Руслане, для кого призначений курс I-ISMS | Впровадження Системи Управління Інформаційною Безпекою (СУІБ) за стандартами ISO / IEC 27001, 27002 та кому він може бути корисний?
Цей курс може бути цікавим та корисним тим, хто займається впровадженням та розвитком інформаційної безпеки (ІБ) у себе в компанії. Для того, щоб володіти актуальною інформацією про направлення ІБ, нові технологічні напрямки, краще використовувати стандарт як звичайний інструмент, що дозволяє покращити стан ІБ. Особливо в умовах війни в країні, коли воєнні дії відбуваються не тільки на фронті, а й в кіберпросторі. Ми стаємо об’єктами атаки і підприємствам (будь то підприємства, де ІБ займаються ІТ-відділи, або ж підприємства, де є підрозділи з профільними спеціалістами з ІБ) вкрай важливо систематизувати свої знання. І наш курс - це інструмент систематизації знань. Я проводжу вступний курс, який в подальшому допоможе розвиватися в цій сфері, занурюватись в неї все більше і, що вкрай важливо, задавати правильні питання по ІБ.
Які вимоги та стандарти регулюють впровадження СУІБ та як вони враховуються в цьому курсі?
В Україні імплементований стандарт ISO 27001:2013 року, але впроваджений він був як ДСТУ ISO 27001:2015 року і ряд стандартів, які його розшифровують – деталізують ті або інші направлення, як ISO 27002, 27003 тощо. Також, можна користуватися, як імпортними англомовними стандартами з групи ІSО, так і нашими стандартами ДСТУ. В 2022 році відбулось оновлення оригінальної версії стандарту – трохи змінилась структура та додались питання, які актуалізують ІБ по ряду направлень, наприклад безпека у хмарних середовищах. Структура змінилась так, щоб виконавцям було легше розуміти та структурувати свою роботу. В Україні існує ще безліч стандартів, проте ці є основними.
Які основні кроки та етапи включає процес впровадження СУІБ?
В першу чергу, це підготовка політики ІБ - документу, який визначає, чого ви хочете досягти внаслідок впровадження ІБ і яким чином. Тобто ви формуєте в ньому ціль, аналізуєте інтереси зацікавлених сторін – внутрішніх, зовнішніх, партнерів тощо, і таким чином створюєте оптимальну політику. Після цього ви аналізуєте свою інфраструктуру, обираєте методику оцінки обробки ризиків, розраховуєте ризики, створюєте положення застосовності контролів і створюєте план усунення невідповідностей. І вже на основі цього плану рухаєтесь далі та впроваджуєте СУІБ. Важливо враховувати, що ІБ - це не тільки про технічні моменти. Не слід плутати інформаційну безпеку з кібербезпекою, адже кібербезпека є лише частиною ІБ і покриває питання щодо захисту від навмисного кібервторгнення хакерами або зловмисним ПЗ чи вірусами.) Інформаційна Безпека - це досить широке поняття, що включає в себе і захист документів (паперових), і захист знань співробітників, і так далі. Тому побудова оптимальної ІБ - це дуже важливий момент. Крім того, не варто забувати, що інформація про ризики, інфраструктуру постійно оновлюється. Тому, це не проект, який ви одноразово впровадили і забули, а довготривалий процес, яким ви будете займатись постійно.
А які переваги має використання СУІБ в організаціях?
Я б виділив 3 найбільші переваги:
Перша - це мінімізація витрат для керівництва компаній. Правильна оцінка ризиків та адекватне планування спеціалістами дозволить правильно направити фінансові потоки та витрати ресурсів, як людських, так і фінансових. Це дозволить не витрачати зайві кошти там, де все вже налагоджено і працює добре. Досить часто трапляється, що компанії витрачають великі суми на різні технічні системи (файрволи, антивіруси), а правильний аналіз по підрозділам дозволяє виявити, де у підприємства є пробіли. Як результат, не потрібно витрачати гроші на ті направлення, де, в принципі, вже досягнуто хорошого рівня зрілості. Тому що підприємство добре захищається лише тоді, коли загальний рівень зрілості по всім напрямкам збалансований.
Друге - це систематизація управління ІБ. Наприклад, коли в компанію приходить молодий спеціаліст, він починає працювати, спираючись на свої знання, навички, інтуїцію тощо. Зазвичай, тут і починають виникати пробіли в ІБ. А отримання такого інструменту, як стандарт, що написаний на основі кращих світових практик, дозволяє не пропустити ті прогалини в ІБ, які ви могли б вважати не такими значними, або ж взагалі не знали про них.
Третє - це відповідність регуляторним нормам. Наразі більшість компаній, які хочуть, щоб їх ІБ була захищена, мають дотримуватись певних регуляторних норм.
Чи сприяє впровадження СУІБ підвищенню безпеки організації та захисту її активів? Якщо так, то яким чином?
Для цього воно і робиться. Це основний фокус. Якщо брати до уваги фінансові питання, то основна мета - це і є захист інформаційних активів. Тобто, захист від розголошення, руйнування та забезпечення доступності. ІБ розбудовується саме таким чином, щоб впровадження контролів (сукупність заходів технічних, організаційних, адміністративних) систематизувалось. ІБ це в певному сенсі паркан, який ми вистроїли і в якому немає дірок та тріщин. А всі існуючі ворота і двері ми контролюємо.
Якими є основні фактори, що впливають на успішне впровадження та підтримку СУІБ?
Перший та найголовніший фактор – це бажання керівництва компанії. Без його участі та бажання, впроваджувати СУІБ вкрай важко. У мене великий досвід впровадження СУІБ в банківській сфері тому можу проаналізувати, як починалось впровадження цього стандарту в 2006 році. Основною помилкою було уявлення, що СУІБ – це короткостроковий проект, а не довготривалий процес. Відповідальність за впровадження СУІБ була покладена на фахівців з ІТ відділів, без адміністративної підтримки з боку компаній. В результаті компанії стикнулися з тим, що ІТ фахівці не мають можливості впливати на інші підрозділи компаній, не мають можливості впроваджувати різного роду адміністративні заходи і так далі. Зрозумівши цю проблему, банки створили додаткову рекомендацію, в якій було зазначено, що керівником СУІБ має бути спеціаліст не нижче рівня заступника голови правління, який повинен мати адміністративні повноваження для вирішення широкого кола питань. У цьому процесі мають брати участь усі співробітники, адже всі несуть відповідальність за ІБ компанії – хтось особисто за себе, хтось за своїх підлеглих, а хтось за свої системи. Саме тому ІБ без участі керівництва не працює.
Друге - це грамотні спеціалісти. Тобто, необхідно підвищувати кваліфікацію співробітників та навчати їх основам кібергігієни. Але цим можуть займатись лише висококваліфіковані спеціалісти, які впевнені в тому, що вони роблять і навіщо. Тому, ми намагаємось підвищувати кваліфікацію спеціалістів по ІБ різних рівнів та організацій, щоб вони, отримавши нові знання, могли далі підвищувати кваліфікацію своїх співробітників.
Які виклики та перешкоди можуть виникнути під час впровадження СУІБ та як їх можна подолати?
Основний виклик - це проблема фінансування. Адже питання ІБ не є дешевим. Системи потребують коштів на їх впровадження та підтримку. Чудово, коли компанія працює, заробляє гроші. Але не забуваймо про важливість збереження цінної інформації та інтелектуальної власності. Адже інтелектуальна власність у сучасному світі це і є гроші. Гроші дешевшають з часом, а інтелектуальна власність навпаки - дорожчає.
Чи використовуються реальні приклади та кейси для ілюстрації концепцій та принципів курсу?
Тут є певні обмеження, адже є таке поняття, як договори про нерозголошення, тому неможливо конкретизувати у кого, що і як відбулось. Але безумовно, я використовую деякі кейси зі свого досвіду для ілюстрації вимог стандарту по тому чи іншому напрямку. Тобто, коли ми говоримо про певні вимоги, я розповідаю до чого може призвести їх невиконання. Без назв організацій, дат та іншої детальної інформації. Але це все реальні кейси.
Які основні стратегії та заходи забезпечення культури безпеки і свідомості співробітників щодо інформаційної безпеки?
Навчання. Навіть в рамках нашої компанії ми намагаємось навчати наших інженерів, а в подальшому навчатимем і всіх співробітників загалом. І це при тому, що наш рівень обізнаності в цій галузі набагато вищий, адже ми є профільною компанією з кібербезпеки.
Чи враховує стандарт той факт, що в Україні відбуваються бойові дії і є ймовірність, що хтось, наприклад, може вторгнутися в офіс та викрасти вашу інформацію, комп’ютери тощо?
Так, звісно. Є такий напрямок як фізична безпека. Тут пройдуся по трьом основним моментам. Це конфіденційність, цілісність та доступність інформації.
Конфіденційність – ваша інформація має зберігатися десь далеко, а ваш комп’ютер має використовуватися як термінальна станція. Або ж варіант швидкого знищення інформації у разі, якщо хтось фізично намагатиметься отримати до неї доступ.
Цілісність – тут йдеться про те, що вам необхідно зберегти ваші дані в цілісному вигляді, навіть якщо захоплять ваші комп’ютери або ж офіс. Бажано, щоб резервні копії ваших даних зберігалися, оновлювалися, тестувалися та контролювалися поза офісом.
Доступність - вам необхідно мати додатковий інструментарій десь поза межами небезпечної зони і з можливістю розгортання резервних копій. Наприклад, використовувати Office 365. Навіть якщо у вас немає доступу до робочого ноутбуку, з іншого комп’ютера ви можете зайти до своїх даних і нічого не буде загублено. Дані зберігатимуться в хмарі Microsoft в іншій країні та буде забезпечено їх резервування.
Але, разом з тим, я хочу підкреслити, що наразі існують не тільки ризики у площині фізичної безпеки. Війна активно ведеться й у площині кібератак. Адже, вже давно технології ОТ (Operation Technology) дозволяють через кіберпростір впливати на фізичні пристрої в світі – вимкнути електроенергію, або ж, як в США два роки тому, коли хакери зламали систему очищення води в одному зі штатів, що загрожувало масовим отруєнням населення цілого штату. Врятувало те, що був присутній контролер, який за правилом двох рук відслідкував цей момент та відмінив цю дію.
Ми маємо бути готові, що при неправильній взаємодії кіберпростору та реального фізичного середовища з нашими даними ми піддаємось ризику воєнних кібердій.
Наша компанія постійно бере участь в запобіганні кібератакам зі сторони росії.
Ви зазначили, що одними з перших питаннями СУІБ в свій час почала займатись банківська сфера. Чи бачите ви зараз якусь тенденцію до зміни? Якщо починали це робити великі компанії , то чи є зараз тенденція, що компанії середньої ланки та малий бізнес починають цікавитись цим питанням?
Так, поступово починають. Знову ж таки все залежить від розуміння керівництва. Оскільки, це коштує не малих грошей, то тут існує проблема у фінансування. Також, є проблема у спеціалістах, адже на сьогодні в Україні не вистачає близько 3 тисяч спеціалістів з інформаційної безпеки. А на світовому ринку нехватка спеціалістів складає до 3,4 млн.
Я бачу розширення не в плані малого або середнього бізнесу, а в плані інших напрямків діяльності.
Ми прийдемо до того, що ці стандарти будуть виконуватися і малим та середнім бізнесом, проте поки що вони не зобов’язані до цього і самі вирішують чи робити це, чи ні. Зараз стандарти впроваджуються не для того, щоб відповідати нормативним вимогам, а швидше для підтримки репутації в очах партнерів та клієнтів. Щоб ваші стейкхолдери не сумнівалися, що з вами безпечно вести справи. В Україні інститут репутації поки не дуже розвинутий, а ось в ЄС це питання вже давно вийшло на перший план.
13-15 вересня 2023 відбудеться курс I-ISMS | Впровадження СУІБ за стандартами ДСТУ ISO / IEC 27001:2015, 27002:2015 в ISSP Training Center. Детальніше за лінком: https://www.issp.training/i-isms-implementation-of-isms-iso27001-27002