Алексей Лукацкий
Бизнес-консультант по информационной безопасности Алексей Лукацкий отвечает на вопросы Global Digital Space по теме прошедшего эфира -“Закон № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»”.
Обсудили с Алексеем вопросы:
- как распределить функции по обеспечению кибербезопасности между смежными отделами ИТ и ИБ не раздувая штат;
- где сейчас найти квалифицированных специалистов в сфере ИБ;
- какие работы по ИБ можно отдать компаниям - подрядчикам;
- возможно ли за короткий срок провести оценку безопасности информационных систем, в какой форме она проводится;
- смогут ли организации полностью перейти на отечественное ПО и оборудование в срок до 2025 года;
Согласно указу 250 требуется создать структурные подразделения по обеспечению информационной безопасности. Это отличная новость!
Компании будут модернизировать старые подразделения, закладывать бюджет на отделы Информационной Безопасности, ИБ-специалистов.
Каким вы видите идеальный состав команды ИБ–отдела в текущих реалиях и какими обязательными компетенциями должны обладать такие специалисты?
Идеального состава не бывает.
Все очень сильно зависит от непосредственно предприятия, а самое главное, от того, как делится между ИТ и ИБ функционал с точки зрения информационной безопасности.
Потому что во многих организациях ИБ пытается отвечать за все вопросы, в том числе за эксплуатацию средств защиты, в том числе встроенных в сетевое оборудование, в базу данных, в операционные системы.
Как следствие это приводит к некому раздуванию штата и дублированию функций.
На мой взгляд, гораздо более правильная структура заключалась бы в том, что вся эксплуатация средств информационной безопасности, включая файерволы, антивирусы, сканнеры, решения по управлению ложатся на ИТ-подразделения.
Чтобы именно одно лицо отвечало за работоспособность всей инфраструктуры. А информационная безопасность берет на себя функцию контролирующую и в лучшем случае берет на себя эксплуатацию мониторинга айдиэсов и SIEM, а может быть и айдиэсы отдать в ИТ, а на себя взять только функции мониторинга, проведения анализа защищенности, разработки и контроля соблюдения политик безопасности, функции SOC то есть мониторинга ИБ, проведения мероприятий по повышению осведомленности среди персонала, отсюда собственно и будет строиться функциональность и штатная численность персонала ИБ.
То есть если это SOC, и он работает круглосуточно, то это не менее 12 человек.
Соответственно, эти люди будут заниматься анализом событий безопасности и частично реагированием на инциденты.
Если необходимо повышение осведомленности, то это, наверное, еще один человек. Дальше, если мы говорим про SecDevOps, то опять же в зависимости от компании это можно отдать айтишникам, разработчикам, можно оставить у себя.
Появится человек, который, например, занимается моделированием угроз, возможно нужен человек, который будет в текущих условиях заниматься взаимодействием с поставщиками, потому что полный передел рынка, отказ от иностранных игроков, переход на отечественных игроков потребуют соответственно пересмотра всех взаимоотношений, а это время, которое можно, конечно, возложить на руководителя службы ИБ, но, возможно, он и не захочет заниматься такого рода рутиной и бюрократией, вот, ну и так далее.
То есть на мой взгляд вот разговор о любой универсальной численности или структурном составе службы Информационной Безопасности это как правило ни о чем, потому что надо понимать, что за организация.
Например, если компании активно уходят в облака, очевидно, что должны появиться люди, которые отвечают за облака, то есть должен быть архитектор нормальный в области кибербезопасности.
Поэтому вопрос очень непростой, я бы мог отправить всех почитать свой блог, где подробно расписаны различные варианты и подчиненности службой ИБ, и ее состав возможный, но, забегая вперед, могу сказать, что универсального состава нет, поэтому у правительства будет очень непростая задача в универсальном для всех постановлении правительства описать функциональности и штатную численность, требования по квалификации персонала, который будет отвечать за реализацию указа.
Говоря о квалификации, нередко приходится слышать, что ИБ-отрасль испытывает дефицит квалифицированных специалистов, и сейчас мы видим активный рост образовательных программ из различных самых учреждений, даже непрофильных. Это не дает нам хороших специалистов здесь и сейчас, это хороший задел на перспективу, но возникает вопрос: где брать хороших, квалифицированных специалистов сейчас для решения своих нужд по Информационной Безопасности?
Увы, ответа на этот вопрос, подходящего всем, нет.
Крупные, богатые компании могут переманивать – и они это делают – сотрудников у игроков, у компаний, которым меньше повезло с точки зрения возможности предоставить хорошие соцпакеты, хорошую зарплату.
У компаний поменьше возможность опять же договариваться с какими-то кафедрами в вузах и иметь базовые кафедры для того, чтобы по них готовили специалистов, и один день, например, эти специалисты уже со второго курса могут работать, стажироваться и выполнять какие-то базовые задачи.
В частности, я тридцать лет назад, когда только начинал заниматься кибербезопасностью ровно так и работал: из пяти дней обучения один день у нас был выделен на практику в одном московском ящике, где я работал как раз в отделе защиты информации, вот.
То есть тридцать лет эта схема работала.
Почему не воспользоваться ею сейчас?
Ну, и третий вариант, это использование так называемой схемы с секьюрити-чемпионами, когда проводится некая чуть более углубленная, чем повышение осведомленности работа с сотрудниками в повседневных обычных подразделениях у коммерсантов, у тех же самых айтишников, у кадровиков и так далее, в каждом подразделении выбирается один человек, который по сути своей является проводником или посредником в области кибербезопасности.
То есть он чуть более погружен в тематику, он может отвечать на вопросы своих коллег по отделу, какие-то базовые вещи решать, консультировать, помогать, снимая нагрузку тем самым со службы ИБ, в которой на сегодняшний день не хватает кадров.
Вот эти три варианта могут решить задачу здесь и сейчас.
Ну, и затем уже, собственно, решается параллельно задача долгосрочная, то есть это подготовка кадров уже либо на базе бакалавриата, то есть четырехлетнее образование, либо договоренность с какими-то СПО, то есть все колледжами, которые готовят среднее профессиональное образование, откуда можно брать специалистов по безопасности.
Такие колледжи есть. Тот же Сириус, например. Которые не должны, и от них не требуется каких-то глубоких аналитических познаний, и они могут заниматься тем, что там крутят средства защиты.
А вот для аналитики, там зачастую нужны люди с высшим образованием, но, к счастью, их нужно гораздо меньше, чем людей, работающих руками, поэтому задачу решить можно.
Главное – подойти к ней чуть более творчески, чем мы привыкли рассчитывать только на ВУЗ`ы, которые готовят по ФГОС`ам специалистов, которых все равно потом надо переучивать.
Ну, и как вариант, конечно, мы можем обращаться к компаниям, сторонним компаниям подрядчикам.
Да, сервисная модель – тоже вариант концепции висиса и, собственно, аутстаффинг, и просто сервисная модель, на аутсорсинг отдать свою безопасность.
Это возможный вариант, но тут надо взвешивать все “за” и “против”, возможность потери контроля, и самое главное с финансовой точки зрения далеко не все могут обратиться к аутсорсингу, поэтому мы и говорим о подготовке своих кадров.
Но если у компании есть возможность, есть ресурсы финансовые, и она готова частично потерять контроль над ИБ, то да, сервисная модель, она отлично подойдет, и буквально завтра или сегодня после эфира можно пойти заключать договора.
Какие работы лучше отдать подряду?
Отдавать нужно то, на что нет своих специалистов или то, что мы не можем делать в круглосуточном режиме.
Например, тот же самый мониторинг ИБ можно отдать спокойно во внешний SOC, причем здесь можно даже сделать гибридные схемы, например в рабочее время мониторинг осуществляется своими специалистами, а в нерабочее время, в выходные, ночью, в праздники это делает внешний SOC, или даже наоборот в зависимости от наличия персонала.
Кроме того, можно спокойно отдать управление средствами защиты при наличии нормальных, четко прописанных политик и правил разграничения ответственности между аутсорсером и компаниями заказчиков.
То, что нельзя отдавать – это функцию выработки политики и контрольную функцию, потому что контролер должен быть. Даже для аутсорсера мы всё равно должны контролировать регулярно его деятельность.
Поэтому как минимум руководитель желательно, чтоб он был свой, хотя концепция висиса и здесь позволяет нам отдать эту функцию на аутсорс. Но в этом случае мы должны очень хорошо и глубоко доверять компании, с которой мы заключаем договор на полный аутсорсинг, потому что если у нас нет даже внутри человека, который вообще понимает что такое безопасность, зачем она нужна нашей компании, какая информация ценная, какая нет, какой ущерб может быть от тех или иных негативных событий, тогда получается, что мы вообще не понимаем необходимости в информационной безопасности. Занимаемся только чисто комплаенсом, выполнением требований указа, что может быть не есть правильно. Поэтому все-таки свой человек, хотя бы один, который определяет всю политику в области ИБ, должен быть, а вот чьими руками он это будет делать – это уже вопрос второй.
Организациям из перечня ключевых необходимо провести оценку уровня защищенности своих информационных систем до 1 июля 2022 года, а сам перечень ключевых организации должен быть определен правительством до 1 июня, то есть всего месяц. Достаточно ли месяца для того, чтобы провести такую оценку?
Ну, как мы понимаем, речь не идёт об полноценном глубоком всестороннем инструментальном анализе защищенности, то есть это не пентесты, это не red teaming, это даже не сканирование уязвимости, то есть в данном случае речь идёт о неком опросе в виде опросника, который будет отправляться уполномоченной структурой.
Это может быть Минцифры, или ФСТЭК, или ФСБ, или еще кто-нибудь, по тем организациям, которые будут составлены и попадут в этот список. И соответственно, в течение месяца компании должны будут ответить на этот опросник, состоящий там из какого-то количества – сотня, две сотни вопросов.
Очевидно, что этого месяца в принципе достаточно для ответов на многие вопросы, потому что информационная безопасность в такого рода организациях как правило создается и создана не сейчас, а она уже должна была быть создана там не один, не два, не три года назад. Поэтому какой-то задел есть.
Понимание того, что делалось и что делается в организации есть.
Надо просто облачить это в слова и положить на бумагу для того, чтобы отправить этот опросник обратно в компанию, в организацию, которая запрашивает ответы на этот вопрос.
Поэтому месяца в принципе достаточно, но дальше, как всегда в России, начнутся всякие нюансы: кто-то делал раньше всё это для галочки, кто-то только на бумаге, кто-то будет скрывать результаты реальные уровня своей безопасности, но задача всех участников процесса после бумажного анализа защищённости перейти к инструментальному, чтобы на деле выявить те проблемы, которые в организациях есть.
По факту мы придем к тому, что компании окажутся более защищенными по итогу этого немного поверхностного аудита.
Ну, мы надеемся все, что любые телодвижения в сторону контроля внешнего приведут к тому, что контролируемые начнут чуть лучше заниматься безопасностью, чем они делали это раньше. Ну или либо просто пересмотрят, то, что они делали и подтвердят, что они все делали правильно. Поэтому да, уровень защищенности должен повыситься.
С 1 января 2025 года организациям запрещается использовать средства защиты информации, произведенные в не дружественных государствах, либо организациями под их юрисдикцией. Это означает исключение привычного оборудования, привычного ПО, перестройку процессов, разработку технической и аппаратной части, и это звучит очень масштабно и довольно пугающе, но в тоже время очень перспективно. Что вы думаете по этому поводу?
Ну, я считаю, что это пугающее. Считаю, что это перспективно.
Ну, а дальше будем смотреть. Потому что очевидно, что к этому сроку эта задача точно нереализуема, здесь даже можно с уверенностью утверждать.
То есть если мы вспомним, что история с импортозамещением в России началась после Крыма, то есть, по сути своей уже 8 лет пытаются внедрять отечественное ПО в государственные организации, и пока там конца и края не видно.
Это означает, что вот эти рекомендательные шаги, они эффекта не дают,
пока организацию, пока компанию не поставят в жёсткие рамки, когда уйти от выполнения требования будет нельзя, и обойти его тоже будет нельзя.
Поэтому вот эти 3 года, а на самом деле гораздо меньше, оставленные на переход на отечественные средства информационной защиты, это, на мой взгляд, только первый шаг.
Очевидно, что, когда там будет подступать первого января, станет понятно, что мало кто целиком перешел на отечественные средства защиты в полном объёме, начнутся какие-то, возможно, отсрочки.
Но самое главное, чтобы движение в эту сторону началось, а дальше уже будет понятно, будет ли это отечественные средства защиты информации, будет ли это open source, и под это дело поменяют нормативную базу, либо это будет сервисная модель. И может быть не так важно, что на уровне сервиса, какие решения используются, то есть там схемы реализации вот этого запрета могут быть совершенно разные.
Главное, чтобы движение началось, и 2025 год, я думаю, специально выбран. чтобы компании за эти два с половиной года определились по какому пути движения, решения этой задачи они будут двигаться.
И мы увидим явно какой-то промежуточный результат. Спасибо большое за беседу и подписывайтесь на наш канал и рассылку, чтобы быть в курсе новостей.
