То, о чем говорили уже несколько лет ведущие специалисты по информационной безопасности (ИБ), наконец, свершилось. Риски от реализации внутренних угроз превысили риски от реализации внешних угроз. Это обстоятельство, очевидное для ведущих специалистов по ИБ, формирующих политику развития этой отрасли, уже зафиксировалось и в массовом «сознании» людей, работающих с информационными технологиями и безопасностью. Подтверждением данного факта могут служить многочисленные публикации, результаты исследований профессиональных аудиторов, исследователей рынков ИТ в целом и ИБ в частности, а также активность продаж в области ИБ. Если рассматривать отдельно банковский сектор экономики, то сделанный вывод фактически зафиксирован в стандарте ИБ банковской системы РФ.

Однако ошибочно было бы считать, что все внутренние информационные риски, т. е. риски, связанные с внутренними угрозами предприятия, исходят только от недобросовестных работников, называемых «инсайдерами», хотя такое представление достаточно распространено даже в литературе по ИБ. В настоящей статье хотелось бы, прежде всего, отойти от столь одностороннего взгляда, представив новые угрозы, актуальность которых значительно возросла за последние годы. Конечно, эти угрозы связаны, в том числе, и с проблемой инсайдеров, которой будет уделено достаточно внимания.

Внутренние угрозы
В настоящее время на первое место выдвигается новая внутренняя угроза, связанная с ограничениями полномочий службы ИБ. Ведь даже при наличии желания и воли руководителя или владельца бизнеса решать вопросы ИБ в соответствии с мировыми стандартами и лучшими практиками, в 90% случаев руководитель бизнеса понимает ИБ исключительно как техническую проблему компьютерной безопасности, решаемую на уровне системного или прикладного администратора, считая необходимым содержать для этого лишь технического специалиста. В данном случае, даже если на предприятии создано подразделение ИБ, его руководитель (Chief Information Security Officer – CISO) обычно получает статус технического руководителя среднего уровня, не участвующего в построении бизнеса и в стратегическом планировании развития компании, и, как следствие, не владеющего информацией о структуре бизнеса, о ролях и функциях топ-менеджеров. Не обладает он и другой важнейшей информацией, без которой невозможно эффективно управлять процессами обеспечения ИБ на всех уровнях, поэтому не в состоянии правильно защищать имеющиеся и новые информационные взаимодействия бизнес-единиц. CISO вынужден разрабатывать стратегию и тактику защиты ИТ и информации, исходя лишь из известных международных и национальных стандартов и лучших практик обеспечения безопасности ИТ, а не из бизнес-процессов компании и связанных с ними информационных взаимодействий. CISO трудно учитывать роль и место топ-менеджмента в бизнесе компании, что зачастую влечет за собой серьезные ограничения при решении проблемы инсайдеров. Все эти беды обусловлены тем, что CISO практически не участвует в разработке стратегии предприятия, не допущен к формированию бизнеса, не знает многих бизнес-направлений компании, не знаком с фактическими обязанностями топ-менеджеров и, как следствие, не в состоянии контролировать их действия. Иногда подобная ситуация приводит к серьезным ошибкам в управлении ИБ. Мы приведем несколько реальных примеров.
Пример первый. У предприятия среди контрагентов имеются «особые» партнеры, с которыми организуется специальное информационное взаимодействие. CISO, выстраивая процессы защиты информации и информационных технологий, не информирован об этих партнерах и потому неправильно организует информационное взаимодействие, что наносит существенный урон бизнесу, поскольку открывает доступ партнерам к дополнительной информации.
Пример второй. В хранилище информации компании имеются особо конфиденциальные сведения, причем размещенные в общей базе данных. О наличии данных записей CISO не знает, ибо понятия не имеет об этих «секретных» проектах. Как следствие специальная защита такой информации не реализована, что позволяет относительно легко получить к ней доступ.
Пример третий. Топ-менеджмент предприятия разрабатывает новое направление бизнеса, не зная о том, что его информационное взаимодействие должно соответствовать неким дополнительным требованиям федерального законодательства в области защиты информации, выполнение которых либо делает бизнес не эффективным, либо существенно увеличивает риски, которые руководство предприятия не может принять. CISO, не принимая участия в обсуждении, не может своевременно информировать руководство о существующих ограничениях.
Пример четвертый. При увольнении топ-менеджера CISO не имеет возможности обеспечить проверку владения этим менеджером конфиденциальной информации (в частности, содержащей коммерческую тайну). Сегодня обычной практикой является ситуация, когда топ-менеджер при увольнении скачивает всю доступную ему информацию предприятия.

Продолжение читайте в печатной версии журнала