Роман Панин, МТС: Базовые принципы построения информационной безопасности остаются неизменными и выступают неким фундаментом для развития дальнейшего кибербеза в компании

Роман Панин, Руководитель направления Архитектуры ИБ в МТС и автор телеграм-канала Пакет Безопасности, рассказал порталу Cyber Media об особенностях и общих чертах построения процессов информационной безопасности в разных отраслях.

Cyber Media: Можете ли Вы выделить общие принципы и процессы построения ИБ в компаниях, которые актуальны для любой сферы/отрасли?

Роман Панин: Само собой, при построении структуры и процессов обеспечения информационной безопасности всегда нужно отталкиваться от контекста – чем компания занимается, какие данные обрабатывает, кто является конечным пользователем и так далее. Но да, есть некоторые паттерны, которые применяются вне зависимости от сферы деятельности или других особенностей бизнеса.

Практически везде можно выделить некий периметр безопасности, доступ в который должен быть ограничен. Именно внутри этого периметра у нас будут храниться и обрабатываться все чувствительные данные, сервисы, элементы инфраструктуры и всё то, на страже чего стоят безопасники. Таким образом у нашей крепости уже будут возведены высокие стены, чтобы злоумышленнику было сложнее добраться до своей цели.

Также, все зависимости от сферы деятельности компании или самого бизнеса, если у нас есть разработка собственного ПО, то необходимо обеспечение её безопасности. Если в компании уже внедрены лучшие практики SDLC, то в них легко можно встроить контроли со стороны кибербезопасности – статические анализаторы кода, динамические анализаторы приложений, построение моделей угроз, мониторинг безопасности и прочие. По итогу мы получим полноценный безопасный жизненный цикл разработки ПО, то есть Secure SDLC.

Также нельзя забывать о безопасности сетей и инфраструктуры, юридической стороне вопроса ИБ и сертификации, а также об аутентификации и авторизации.

Cyber Media: Какова роль специфики деятельности компании в построении информационной безопасности?

Роман Панин: Иногда специфика деятельности бизнеса накладывает некоторые ограничения на построение процессов ИБ в компании. Зачастую это связано с теми данными, которые мы обрабатываем. Помимо персональных данных клиентов, которые в последнее время утекают из многих компаний, также может собираться, храниться и обрабатываться прочая чувствительная информация. Например, различные тайны, такие как тайна связи или банковская тайна. В зависимости от этого будут внедряться более строгие контроли со стороны информационной безопасности, направленные на обеспечение сохранности этой информации.

Также, если речь идет о неком предприятии или инфраструктуре, связанной с обеспечением безопасности ключевых сфер жизнедеятельности государства, таких как энергетика, телекоммуникации или промышленность, одним словом – КИИ (критическая информационная инфраструктура), то тут могут применяться еще более строгие нормы и требования со стороны ИБ и регуляторов.

Также многое зависит от того, какие сервисы компания предоставляет с точки зрения IT – есть ли разработка своих мобильных приложений или всё держится на веб-сервисах, выставляет ли компания наружу свои API для партнеров или доступ к инфраструктуре и ресурсам возможен только из внутренней сети и т.д.

Тем не менее базовые принципы построения информационной безопасности, которые мы обсудили ранее, остаются неизменными и выступают неким фундаментом для развития дальнейшего кибербеза в компании.

Cyber Media: Если говорить о разнице, можете ли Вы рассказать о ней на конкретном примере?

Роман Панин: Если говорить о конкретных примерах, то я бы взял нефтяную отрасль и онлайн-маркетплейс.

В первом случае у нас есть полноценный завод, на территорию которого ограничен физический доступ. Также допустим, что у нас есть некие нефтяные хранилища и цеха по переработке нефти в бензин. А всё это хозяйство управляется сотрудниками при помощи некой информационной системы. По итогу мы имеем полноценное промышленное предприятие, обеспечивающее жизнедеятельность государства, то есть КИИ. С заводами всё максимально строго, поэтому зачастую дело доходит вплоть до ограничения доступа к глобальному интернету, пропуску на территорию только по биометрии и прочим ограничениям. Здесь же регулярные проверки со стороны регуляторов, сертификация инфраструктуры, повышенная ответственность персонала и так далее. И всё это связано с тем, что мы можем стать целью целенаправленной хакерской атаки (APT), при успехе которой могут пострадать не только данные, но и жизни людей.

Во втором случае у нас, по сути, есть онлайн-сервис, через который наши клиенты могут покупать различные товары. Из критичной информации у нас могут быть персональные данные наших пользователей, данные их банковских карт и информация о наших партнерах – магазинах, чьи товары размещаются на наших витринах. В части IT нам необходимо позаботиться о безопасной разработке и эксплуатации ПО, а также о нашей инфраструктуре и периметре безопасности, о которых мы говорили выше. По части данных – особое внимание нам стоит уделить карточным данным, если мы их будем собирать и хранить, но для этого уже изобретен PCI DSS с подробными инструкциями к его применению. В остальном – забот по части ИБ у нас не так много – противостояние массовым DDoS-атакам, фишингу и заражению внутренней инфраструктуры.

Cyber Media: Может ли специалист быть «мастером-универсалом» и выстраивать защиту компании независимо от отрасли или стоит искать «профилированных» безопасников?

Роман Панин: Если нужно выстраивать безопасность в компании с самого нуля, то наличие релевантного опыта в схожей сфере будет сильным плюсом и точно ускорит все процессы, так как специалист будет понимать и ориентироваться в регуляторном поле, а также знать подводные камни, связанные с обработкой определенного типа данных. Само собой, в индустрии есть и «швейцарские ножи», но ими становятся не просто так, а благодаря насмотренности на процессы ИБ и IT в компаниях разного уровня и из разных областей. Найти и нанять таких кадров обычно крайне сложно и дорого, поэтому проще искать кандидатов, которые не являются настолько универсальными бойцами.

Cyber Media: Если представить, что ИБ-архитектор хочет радикально сменить отрасль, например – из промышленности уйти в медицинский сектор, как ему можно максимально «погрузиться» в специфику?

Роман Панин: Любой архитектор ИБ понимает, что построение системы защиты зависит от трёх вещей:

• какие обрабатываются данные;
• от модели угроз и нарушителя;
• от регуляторного поля и стандартов, которым необходимо соответствовать.

Поэтому специфику новой отрасли стоит начинать изучать именно с вышеописанных аспектов – понять, какие наиболее критичные данные там обрабатываются, изучить то, какие это накладывает ограничения с точки зрения законодательства и регуляторов, сформулировать соответствующую модель угроз и понять, от чего мы защищаемся.

По итогу можно будет сделать вывод о том, какие меры защиты нам необходимо применить для того, чтобы выстроить полноценную систему безопасности. Закрепить результат, как и в любом освоении чего-то нового, можно на собеседованиях в реальных компаниях. Само собой, данное упражнение стоит делать с целью отработки навыка и нахождения слабых зон. Либо можно воспользоваться опцией мок-интервью среди менторов из соответствующей индустрии.

Cyber Media: Можете ли Вы дать свой субъективный ТОП-5 отраслей по уровню безопасности?

Роман Панин: На первое место я бы поставил все промышленные предприятия, связанные с энергетикой (в т.ч. и атомной) и военные объекты. Думаю, что тут не требуется особых объяснений, так как в этих местах уровень ответственности за инциденты повышен до максимума из-за реальной угрозы человеческим жизням, безопасности общества и государства.

На второе место я бы поставил все государственные учреждения и организации. Здесь может обрабатываться государственная тайна, что повышает ставки.

Далее я бы построил рейтинг субъективно, исходя из наличия в компаниях чувствительных данных, таких как банковская тайна, тайна связи и персональные данные о состоянии здоровья человека. То есть, в следующем порядке – ФинТех, Телеком и медицинские учреждения (коммерческие и государственные).