Здравый смысл 250-го Указа или почему пора посмотреть на ИБ с точки зрения бизнеса

Здравый смысл 250-го Указа или почему пора посмотреть на ИБ с точки зрения бизнеса

Последний месяц я с головой ушел в 250-й Указ Президента, готовясь к вебинару по нему, а также отвечая на десятки вопросов (в созданном для обсуждения 250-го Указа канале и чате ), связанных с этим нормативно-правовым актом, который многие называют очередной вехой в области регулирования ИБ в России. И вот с какой проблемой я столкнулся. Многие специалисты по ИБ по-прежнему смотрят на свою деятельность вне бизнес-контекста, снизу вверх, в то время как Указ пробует поменять этот взгляд и заставить посмотреть на обеспечение ИБ с прямо противоположной стороны, с точки зрения основной деятельности предприятия (не зря, руководитель по ИБ становится заместителем генерального директора, входит в состав коллегиального органа организации, а в список его компетенций включаются вопросы управления предприятием). Но давайте я попробую объяснить это на примере.

Допустим, вы пришли на работу в оператора связи и хотите составить модель угроз для своего работодателя. Что вы в нее включите? Шифровальщики, утечки ПДн, несанкционированный доступ, APT-группировки, манипуляции с ОКС7, подмену телефонных номеров и т.п. Так поступит большинство специалистов по ИБ, смотрящих на свою деятельность привычным образом, снизу вверх. А теперь попробуйте взглянуть на это с точки зрения бизнеса, который заключается в оказании услуг связи, что и позволяет ему зарабатывать деньги. Что может помешать этому? Взлом центра управления сетью, распределенная атака «отказ в обслуживании» на инфраструктуру, взлом билинга и модификация или уничтожение данных в нем, шифровальщик, сделавшим невозможным доступ к внутренним системам и т.п. Чуть лучше, но тоже не совсем то. Попробуйте прийти к руководству и рассказать ему об этих угрозах? В лучшем случае оно ничего не поймет, в худшем — подумает, что вы опять пришли клянчить деньги ???? А все потому, что бизнес не оперирует угрозами ИБ в своей обычной деятельности.

А если задать бизнесу (различным его подразделениям) простой вопрос: «Что помешает вам заработать деньги?»

Когда вы услышите его ответ, он вас скорее всего разочарует. Там не будет ничего из списка привычных вам угроз. Допускаю, что среди прочего там будет пожар, по примеру того, что недавно произошел в China Telecom в Китае. Согласитесь, это гораздо ближе и понятнее руководству компании, чем привычным нам компьютерные атаки.

Но значит ли это, что в ИБ нет ничего, что могло бы заинтересовать бизнес?

Конечно есть и достаточно много. Только формирование такого перечня надо начинать сверху вниз, а не наоборот. Не просто составить перечень угроз, опираясь на какой-либо каталог или свое воображение и опыт, а сначала узнать у бизнеса, что с его точки зрения может нанести ему значительный ущерб. Именно значительный, а не вообще любой. Вот представьте себе, что у вас есть автомобиль. Превысить скорость на 20 км/час на дороге вполне допустимо — за это не штрафуют. Поцарапать машину на парковке уже неприятнее, но не смертельно. Скорее можно говорить о нежелательности этого события. А вот попасть в ДТП, в котором нашему здоровью будет нанесен вред или машину пойдет под списание, гораздо неприятнее. Я бы даже сказал, что это для нас недопустимо. Вот так и для бизнеса потеря 0,005% доходов может быть вполне допустимо, 1-2% нежелательно, а 10-15% уже недопустимо и бизнес захочет предотвратить последнее, но вряд ли готов будет заниматься и менее значимыми для себя потерями.

Упомянутые 0,005%, 1-2% и 10-15% взяты с потолка. Допускаю, что у вас в компании будут свои градации допустимого, нежелательного и недопустимого. Причем не только в контексте денег, но и любых других важных для бизнеса параметров — числа клиентов, числа операций, выпущенной продукции, объема электроэнергии и т.п.

Теперь вновь вернемся к оператору связи. Что может быть недопустимо для него? Например, оператор связи определяет для себя, что для него недопустимо неоказание услуг связи в течение 24 часов. Произойти это может по множеству причин — надолго вырубили электричество в районе и все оборудование накрылось (а генераторы были рассчитаны на 8 часов работы), изъяли оборудование в рамках доследственной проверки, корявое обновление превратило оборудование или таблицу маршрутизации в кирпич, сгорело здание, в котором размещалось оборудование, хакеры получили контроль над центром управления сетью…

Обратите внимание, ИБ касается только последний пример. Но бизнес будет (должен) думать обо всех сценариях реализации недопустимого события и каждое из них будет оцениваться исходя из его реализуемости. И безопасник должен будет «бороться» за внимание бизнеса наряду с хозяйственниками, ИТшниками, рисковиками, экономической безопасностью, пожарниками и т.п. Согласно концепции, заложенной в 250-й Указ или методику оценки угроз ФСТЭК (о ней ниже), именно бизнес определяет недопустимые для себя события (негативные последствия), которые затем оцениваются разными подразделениями с точки зрения их реализуемости в рамках своей сферы деятельности. И ИБшники делают это наряду с другими подразделениями, не имея никакого приоритета (как бы им не хотелось считать себя в центре вселенной).

Еще раз. Обычно ИБшники начинают с привычных им угроз и пытаются придумать, а какой ущерб может быть, если эта угроза реализуется на практике. Потом ИБ идет к бизнесу и начинает его запугивать. Согласитесь, что это типичный подход «от привычного», «снизу вверх», в котором «главным» является ИБшник. А Указ предлагает посмотреть на этой с другой точки зрения — спросить у бизнеса, что важно для него, а потом уже транслировать это на область ИБ.

Это, кстати, позволит сократить область защиты и требуемые для нее ресурсы, так как критически важным для бизнеса является далеко не все в организации.

Помните, 6 лет назад я писал про 3D Secure (ну если вы помните все, что я написал за 15 лет), технологию ИБ, которая иногда мешает бизнесу зарабатывать деньги. Так вот вчера я столкнулся с аналогичной ситуацией. Я искал себе письменный стол и зашел на сайт крупной мебельной сети. Сначала я попал на страницу с CAPTCHA, а после ее ввода увидел вот такую картинку:

Когда ИБ только мешает бизнесу

Когда ИБ только мешает бизнесу

С точки зрения ИБ никаких вопросов — настроили WAF для защиты Интернет-магазина от атак. Обычная история. ИБ защитила сайт от угроз. ИБ даже выполнила требования нормативных актов. Только вот после такой ИБ клиенты не могут зайти на сайт и потратить свои деньги. Меня этот магазин как клиента точно потерял. ИБ не так поставила задачу (или кто там это делал), а кто-то ее выполнил, не понимая для чего защита нужна. С точки зрения классической ИБ не подкопаешься. А вот что с точки зрения бизнеса? Интересно, что у поставщика услуг по защите этого Интернет-магазина на сайте написано, что он готов нести даже финансовую ответственность за доступность проекта. Но, видимо, эта ответственность не учитывает, что проект должен зарабатывать еще и деньги, а не просто «стоять» в Интернете. Вот концепция 250-го Указа как раз и пытается заставить ИБ смотреть на все именно с точки зрения основной деятельности защищаемой компании.

Да, такая концепция не означает, что вам ничего кроме нейтрализации недопустимых событий не надо будет делать. Сумма нежелательных событий тоже может вылиться в серьезный ущерб. Поэтому после первой фазы вы приступите к следующей и будете защищаться от менее критичных событий. И так далее.

Да, Указ не идеален и там есть что править и разъяснять (такая работа сейчас ведется). Но сама идея у этого нормативного акта вполне себе здравая. Кстати, если вы думаете, что ФСТЭК не движется в этом направлении, то ошибетесь. Посмотрите на их бета-версию средства автоматизации для оценки угроз, то вы увидите, что они следуют той же идее — сначала определите, что может нанести ущерб бизнесу/госуправлению/физлицу, а потом уже определите, как эти негативные последствия могут быть реализованы через угрозы уровня информационных систем.

Перечень негативных последствий в БДУ ФСТЭК

Перечень негативных последствий в БДУ ФСТЭК

Так что начните думать об ИБ с точки зрения бизнеса, а не только и не столько с точки зрения угроз или нормативных требований.

Кстати, если вам интересно посмотреть вебинар по 250-му Указу, с которого началась эта заметка, то ниже вы можете это сделать. А на сайте вы можете найти чеклист и рабочую тетрадь по этому нормативному правовому акту и его подзаконникам.

моделирование угроз
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!