Главный в XXI веке: почему бизнесу в России необходим специалист по информационной безопасности
Борисов
эксперт Центра предоставления сервисов кибербезопасности "ICL Системные технологии"
В начале года в МВД заявили: число кибератак в нашей стране выросло в 16 раз. При этом, по данным исследования компании Anti-malware, в 27% российских компаний до сих пор нет выделенных специалистов по информационной безопасности. Почему специалист по информационной безопасности необходим каждому бизнесу в России? Как найти достойного кандидата на эту должность, и почему ИТ и ИБ - не одно и то же? Эксперты в области информационной безопасности отвечают на эти и другие популярные вопросы об ИБ.
Почему специалист по информационной безопасности необходим вашему бизнесу?
Александр Борисов, эксперт Центра предоставления сервисов кибербезопасности "ICL Системные технологии"
"У каждой компании есть массивы сведений, которые накопились за время работы и которые нужно обрабатывать, хранить и передавать. Главный актив организации – данные, ценность которых складывается из конфиденциальности, целостности и доступности к ним.
К сожалению, невозможно полностью исключить киберинциденты. Но именно специалист сможет сработать на опережение, чтобы быть готовым к различным атакам. Такой сотрудник в ответе за пул задач: от разработки политики ИБ на предприятии, до администрирования различных средств защиты информации и решения возникающих инцидентов. Зачастую, этим занимаются целые отделы.
Особенно актуально наличие эксперта по кибербезопасности в финансовых компаниях, промышленных предприятиях, чтобы защищать автоматизированные системы управления технологическими процессами (АСУ ТП), и центрах компетенций, которые содействуют различным компаниям в повышении уровня защищенности.
Набор навыков, которые понадобятся сотрудникам в работе, всегда будет зависеть от задач. В качестве основы лучше получить профильное высшее образование, а также в процессе обучения стоит начать проходить стажировку по специальности.
А для тех, кто хочет перейти в ИБ-направление из другой профессии, хорошим мостиком станет самостоятельная подготовка к сертификациям CEH или CISSP. В них затрагиваются основные сферы деятельности ИБ - специалиста. Помимо этого, нужно постоянно обучаться, изучать старые и новые методики защиты и взлома, участвовать в профильных конференциях, чтобы знать о современных средствах защиты и об актуальном ландшафте угроз".
Гузель Мерцалова, специалист по информационной безопасности компании ICL Services
"Мы живем в такое время, когда информация зачастую более ценна, чем материальные вещи А значит ее нужно защищать. Как именно нужно защищать информацию? Желательно комплексно, потому что информационная безопасность затрагивает многие аспекты деятельности компании. Выстраивание комплексной системы защиты информации и есть задача специалиста по информационной безопасности. В работе такого специалиста можно выявить два крупных направления – обеспечение соответствия требованиям (заказчиков, бизнес-партнеров, законодательства) и управление рисками ИБ компании (выявление, оценка, обработка, мониторинг).
Например, есть закон о персональных данных, специалист по ИБ должен выстроить процессы компании таким образом, чтобы персональные данные были защищены так, как это описано в законе. Пример управления рисков: в компании выявлен риск утечки конфиденциальной информации в случае кражи ноутбука у сотрудника. В этом случае можно предложить несколько стратегий обработки риска: уход от риска – прекратить использовать ноутбуки, снижение риска – запретить сотрудникам выносить ноутбуки за пределы офиса или обязать сотрудников шифровать ноутбуки; принятие риска – ничего не предпринимать и так далее. В данном кейсе задача специалиста ИБ – найти эти варианты и помочь руководству принять решение о стратегии, а после реализовать это решение.
Навыки и компетенции тоже зависят от сферы работы компании. Если компания работает с гос. тайной, то специалист ИБ должен отлично знать закон о гос. тайне и нормативные акты ФСБ. Если это банковская организация, то знание и опыт работы со стандартом банка России будет решающим фактором. В нашей компании ценятся знания и умения применять лучшие практики, широкий профессиональный кругозор. Не стоит забывать, что навыки и знания стандартов можно прокачать. Поэтому зачастую мы берем людей близких нам по духу, а потом взращиваем необходимые компетенции".
Что должен делать специалист по информационной безопасности?
Байжан Канафин, генеральный директор компании Documentolog
"Первая и главная функция специалиста по информационной безопасности – выстраивание уникальной системы информационной защиты предприятия. Для надежности она не должна быть не типовой, а основанной на аналитике информационных рисков именно конкретной компании. Не менее важный процесс после этого – поддержание работы этой системы и анализ "рынка" - мониторинг новых технологий, которые могут быть потенциально опасными и помешать работе. Подбор подходящей техники, аппаратуры и прочих необходимых вещей тоже входит в его задачу, как и обучение и консультация сотрудников по соблюдению норм и правил безопасности.
Помимо знания ИТ и самих систем безопасности, кандидат на эту должность должен быть очень ответственным и готовым к кропотливому труду, потому что от качества его работы, по сути, зависит обеспечение работоспособности предприятия. Этот человек должен постоянно учиться, осваивать новые технологии систем защиты информации, новые языки программирования и т.д. Хорошо также, если человек обладает навыками для организации процесса обучения сотрудников и найма персонала".
Георгий Минасян, директор по безопасности "СёрчИнформ"
"Главные задачи ИБ-специалиста – оценивать и предотвращать угрозы, исходящие как извне, так и изнутри, от собственных сотрудников. Он должен точно понимать, какие ресурсы наиболее ценны и насколько уязвимы, какие каналы перемещения информации нужно контролировать наиболее пристально. При нынешней структуре и уровне киберугроз вручную контроль не обеспечить. Это можно делать эффективно только с помощью программных или программно-аппаратных решений – от базовых вроде антивирусов и антиспам-программ до продвинутых продуктов, как DLP и SIEM.
Также в круг задач ИБ-специалиста входит минимизация рисков, связанных с возможным нарушением закона и наступлением санкций регулятора.
ИБ-специалист помогает бизнесу устанавливать правила "игры" внутри компании – формулировать общую политику безопасности. Регламенты и правила определяют действия сотрудников в корпоративной информационной среде и снижают (или в идеале устраняют!) риски как извне, так и снаружи".
ИБ и ИТ - это одно и то же?
Дмитрий Андреев, ведущий специалист по обеспечению информационной и инженерно-технической безопасности "Ростелеком Контакт-центр"
"Не так давно в большинстве компаний все задачи по ИБ решали ИТ-специалисты. Это было понятно и удобно — айтишники строят, сопровождают и модернизируют ИТ-системы, они же их и защищают от угроз. К сожалению, эта эпоха безвозвратно ушла. В нынешних реалиях даже приобретение систем для обеспечения безопасности само по себе решает проблему лишь отчасти. Угрозы информационной безопасности растут, инструменты для атак на корпоративные ресурсы совершенствуются, одновременно становясь доступнее для широкого круга пользователей, происходит автоматизация рутинных процедур поиска и эксплуатации уязвимостей (тот же Metasploit). Утечки конфиденциальной информации и персональных данных пользователей из баз данных крупных компаний уже не редкость, а регулярное явление. Убытки, которые возникают в таких ситуациях, очень сложно подсчитать. Это и подпорченная репутация, и возможные судебные иски от пострадавших сторон, и штрафы за нарушение законодательства о персональных данных, и упущенная прибыль из-за ухода потенциальных клиентов к конкурентам.
Для решения этих проблем и создания непрерывного процесса, который бы обеспечивал защиту бизнеса от этих угроз, почти в каждой большой компании сегодня существует служба или департамент информационной безопасности. В круг обязанностей сотрудников такого отдела специалистов по ИБ, входит много специфических задач. Это обеспечение защиты от сетевых атак, мониторинг информационных систем для выявления несанкционированных действий и попыток взлома, расследование инцидентов, сертификация систем компании по современным стандартам (например, ISO 27001), обучение сотрудников основам ИБ и противодействию социальной инженерии, взаимодействие с органами, регулирующими деятельность компании в области обработки персональных данных, обеспечение непрерывности бизнеса в части защиты от атак типа "отказ в обслуживании", предотвращение утечек критически важной информации и многое другое.
Вопросы защиты персональных данных клиентов особенно актуальны для определенных сфер бизнеса, например, для аутсорсинговых контактных центров, где есть огромные базы пользователей с ФИО и телефонами. Попадание таких баз в открытый доступ — это громадный ущерб для репутации и угроза многомиллионных штрафов и судебных исков.
Специалист по обеспечению информационной безопасности в наши дни должен уметь очень многое — как в инженерной области, так и в плане понимания основ законодательства, знать нормативные правовые акты, касающиеся ИБ, уметь решать нестандартные задачи на стыке требований бизнеса, государственных регуляторов, и, собственно, практики обеспечения безопасности. Также требуется организовать процесс обеспечения ИБ в организации, документированные процедуры, политики и правила, которые позволят уверенно контролировать текущие риски и успевать защититься от новых".
Можно ли переучить ИТ-специалиста на специалиста по ИБ?
Илья Тимофеев, руководитель направления "Информационная безопасность" Академии АйТи
"Программистам, специалистам в ИТ, у которых в телекоммуникациях часть знаний и навыков уже приобретена, чуть проще изучать ИБ. Но для понимания различий в ИТ и ИБ подходах нужно повышение квалификации, а в некоторых случаях и переподготовка.
Важно понимание целевых функций в обеспечении ИБ и их ключевых отличий от ИТ. Если задача программиста, ИТ-специалиста – это максимальная полнота и доступность всех сервисов, всех возможностей создаваемых программ и применяемых информационных систем, то задача ИБ-специалиста - целостность и конфиденциальность обрабатываемой в них информации, а доступность необходима исключительно для легитимных пользователей. И это - основа основ эффективной работы ИБ-специалиста.
Системность в знаниях и навыках, базовые вещи и предметные знания могут быть получены в рамках дополнительного образования, на курсах повышения квалификации и программах профессиональной переподготовки. При выборе центра дополнительного профессионального образования обязательно нужно обращать внимание на согласование программ с регуляторами – ФСТЭК, ФСБ и Учебно-методическое объединение по образованию в области информационной безопасности. Именно эти согласования являются показателями качества программ и их соответствия с требованиями законодательства и регуляторов.
Для саморазвития немало информации доступно в интернете, как на специализированных сайтах, блогах экспертов и профильных форумах, так и в тематических каналах, ИБ-сообществах в соцсетях. Направлений и специализаций в ИБ все больше, немало и публикаций. Так, по обеспечению кибербезопасности в промышленности, помимо тематических есть отдельные ресурсы с подобранной информацией и регулярными информационными дайджестами. Не стоит забывать и о сетевых ресурсах регуляторов - ФСТЭК и ФСБ, нормативные документы, требования, сертификаты и рекомендации – все это там.
С книгами для самостоятельного чтения несколько сложнее - скорость развития технологий высока, многое устаревает, но, на старте можно остановиться на классике. Например, для той же антихакерской подготовки основой может послужить книга Кевина Митника "Искусство взлома" – несмотря на свой возраст, книга даст ИБ-специалисту понимание психологии и подходов хакеров в их проникновении в ИТ-инфраструктуру компаний. Такой ИБ-специалист, используя хорошие базовые знания по ИБ, ИТ и сетевым технологиям, будет готов и каждодневной работе, и к отражению нестандартных кибератак".
Нужно ли обучать ИБ своих сотрудников, или взять на аутсорс?
Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании "Инфосистемы Джет"
"На рынке труда в сфере ИБ на протяжении нескольких лет наблюдается серьезный дефицит кадров. Многие компании банально не могут набрать штат квалифицированных специалистов, так как последние стремятся не только к высокой зарплате, но и к работе в специализированных ИБ-компаниях, где их профессиональный рост будет наиболее заметным. Привлекать лучшие кадры для защиты инфраструктуры и информации таким компаниям позволяет аутсорсинг ИБ.
Впрочем, бизнес отдает ИБ на ауторсинг не только из-за нехватки специалистов. Такой подход дает компаниям возможность оптимизировать и снизить затраты, а главное — повысить эффективность процессов ИБ и общий уровень защищённости компаний.
Аутсорсинг ИБ сейчас может решать фактически все задачи: консалтинг, проектирование, построение систем ИБ, мониторинг и реагирование на инциденты ИБ, техподдержка и экспертная эксплуатация систем ИБ, оценка защищённости (пентесты), киберучения, киберкриминалистика, управление уязвимостями и т.д. Существуют даже услуги "CISO как сервис", которые помогают уже управлять рисками, планировать и принимать стратегические решения.
Аутсорсинг актуален для любых сфер, даже когда речь идёт о закрытых и категорированных государственных системах (например, системы хранения и обработки гостайны), критичной инфраструктуре, информационных системах силовых ведомств и т. д. Регуляторы лицензируют деятельность и в таких закрытых системах. Безусловно, тут чаще всего исключается удалённый доступ аутсорсера, либо он серьёзно регламентируется и защищается".