которые в дальнейшем можем использовать в работе: l схема процесса – ценное знание, позволяю- щее отслеживать его состояние не только в рамках бизнес-метрик, но и при имплемен- тации мер защиты; l владелец процесса – источник информации о его узких местах, которые могут не быть видны безопасности, смотрящей на процесс "извне"; l метрики процесса, полученные в рамках его анализа (входные, выходные данные (объем, количество, тип, время), скорость его испол- нения и т.п.) – подспорье во внедрении более точных мер контроля (как ручных, так и авто- матизированных). Стоит понимать, что данный подход подводит нас к необходимости формализации таких направлений и задач, как: l организация процессов периодической инвентаризации информационной инфра- структуры со стороны иТ и иБ; l наличие актуальных схем процессов органи- зации (особенно тех, что попали, в понима- нии федерального закона № 187-фз, в кате- горию критических); l формирование понимания обоюдной потреб- ности в диалоге между безопасностью и вла- дельцами процессов; l желание смены роли подразделений безопас- ности от "продавцов страха" к тем, кто реаль- но обеспечивает потребности бизнеса в части безопасности. Проделав такой объем работы по анализу, созданию схем процессов, выстраиванию диалога внутри субъекта, что мы получим? возможность погрузиться в бизнес-составляю- щую организации и контролировать защищен- ность не только на периметре и "извне", смотря на процессы и вовлеченные информационные системы как на черные ящики, но и обнаружи- вая возможность внедрения новых мер защиты, опираясь на полученные метрики течения про- цессов. Такая эволюция является важным шагом в развитии подразделений кибербезопасности и позволит: l развивать и масштабировать собственную структуру, так как рост количества внедряе- мых информационных систем и усложнение бизнес-процессов будет требовать пропор- ционального роста численности службы или внедрения дополнительных автоматизиро- ванных инструментов; l профилировать работников под конкретные направления, не только основываясь на базо- вых сферах иТ и доменах иБ, но и в разрезе бизнес-процессов; l при достижении определенного масштаба организации полученные сведения станут отличным фундаментом для построения цент- ров мониторинга, которые будут получать в работу гораздо более конкретные события, сформированные средствами защиты и конт- роля, которые настроены с учетом процессов конкретной организации, а не "в среднем по рынку". Кроме того, необходимо помнить, что полная реализация мероприятий по категорированию у субъекта может занимать до года с момента отправки перечня объектов Кии до предостав- ления сведений о категорировании во фСТэК России. Если по итогам категорирования у субъ- екта будут выявлены значимые объекты Кии, то на него начнут распространятся дополнитель- ные подзаконные акты, связанные с обеспече- нием их безопасности, формированием обособ- ленных подразделений или выделением отдель- ных ответственных работников для обеспечения безопасности объектов Кии, а также подключе- ния к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресур- сы Российской федерации фСБ России. фундаментом для выполнения этих требований также будут именно результаты более деталь- ного анализа процессов организации на ранних этапах категорирования, описанные ранее. Одновременно появится возможность оценить, как подразделение кибербезопасности распре- деляет собственные ресурсы. Если для бизнеса "система N" является объективно важной, а мы инвестируем больше ресурсов в защиту "систе- мы М", которую мы как подразделение кибер- безопасности считаем более важной, то, воз- можно, следует дополнительно пересмотреть подходы, используемые для принятия решений по выстраиванию обеспечения кибербезопас- ности организации. и даже если "система N" не получила категорию значимости и по требова- ниям законодательства к обеспечению ее защи- ты в рамках 187-фз нет дополнительных тре- бований, она определенно должна попасть в поле нашего внимания как значимая для биз- нес-подразделений. Работа подразделения кибербезопасности на будущее фундаментальная подготовка, анализ и плани- рование являются основой эволюции подразде- лений кибербезопасности и, как следствие, рас- крывают возможности развития в направлении построения центров мониторинга. Кроме того, чем больше в нашем распоряжении будет объ- ективной информации о собственной деятель- ности, тем проще будет оценивать потребность в кадровом и материальном ресурсном обес- печении, что позволит больше внимания уде- лять непосредственно построению системы без- опасности организации и меньше – поискам ресурсов для решения этой задачи. и описан- ный подход к детализации процессов и внедре- нию мер защиты и контроля на основании их метрик – один из провайдеров объективной и измеримой информации. Для кого может быть применима данная стратегия? Работа по анализу и пересмотру процессов организации – это инструмент, доступный не только тем организациям, которые попали под область действия федерального закона от 26.07.2017 г. № 187-фз. Любая организация на разных этапах развития и совершенствова- ния своей системы защиты информации может помимо традиционных инструментов, таких как модели угроз и нарушителей, анализ инфра- структуры и доступных средств защиты, обога- щать входные данные еще и результатами ана- лиза процессов организации. необязательно сразу переключаться с одного подхода на другой. неплохим решением будет выделение одного процесса, его детальный анализ, оценка полученных результатов и при- нятие решения о том, стоит ли тиражировать такой подход дальше по всем процессам или в настоящий момент ресурса на такие меро- приятия нет. При оценке рекомендую учитывать следующие вопросы и, отвечая на них, двигаться к цели: l есть ли в распоряжении подразделения кибербезопасности в настоящий момент (или в ближайшее время появятся) инструменты, которые можно внедрить в анализируемый процесс без внесения изменений в его тече- ние для бизнеса; l есть ли ресурсное обеспечение для решения данной задачи; l есть ли понимание того, зачем происходит процесс внедрения процессов обеспечения безопасности глубже в бизнес-процессы. Данные критерии не являются обязательными и являются подсказкой о том, в каком направ- лении стоит смотреть, не забывая о том, что у каждой организации есть своя индивидуаль- ная специфика. n www.secuteck.ru октябрь – ноябрь 2021 СПЕЦПРОЕКТ БЕзОПаСнОСТь БанКОв в эПОху ЦифРОвизаЦии Н е стоит забывать о том, что сформированная внутри субъ- екта комиссия по категорирова- нию объектов КИИ – дополни- тельная площадка для диалога бизнес-подразделении с подраз- делением кибербезопасности. Это дает возможность наити больше общих точек взаимодей- ствия по вопросам обеспечения безопасности Ваше мнение и вопросы по статье направляйте на ss @groteck.ru