Рост киберугроз и появление интеллектуальных электронных устройств на всех уровнях коммуникаций и управления организациями привели к безусловному увеличению роли служб информационно-технической безопасности (информационная безопасность + инженерно-техническая защита). Однако стремительно начав внедрение новых средств и систем защиты, таких, как межсетевые экраны, системы предотвращения вторжений, антивирусов и так далее, во многих компаниях забыли о том, что техническая сторона вопроса не является единственной. И пока служба безопасности устанавливает программные и аппаратные решения на ИТ-системах, АСУТП, защищая данные и управляя процессами доступа, предприятие остается беззащитным перед множеством рисков.
Риски ИТБ в ТЭКе
Сами по себе риски для предприятий ТЭКа являются вполне стандартными: утрата репутации, потеря соответствия, риск ликвидности, террористические риски и так далее. Их перечень не зависит от специфики бизнеса и величины организации. Каждый риск нужно оценивать, не зацикливаясь на каком?то конкретном, иначе произойдет снижение общего уровня безопасности.
При всем этом в компаниях ТЭКа имеется большой список объектов, которые относятся к критически важным. Выход из строя каждого из них может привести к чрезвычайной ситуации федерального характера. И здесь проблема защиты АСУТП объектов оказывается куда более острой, чем даже прямая террористическая угроза. Если злоумышленник пронесет бомбу на завод, он уничтожит только часть предприятия, а с помощью систем АСУТП можно создать настоящую техногенную катастрофу, способную обезлюдить целые города.
Например, сегодня нефтеперерабатывающие заводы не могут обойтись без систем АСУТП. При этом информация для управления производством вводится извне, чтобы можно было включить все оборудование в общую систему менеджмента. Благодаря этому производство становится более гибким, но в случае перехвата или неграмотного управления могут произойти настоящие ЧП. Именно поэтому системы АСУТП должны быть не просто изолированы, а защищены на уровне встроенных решений. И сегодня мы видим большой спрос на подобные услуги, а набор компетенций RedSys позволяет эффективно решать такие проблемы.
Практика построения системы ИТБ
Мы считаем наиболее соответствующей реальности трехосновную модель обеспечения безопасности. И первым блоком по значимости оказываются отнюдь не технические средства, а кадровая политика. Как показывает практика, формирование кадровой основы службы ИТ должно происходить под руководством подразделения ИБ, а не наоборот. Тут нет ничего удивительного, ведь большое количество рисков ИБ исходит именно от сотрудников службы ИТ. В любой хоть сколь?нибудь проработанной концепции безопасности прописано, что практически любой администратор является потенциальным нарушителем высшего уровня. Каждодневная работа с сотрудниками ИТ-службы организации – одна из важнейших функций служб ИТБ.
Далее следует юридический блок. Он очень хорошо прорабатывается в западных странах, но в России, к сожалению, чаще всего передается юристам общего направления. Как правило, являясь специалистами в корпоративных вопросах, такие люди не знакомы в достаточной степени со спецификой работы служб ИТБ, и поэтому они часто не понимают, как реально применяется законодательная и нормативно-техническая база в области информационной безопасности и инженерно-технической защиты, что такое сертификация и аттестация объектов информатизации и так далее. А ведь именно глубокое знание юриспруденции в предметной области поможет защитить руководителя организации, личный состав и в том числе руководителя службы ИТБ в случае возникновения опасных инцидентов. И именно проработанные юридические механизмы позволяют наказать нарушителя, который преступает закон, правила или внутренние регламенты. Помогая заказчикам создавать юридический регламент, мы часто сталкиваемся с ситуациями, когда руководство просто не могло наказать сотрудников, нарушающих правила, потому что такие процедуры не были предусмотрены.
Наконец, третья составляющая комплекса информационной безопасности – техническая. Но и тут возникает масса нюансов, связанных с архитектурой используемых решений. В процессе реализации ряда проектов в нефтеперерабатывающих и энергетических компаниях мы в RedSys выработали основные принципы работы в ТЭКе. И кроме комплексного подхода к решению задач, связанного с их масштабностью, на первом месте также стоит тезис Primum non nocere (прежде всего, не навреди). Даже если предложение будет сопровождаться очень привлекательными ценами, в таких отраслях, как ТЭК, невозможно перестроить все под требования ИТБ, нельзя в давно существующей и функционирующей системе поменять всё и вся – делать это нужно осторожно, продуманно и аргументированно, а такие системы, как АСУТП, вообще нуждаются в особо бережном обращении. В нашей компании в отношении АСУТП мы придерживаемся принципа «пассивного режима» работы средств обеспечения безопасности, когда они ни в коем случае не должны блокировать функционал АСУТП, но давать полную картину о происходящем. Этот принцип позволяет уберечь предприятие от часто совершаемой ошибки, когда средства безопасности становятся избыточными и могут просто остановить работу предприятия.
Подходя к вопросам практического построения систем информационной безопасности, наши заказчики сталкиваются с тремя типами задач: разработкой комплекта организационно-распорядительной документации, поиском компетентных кадров и внедрением технических решений. Успешное функционирование системы безопасности подразумевает, что грамотно сформированный и укомплектованный кадровый блок ИТБ, на основе правильно оформленной, полной, включающей в себя все необходимые требования документации, использует современные и в достаточном количестве технические средства и системы для осуществления деятельности по ИТБ организации. Все элементы этой системы должны быть сбалансированы – если не хватает бюджетов, если не набраны люди, не закуплены средства или, что хуже всего, не подготовлены документы, ничего не будет работать. Даже при самом дорогом оборудовании, но без специалистов систему ожидает провал. То же самое можно сказать про отсутствие концепций, политик и другой документации – даже лучшие специалисты ничего не смогут сделать, когда не определены приоритеты, цели, задачи и методы. Однако, к сожалению, такая картина наблюдается во многих российских компаниях, и ТЭК – не исключение.
Конвергенция
В современном мире нельзя разделять понятия информационной безопасности и инженерно-технической защиты объекта – все это очень сильно взаимоувязано. Когда?то в одном из учебников для вузов МВД я увидел замечательный термин «инженерно-техническая защита информации», и это правильная формулировка. Если не будет правильной защиты периметра, строить дорогостоящую систему информационной безопасности бесполезно, и наоборот. Один из примеров – это гибридные пластиковые карты (пропуска).
Гибридные пропуска / смарт-карты помогают дополнительно защитить информационные системы. Например, пользователь SAP или 1С не может авторизоваться, если он не входил на территорию предприятия. Еще раз хочу сказать: в действительности такой подход сегодня необходим – без правильно защищенного периметра ставить большое количество средств защиты бесполезно. Да и провести мероприятия по расследованию утечек информации внутри компании не получится, если нет постоянного взаимодействия между специалистами, обеспечивающими контроль периметра и обеспечение ИБ.
Эксперты RedSys рекомендуют заказчикам не делить одну пластиковую карту между разными подразделениями, а создать вместо этого правильную концепцию ИТБ организации. И это гораздо эффективнее, чем передавать инженерно-техническую безопасность полностью под контроль ЧОПа и терять контроль над ней.
Кроме этого, конвергенция средств безопасности помогает экономить средства в кризис. В частности, пропадает необходимость содержать сразу двух администраторов – для контроля физического доступа и доступа к ИТ-системам. А, учитывая масштабы предприятий ТЭКа, оптимизация рабочей силы квалифицированных ИТ-специалистов может оказаться весьма заметной.
Руководитель ИБ – важная роль
В контексте происходящих изменений также нужно правильно выстроить вертикаль управления, так как не бывает ситуации хуже, чем непонимание руководством, что такое ИТБ. Если вопросы безопасности переводятся в ведение ИТ, можно сразу забыть о качественной защите. Дело в том, что службы ИТ уже имеют большой вес в крупных организациях, там работают опытные и квалифицированные люди. Для примера: часто ИТ-специалист, работающий в SAP, оказывается грамотнее бухгалтеров. Таким образом, ИТ часто подминают под себя другие службы, становятся «незаменимыми» и не дают вести правильную, самостоятельную политику.
Для реального обеспечения безопасности ТЭКа служба ИТБ должна быть отдельной единицей, подчиняться только руководителю. И особую роль здесь играет руководитель подразделения ИТБ. Очень многое зависит от его грамотности и авторитета: он должен понимать, что происходит в ИТ в частности и в организации в целом и что нужно делать для обеспечения защиты. Директору по ИТБ необходимо постоянно заниматься информированием руководства и сотрудников, проводить семинары и занятия, ненавязчиво объясняя роль ИБ в деятельности компании. Фактически директор по ИТБ должен постоянно переводить с технического языка на общедоступный и объяснять потребность в ИТБ понятными словами. Помогая заказчикам в проведении подобных семинаров и презентаций, мы часто видим, как люди начинают понимать задачи информационной безопасности и оказывают поддержку службе ИТБ вместо молчаливого сопротивления. В этом случае можно говорить об успешном внедрении политик и о правильном направлении развития стратегии информационной безопасности в компании.
В заключение следует упомянуть, что во многих странах информационная безопасность стоит по государственным приоритетам на втором месте после защиты от терроризма. По мнению экспертов RedSys, стоит обратить на это внимание и, возможно, последовать примеру наших зарубежных коллег.
Павел МИРОНОВ, директор департамента по работе с компаниями ТЭКа, RedSys
Приобететение доступа к файлам
ВНИМАНИЕ: Данная информация получена путем сканирования, цифровой обработки физических носителей или обмена с неравнодушными пользователями. Она не имеет отметок грифа секретности и тайны, если вы считаете, что эта информация нарушает Ваши авторские или другие права. Незамедлительно сообщите администратору для удаления ее из портала.