Первое, с чего начинает, устроившись на работу, опытный специалист по информационной безопасности (ИБ), выясняет круг своих обязанностей и четко определяет их в трудовом договоре. Специалист по ИБ ни в коем случае не должен выполнять функции системного администратора. Хотя бы потому, что в кризисных ситуациях возникнет конфликт расстановки приоритетов решения проблем. Например, атака на сеть предприятия привела к выходу из строя почтового сервера. За какое дело хвататься быстрее: «поднимать» сервер или предотвращать вторжение?
Когда этим занимаются два разных человека, такой дилеммы не возникает. После трудоустройства специалисту по ИБ необходимо сразу же решить целый ряд вопросов.
1) Выявить источники потенциальных угроз. Это могут быть не только классические уязвимости локальных вычислительных сетей (ЛВС), но и беззащитные телефонные кабели, беспроводные клавиатуры, мониторы, развернутые к окну, болтливые, халатные или просто глупые работники. Принципиально важно понять, от кого, от чего и на каком уровне вы собираетесь защитить свою сеть. У каждого типа организации тут своя специфика.
2) Согласовать с руководителем объем финансирования, оценить убытки от возможного несанкционированного доступа к информации или ее нежелательной модификации. Исходя из этого, надо затем обозначить контролируемые объекты и ресурсы сети. Защитить каждый узел порой бывает невозможно, да и не требуется. Однако вы должны осознавать, что общая степень защищенности равна степени защиты самого слабого участка системы (сети — razgovorodele.ru).
3) Установить рабочие группы пользователей и набор минимально необходимых прав для каждой из них. Идеальный вариант: изначально на программно-аппаратном уровне запрещается вообще все. Затем, по мере необходимости, отдельные действия разрешаются. Тогда вы будете уверены, что никакие неиспользуемые порты не открыты, никакие лишние службы, и программы не работают.
4) Определить действия сотрудников во время возникновения нештатных ситуаций. Самый простой принцип «руки прочь от клавиатуры»: лучшая помощь это когда не мешают.
Один в поле не воин. Даже целый отдел по информационной безопасности может не справиться со своими задачами, если ему не будут помогать (или, как минимум, не мешать) остальные работники предприятия. Поэтому разработка административно-правовых мер политики безопасности является третьей главной задачей специалиста по ИБ, которую он осуществляет совместно с руководителем, системным администратором и СЮ. Это основа всей защиты. Политика безопасности должна быть четко прописана в руководящих документах, соответствовать современному уровню, быть обязательной для исполнения и предусматривать серьезные взыскания за нарушения установленных правил.
Человеческий фактор всегда один из самых весомых и трудно контролируемых. Вот почему крайне важно объяснить каждому сотруднику, что и почему он не должен делать. Выбор, установка и настройка программно-аппаратного комплекса специальных средств защиты и поддержание его на необходимом уровне тоже являются одной из главных задач специалиста по информационной безопасности.
Стоит напомнить, что безопасность — это процесс. Система защиты без постоянной модернизации устаревает с момента установки и сама становится источником угрозы. Иллюзия защиты даже хуже ее полного отсутствия. По данным независимых аналитических агентств, большинство отечественных компаний увеличили бюджеты на информационную безопасность в последние годы. Это показывает, насколько возросло внимание к управлению информационными рисками за последние несколько лет. Отчасти это объясняется повышенным интересом к вопросам ИБ в связи со значительно возросшими требованиями со стороны государственных регулирующих органов и деловых партнеров.
Обстоятельства доказывают необходимость и своевременность роста затрат на информационную безопасность, так как инциденты, связанные с нарушением ИБ, становятся более частыми и более обременительными в финансовом отношении. В кадровом аспекте это будет обозначать даже не поиск готовых специалистов CISO (в связи с их дефицитом — razgovorodele.ru). Вопрос заключается в затратах (временных, денежных, организационных) на подготовку и «тюнинг» профессионалов, способных отвечать за сохранность такого важнейшего ресурса компании, как информация.