Архитектура безопасности информационных систем (ИС) зависит от модели рисков и от организационной структуры предприятия. Задача построения оптимальной системы решается на основе достижения поставленных целей и отказа от избыточности.

Понятие архитектуры безопасности ИС и ее задачи

Организация решает задачи построения идеальной архитектуры сети исходя из ключевых задач бизнеса. Одно решение будет приемлемо для торговой фирмы, второе – для корпораций ТЭК, решающих задачу глобальной цифровизации: от использования нейронных сетей до построения цифровых моделей буровых вышек и скважин. В обоих случаях ключевыми факторами становятся задачи бизнеса и объем выделенных ресурсов.

В обычной ситуации, при отсутствии разработанной стратегии цифровизации бизнеса, проблема построения оптимальной архитектуры информационных систем встает, когда:

• задачи различных подразделений в области ИС не согласованы, что порождает конфликты программного обеспечения из-за отсутствия единой системы мониторинга рисков и управления ИС;
• пользователи и руководство не считают систему ИС оптимальной;
• необходимо рассчитать себестоимость внедрения средств защиты данных и финансовый результат от их использования;
• отсутствует идеология развития информационной системы, нет понимания целей и направлений ее развития, видов требуемого ПО или его обновления.

Если единой стратегии построения архитектуры безопасности информационных систем не разработано, возникает ряд проблем:

• ИТ-подразделение недофинансируется, что снижает общую эффективность решения задач в компании;
• пользователи и руководители недовольны тем, что ключевые задачи не решаются, данные не охраняются должным образом, из-за отсутствия систем мониторинга постоянно происходят сбои в работе, из-за нарушения функционирования ключевых модулей теряется важная информация, системы фильтрации почты не настроены;
• система не соответствует требованиям регуляторов, например, ФСТЭК РФ, в области защиты персональных данных, что вызывает проблемы при проверках;
• система не соответствует задачам бизнеса, например, не решается задача удаленного контроля датчиков работы промышленного оборудования или систем ЖКХ;
• несогласованность в работе различных подразделений приводит к заминкам и проволочкам в решении задач информационной безопасности. 

Дополнительным риском становится неэффективность инвестиций, вложенных в создание отдельных элементов архитектуры сети.

Методы построения идеальной архитектуры

Архитектура безопасности информационных систем опирается на две составляющие: архитектуру ИБ в целом и организационную структуру предприятия. Но она имеет специфические особенности, связанные с разработанной для организации моделью угроз. В ней учитываются риски:

• вирусных угроз и хакерских атак;
• утечки персональных данных;
• утечки конфиденциальной информации;
• сохранности государственной тайны;
• нарушения работы всей системы или ее элементов из-за технологических или программных сбоев.

Защите подлежит информация в электронном виде и на бумажных носителях. Важные сведения содержатся в видеоконференциях и видеосессиях, голосовых приложениях и IP-телефонии. Система должна учитывать эти риски и предполагать охрану от:

• действий инсайдеров;
• ненамеренных ошибок пользователей или системных администраторов;
• внешних рисков.

Контролировать действия пользователей системы с конфиденциальными файлами можно автоматически с помощью «СёрчИнформ FileAuditor». 

Эксперты считают, что разработка системы защиты от рисков информационной безопасности должна происходить независимо от разработки общей ИТ-архитектуры бизнеса, что позволит решать важные задачи отдельно, концентрируясь на конкретных целях. Несогласование целей безопасности и бизнеса возникает в случаях:

• заинтересованности бизнеса в использовании облачных технологий, увеличивающих риски утраты или утечек важных данных;
• использования проектных и групповых способов работы над важными решениями, что не позволяет выявить ответственного пользователя;
• применения единых каналов коммуникаций для нескольких пользователей и групп;
• активного взаимодействия с клиентами без учета ИБ-рисков.

Все это исключает возможность создания единственного общего периметра безопасности, а внедряемые решения противоречат общему направлению развития бизнеса. Но служба информационной безопасности часто забывает о том, что она существует для бизнеса, а не вопреки ему. Недоговоренности приводят к:

• перекрыванию протоколов на сетевом экране;
• затруднению доступа в Интернет для отдельных сотрудников;
• блокировке доступа к сайтам, важным для бизнеса.

Итогом становится то, что подразделения информационной безопасности начинают называть business prevention department, то есть препятствующими бизнесу, а не способствующими ему. Невозможно изменить организационную структуру предприятия или бизнес-процессы под внедряемую систему информационной защиты, напротив, им она должна соответствовать ИБ-система.

Стратегия

Первым шагом для формирования архитектуры безопасности становится разработка стратегии, представляющей собой последовательность этапов достижения целей и используемые ресурсы. Три группы ресурсов – человеческие, финансовые и временные – должны быть скоординированы. Поэтому разработку стратегии нельзя поручать отдельным департаментам, она должна контролироваться на уровне руководства компании. Именно оно определяет, что является максимальным приоритетом – краткое время создания системы или минимизация затрачиваемых ресурсов.

Стратегия описывает желаемые элементы архитектуры, которые должны обеспечить ее функционирование:

1. Информация. Указываются информационные массивы и виды предоставления данных, среди них – текстовые, видео- и аудиофайлы, устная информация, данные на бумажных носителях. В этом разделе определяются степени важности данных, уровень их защиты.

2. Инфраструктура. Этот подраздел документа описывает материальные объекты, где присутствуют данные, подлежащие защите. Это компьютеры, материальные носители, периферийные устройства, места нахождения документированной информации, например, регистратура в поликлинике, где находятся медицинские карточки пациентов, содержащие персональные данные.

3. Информационные системы, в которых содержатся конфиденциальные данные: ERP-, CRM-, SCM-, SCADA-системы, биллинговые программы, бизнес-приложения, программы бухгалтерского учета.

4. Информационная безопасность. В разделе описывается, какие задачи безопасности решаются и какие средства, программные решения, например, DLP-системы, будут использованы, предполагается инсталляция готового программного продукта или разработка собственного решения.

5. Служба информационной безопасности. Здесь описывается структура подразделения, отвечающего за поддержание элементов архитектуры безопасности информационных систем, его задачи и функциональные обязанности, методы оценки ключевых показателей эффективности.

Необходимо учитывать направления развития бизнеса и рынка программного обеспечения в целом, предполагаемые действия регуляторов. Требуется проводить мониторинг изменения угроз. С точки зрения затрат нужно учитывать, что рынок ПО меняется, и все большую популярность приобретает направление «ПО как услуга» (Software-as-a-Service, SaaS). Требуется учитывать отраслевую специфику, предполагаемые изменения нормативных актов в рамках государственной Доктрины информационной безопасности. Решение этих вопросов позволит выстроить оптимальную систему защиты и архитектуру ИС и снизить общие расходы предприятия.

16.01.2020