|
Безмалый Владимир
wladkerch@mail.ru
http://www.zahist.narod.ru
Безмалая Елена
ellen@pochta.ws В последнее время большую известность приобрела проблема
информационной безопасности. Измученный пользователь всюду читает о компьютерных взломах, хакерских проникновениях, вирусах. Что делать? В небольших фирмах, а зачастую и в больших, работу по поддержанию
информационной безопасности пытаются возложить на ИТ - специалистов (администраторов компьютерных сетей). Это в корне неправильно. Если эту работу ведет системный администратор, то кто контролирует администратора?
Как быть, если ворует сам администратор? Или еще хуже - взяли его молодого, зеленого, и бултых в лужу. Выплывет - выплывет, а не выплывет - другого возьмем. Все дело в том, что на системном администраторе
и так лежит много обязанностей и добавлять ему еще и работу по безопасности - значит сознательно идти на невыполнение части порученных ему работ. Именно поэтому и создаются отделы информационной безопасности.
В данной статье мы постараемся рассмотреть два важных вопроса:
1. Обоснование необходимости создания отдела информационной безопасности.
2. Подбор персонала для обеспечения безопасности. Обоснование
необходимости создания отдела информационной безопасности Зачем надо защищаться? Ответов на этот вопрос может быть великое множество. Все зависит от конкретного профиля Вашей компании.
Для одних главной задачей является предотвращение утечки информации к конкурентам. Другие главное внимание могут уделять целостности информации. Например, для банка необходимо обеспечить достоверность платежных
поручений, то есть, чтобы злоумышленник не мог внести изменения в платежное поручение. Для третьих компаний на первое место поднимается задача безотказной работы информационных систем (например, для провайдеров
Интернет).
Когда речь заходит о безопасности, в первую очередь, заботятся о физической безопасности (заборы, датчики, охрана, собаки). Но как быть, если дело доходит до информационной безопасности?
Ведь там нет ограждений и прочих привычных вещей, которые можно потрогать руками. Хорошо, если руководитель является специалистом в области информационных технологий. А если нет? Необходимо обеспечить соответствие
между различными системами информационной защиты и их аналогами из мира физической защиты. Связано это с тем, что мир физической безопасности интуитивно понятен любому человеку, в том числе и руководителям
Вашей фирмы. Дело в том, что специалисты по информационной безопасности и руководство компании говорят на разных языках. Первые оперируют техническими понятиями, вторые - экономическими. Основная причина,
по которой тормозится обеспечение информационной безопасности - это недостаток понимания со стороны руководства ввиду непонимания вопроса.
Хочется отметить, что как только речь заходит о средствах защиты
информации, все сразу вспоминают межсетевые экраны и антивирусные программы, но это не панацея. Какую бы хорошую программу Вы не купили, все равно потребуется человек, который будет ее обслуживать. Нет
ничего хуже, чем великолепное антивирусное программное обеспечение, которое содержит старые антивирусные базы, так как руководство уверено, что антивирусная защита существует, но ввиду быстрого его устаревания,
его ценность равна нулю. То же касается и межсетевых экранов. Каждое программное обеспечение, относящееся к защите, нуждается в поддержке. Не трудно посчитать, что содержание отдела защиты информации из
трех человек обойдется компании намного дешевле возможных убытков. Следует смириться с тем, что данный отдел никогда не будет приносить явную прибыль, однако его назначение - уменьшить возможные убытки.
По сравнению с физической безопасностью - компьютерная находится еще в младенчестве. Компьютерная безопасность ориентирована на киберпространство, где все должно быть определено только при помощи нулей
и единиц. Это приводит к непониманию со стороны руководства в необходимости различных мер защиты. Чтобы обосновать приобретение средств защиты, необходимо показать их назначение простым и понятным языком.
Итак, Вы вроде бы смогли объяснить руководству необходимость применения средств защиты. Что выбирать? Универсальных рецептов здесь не существует, можно привести только общие рекомендации. Подбор
персонала для обеспечения безопасности. Существует два пути создания отдела информационной безопасности. Первый - создание отдела информационной безопасности за счет подготовки, реорганизации
и перераспределения ИТ - специалистов. Так для отражения вирусной атаки можно привлечь собственных программистов, но в этом случае их основная работа окажется невыполненной. И неизвестно, что обойдется
дешевле, взять новый отдел или дергать своих сотрудников. "Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них. Если вы не создаете
команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак". (Девид Соул, исполнительный вице-директор и директор информационной
службы страховой компании Zurich North America).
Фактически, нельзя оценить урон, который может быть нанесен в результате хакерских атак. Многие, и авторы этой статьи в их числе, считают, что нельзя
отвлекать ИТ - персонал от решения его задач для решения задач безопасности, потому что решение бизнес задач поставит задачи обеспечения безопасности на дальний план. Ведь основное в компании - получать
прибыль, а не безопасность ради безопасности.
Поиск талантливых профессионалов по безопасности может быть весьма трудным, а переподготовка имеющихся кадров в области информационных технологий, новичков
в области безопасности, весьма долгой и дорогостоящей. Возможен еще один вариант - привлечение внешних компаний для решения проблем безопасности. Но в этом случае вы должны будете избрать ту компанию, которой
вам придется доверить все свои секреты.
Менеджеры, ведущие поиск талантливых, опытных специалистов по безопасности, знают, что их не так много. Разрыв между спросом на таких специалистов и предложением
очень велик.
Какие же можно дать рекомендации?
1. Вам самим нужно понять для чего вы нанимаете специалиста. Ни один уважающий себя профессионал в области безопасности не захочет работать
в компании, которая не понимает, для чего его нанимают.
2. Будьте готовы, что квалифицированная помощь стоит дорого.
3. Индустрия безопасности - очень закрытая область, поэтому стоит заранее обратить
внимание на специалистов из секретных служб, армии. Университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов.
4. Можно искать специалистов в компаниях, предоставляющих услуги по безопасности.
Итак, вы получили специалистов. Что делать дальше?
После того, как вы нашли хороших работников, вы должны их удержать.
Инструменты, признание и высокий уровень оплаты - вот основные факторы успеха.
Инструменты. Профессионалы, работающие в области информационной безопасности, стремятся стать профессионалами с
большой буквы, асами своего дела, специалистами на вершине пирамиды. Использование передовых инструментов, самых новых технологий позволит им чувствовать себя на передовых рубежах своей профессии. Если
вы обладаете разнообразной информационной средой, не забудьте сказать им об этом. Среди самых желанных "игрушек" для специалистов по безопасности можно назвать Nessus, LAN Guard, XSpider (сканеры
сетевой безопасности), Snort (инструментарий обнаружения атак), RAT (Router Analysis Tool, системный тестер маршрутизаторов).
Покажите им их значимость. Для привлечения кандидатов в качестве
дополнительных стимулов предложите оплату переподготовки, сертификации и участия в конференциях. Специалисты по безопасности "расцветают" от признания заслуг. Профессионалы в области безопасности
могут потерять интерес к работе, если они не чувствуют поддержку руководства. Это, конечно, справедливо для любой категории работающих, но специалисты в области информационной безопасности имеют самый широкий
доступ ко всем вашим секретам. Поэтому в спорах между сотрудниками ИТ и сотрудниками ИТ безопасности необходимо находить золотую середину (безопасность не мешает бизнесу, бизнес не мешает безопасности).
Однако следует помнить о разумной достаточности безопасности. Если ваши секреты стоят 10 тысяч долларов, то неразумно покупать систему безопасности за 100 тысяч.
Основной инструмент признания - высокая
оплата труда. Не забывайте, что зарплата специалиста по безопасности должна быть на высоком уровне.
Если вы по тем или иным причинам не желаете или не можете искать специалистов на стороне - обратите
внимание на собственный персонал. Наиболее подходящие кандидаты - сетевые администраторы. Они обладают хорошими техническими знаниями и некоторыми познаниями в области безопасности. Подумайте о возможной
переподготовке. Учтите, что кандидаты для переподготовки должны быть добровольцами. Нельзя заставить заниматься безопасностью из-под палки. При отборе кандидатов обращайте внимание на наличие навыков межличностного
общения. Основное в работе сотрудника информационной безопасности - умение общаться с людьми. Когда вы определите круг кандидатов, обучите их, они должны получить подготовку по общим вопросам безопасности,
а затем по более узким. Существует несколько способов подготовки.
Предложите сертификационные курсы. Несмотря на то, что большинство экспертов в области информационной безопасности считают, что
сертификация не столь необходима как навыки и опыт, наличие сертификата по окончании курсов поднимает престиж курсов в глазах обучаемых и заставляет их относиться серьезнее к процессу обучения.
Постарайтесь,
чтобы поставщики проводили обучение. Такие производители инструментов по безопасности, как Symantec, Cisco Systems и Check Point Software Technologies, представляют собственные курсы подготовки по своим
продуктам. Но такие курсы стоят очень дорого.
Будьте в курсе событий. Необходимо, чтобы ваши сотрудники регулярно отслеживали угрозы с помощью таких ресурсов как www.bezpeka.com (Украина), www.security-lab.ru
(Россия), www.bugtraq.ru (Россия), и многие-многие другие. Безусловно, ни одни из указанных мер вам не помогут, если ваши специалисты в области информационных технологий не понимают необходимость
введения мер безопасности. Вы можете нанять тысячу специалистов в области информационной безопасности и не добиться результата, если ваши сотрудники не осознают ее необходимость.
Обсудить
в форуме...>>>> | |
