Начальник Центра информационной безопасности Рафаэль Сайдашев на международном форуме Kazan Digital Week в рамках сессии «Как ИТ и ИБ завоевать доверие бизнеса» поделился опытом по импортозамещению и совместной работе айтишников и ИБ-специалистов в компании.
Процесс цифровой трансформации не должен влиять на информационную безопасность бизнеса. Вне зависимости от установленных операционных систем, чтобы не произошло непредвиденных ситуаций, информация предприятия должна быть под защитой согласно требованиям и законодательства, и бизнеса.
В Холдинге ТАГРАС мы в течении нескольких лет строим структуру информационной безопасности. В ее основе:
– формирование и актуализация ОРД;
– организационная ролевая структура;
– работа по цифровой гигиене и осведомленности в области ИБ с персоналом;
– техническое обеспечение мер защиты.
При создании структуры мы опирались на знания по информационной безопасности, цифровые системы обеспечения ИБ и комплекс технических и организационных мер. Такой подход обеспечивает предсказуемый результат взаимодействий.
Мы построили архитектуру ориентируясь на то, какие риски наиболее катастрофичны для бизнеса. На первом этапе провели опрос владельцев бизнес-процессов, поинтересовавшись какие они могут понести утраты в случае нештатной ситуации. Таким образом, мы выявили объем критически важных процессов и, исходя из него, определились с видом инфраструктуры.
Мы два года кропотливо создавали основные правила ИБ и выстраивали необходимую документацию: от политики информационной безопасности до самых простых инструкций для каждого пользователя и администратора безопасности – это большой перечень, по 55 документов на каждый дивизион. Сегодня действуем по этим документам, своевременно при необходимости актуализируем их, примеряем на существующие модели угроз, пересматриваем при наличии какого-либо нового риска.
Второй, самый главный компонент, не только для специалистов ИБ, но и руководства Холдинга – это люди, которые работают в информационных системах предприятия. Мы стали обучать сотрудников цифровой грамотности, запустили платформу обучения, по повышению осведомленности пользователей ИС в области информационной безопасности. Для каждой целевой аудитории подготовили определенные курсы, и тесты по итогу обучения. Провели учебные фишинговые атаки, определили аудиторию.
Только в прошлом году программа обучения охватила более 3,5 тыс. пользователей. Команда проекта организовала более 14,6 тыс. учебных часов и провела 23 учебные фишинговые атаки. До начала большой работы мы оценили первоначальный статус наших работников и через год провели оценку — устойчивость к событиям информационной безопасности повысилась минимум в 5 раз. Сотрудники должны знать, что защита информации – ответственность каждого.
И третий компонент – архитектура. Мы внедрили подсистемы обеспечения информационной безопасности, нацеленные на защиту прикладного и системного уровня, которые разграничивают доступ к ИТ-активам и ведут регистрацию, учет событий безопасности и обеспечивают целостность программно-аппаратной среды. Центр информационной безопасности уделил внимание и подсистеме защиты от угроз вредоносного кода. Архитектура построена на решениях сертифицированных российских вендоров. Ее жизненный цикл постоянно держит на контроле информационную безопасность компании.
Если говорить о взаимоотношениях сотрудников ИТ и ИБ, то мы знакомим айтишников с основными правилами по информационной безопасности, говорим на что обратить внимание и о том, какие проблемы могут быть в самой инфраструктуре. Мы обслуживаем большой Холдинг: система в дивизионах разная, направления деятельности разные. Мы еженедельно готовим подробный отчет по оказанным им услугам, а если появляется какая-либо уязвимость в инфраструктуре — информацию об этом отправляем моментально ИТ-специалистам компаний и ставим ситуацию на контроль.