"Совещание"

КСЕНИЯ ШУДРОВА,

специалист по защите информации ОАО «Красноярсккрайгаз»

Навык презентатора очень важен для CISO, как и для любого руководителя. От того, как будет подана информация на совещани-ях, зависит не только финансирование отдела, но иногда и его судьба. Информационная безопасность для руководителей высшего звена часто является абстрактным понятием, к тому же в отсутствие крупных происшествий работа специалистов по защите информации малозаметна – это как раз тот случай, когда дела сами за себя не говорят. При малейшем ухудшении финансового состояния компании может возникнуть вопрос о сокращении структурных подразделений, которые не связаны непосредственно с основной деятельностью организации. Важно, чтобы к этому моменту у администрации уже было понимание того, что защита информации – это необходимая часть работы компании, а не просто дань моде.

Цель защиты информации в организации – предотвращение утечек и устранение последствий нарушения режима информационной безопасности. Для специалиста эти слова звучат достаточно весомо, но совершенно не годятся для выступления с докладом на совещании. Первый совет для подготовки выступления: определите простые, понятные и при этом самые важные цели для компании:

•  сохранение клиентской базы, секретов производства;

•  контролирование работы сотрудников, имеющих доступ к ценной информации;

•  выполнение обязательных требований законодательства (ФЗ «О персональных данных»);

•  обеспечение бесперебойной работы компьютеров и серверов.

Если техническому специалисту при оценке своей деятельности удобно оперировать понятиями вероятности, актуальности, надежности и т. п., то руководитель организации хочет видеть конкретные результаты: сколько средств сэкономлено, какие суммы потрачены, чтобы знать ответ на вопрос, целесообразно ли содержать у себя отдел информационной безопасности или же можно обойтись одним приходящим специалистом? Отсюда второй совет при подготовке к совещанию: больше цифр, меньше качественных характеристик.

Доклад о предотвращении трех утечек персональных данных за истекший год не произведет столь сильного впечатления на слушателей, как та же информация, поданная, например, в таком виде: «Мы избежали 10 дней простоя, которые стоили бы нам 2 млн руб.». Получается, что «в попугаях мы длиннее»! Оперировать можно и другими показателями. В докладе на совещании для наглядности излагаемого материала можно применять следующие категории:

•  деньги (сумма возможного/причиненного ущерба);

•  время (простоя, работы специалистов);

•  закон (виды ответственности);

•  люди (инсайдеры);

•  техника (компьютеры, серверы).

Для того чтобы добиться желаемого результата на совещании, начинать доклад целесообразно с достигнутых результатов и постепенно переходить от текущих направлений работ к планируемым. Необходимо показать, что многое уже сделано. При этом следует помнить, что существует очень тонкая грань между рассказом о многочисленных предотвращенных утечках и появлением у руководства подозрений в несостоятельности CISO обеспечить режим информационной безопасности. На совещании не должно создаться впечатление, что работа специалистов представляет собой постоянное латание дыр. Удачным решением будет показать первую предотвращенную утечку, а после этого сообщить о принятых после этого превентивных мерах, позволивших увеличить уровень защищенности в целом. Также можно остановиться на последующих случаях и показать, насколько менее опасными они были благодаря своевременным профилактическим мероприятиям.

Например, обнаружен факт ознакомления конкурентов с коммерческой тайной предприятия. Приняты меры по ужесточению режима информационной безопасности, выявлены лица, причастные к утечке информации, подано исковое заявление в суд с требованием о возмещении материального ущерба. Руководство же, в свою очередь, требует отчета о том, почему при наличии отдела информационной безопасности происходят подобные инциденты. Возникает необходимость выступить на совещании с докладом и показать, что все не так уж плохо.

Начать следует с того, что режим коммерческой тайны на предприятии введен и организован в соответствии с требованиями действующего законодательства. Также необходимо подчеркнуть, что в кратчайшие сроки были проведены анализ ситуации, служебное расследование и выявлен сотрудник, который предоставил базу данных конкурентам. Таким образом, данный инцидент позволил выявить наличие инсайдера на предприятии и отстранить его от дальнейшей работы с коммерческой тайной. Немаловажно и то, что был выявлен канал утечки – сотрудник копировал информацию на личную флешку. В связи с этим на уровне операционной системы были запрещены съемные носители для других работников, также были проведены разъяснительные беседы и инструктажи. Важно показать, что утечка информации привела к незначительному ущербу в сравнении с тем вредом, который мог бы быть причинен предприятию, если бы данные инциденты систематически повторялись.

Также необходимо продемонстрировать системность подхода, ведь часто различные направления работы выглядят не связанными между собой. Отдел информационной безопасности занимается всем и сразу: защитой персональных данных, организацией работы бюро пропусков, безопасностью коммерческой тайны. Все это части одного целого – защиты информации в организации, в докладе на этом надо сделать акцент.

Далее следует остановиться подробнее на каждом из направлений – показать, что уже сделано. После этого можно будет переходить к планам и требованиям о выделении дополнительных средств. Рассмотрим защиту персональных данных как одно из направлений. Чтобы показать в докладе важность защиты персональных данных, следует привести следующие аргументы:

1. Персональные данные – это ценный ресурс для бизнеса. Личная информация клиентов дает компании преимущество перед конкурентами, поэтому необходимо обеспечить сохранность этих ценных сведений. Персональные данные сотрудников также должны быть в безопасности, это повышает лояльность персонала.

2. Пресса уделяет большое внимание информации о всевозможных утечках персональных данных, появление подобных материалов в открытой печати наносит удар по репутации компании и выставляет ее перед партнерами и клиентами в негативном свете.

3. С каждым днем увеличивается активность контролирующего органа – Роскомнадзора. Статистика показывает, что проверки проводятся все чаще и выявляют множество самых разных нарушений, а в план Роскомнадзора попадает все больше операторов. В случае же подачи субъектом персональных данных заявления о нарушении его прав производится внеплановая проверка.

4. Ожидается ужесточение законодательства в области защиты персональных данных, увеличение мер наказания и величины штрафов, в частности.

После обоснования важности данного направления необходимо продемонстрировать уже имеющиеся результаты работы, т. е. сначала докладчик останавливается на том, насколько опасно не заниматься данной проблемой, а затем показывает предпринятые к ее решению шаги. Часто можно слышать, как специалисты по защите информации говорят: «Мы занимались одними бумажками, на технические средства денег выделено не было. Какие результаты в таком случае можно продемонстрировать?» Безусловно, техническая защита информации является очень важной частью работы, но организационная защита дает нам больше половины результата, и это очень важно показать. Например, в докладе руководству о том, на какой стадии находятся работы по защите персональных данных, можно выделить следующие достигнутые результаты:

1. Проведен анализ предписаний Роскомнадзора другим фирмам, выявлены и устранены наиболее часто встречающиеся нарушения.

2. Определены особенности процесса обработки персональных данных, произведена их коррекция в пользу увеличения защищенности личной информации.

3. Проведены обучение сотрудников и многочисленные инструктажи, всем выданы памятки по работе с персональными данными.

4. Назначены ответственные за режим обработки персональных данных лица, определены их полномочия.

5. Введены в работу журналы для своевременной фиксации важных событий и обращений субъектов по вопросам обработки персональных данных.

6. Организован контроль за обработкой персональных данных, определена методика проведения контроля и создана специальная комиссия.

При подобной подаче материала защита персональных данных предстает комплексной задачей, которая успешно решается отделом информационной безопасности.

Другое важное направление – защита от внешних воздействий на информацию. Зачастую этот вид работы наиболее интересен руководству. Хакеры и «вирусы» во многих случаях являются причиной создания отдела информационной безопасности, поэтому обосновать важность данного направления несложно, достаточно остановиться на известных «врагах»:

•  вирусах. Здесь необходимо привести статистику заражений за последний день/месяц/год в России и мире, а также указать один из примеров негативного воздействия вируса на информационную систему;

•  злоумышленниках. В этом случае также будет полезна статистика вторжений, и для наглядности стоит привести яркий пример социальной инженерии;

•  форс-мажоре (пожары, наводнения и другие стихийные бедствия, а также случайные деструктивные действия посторонних людей).

Результаты работы можно представить следующим образом:

1. Установлен межсетевой экран (файервол – более привычное для обывателей название) и средства антивирусной защиты.

2. Произведен монтаж турникетов, средств пожарной, охранной сигнализации и т. д. Все это является частью работ по защите информации, хотя может выполняться и другими структурными подразделениями.

3. Определен пропускной режим в организации, а также составлены инструкции для действий в случае форсмажорных обстоятельств.

4. Введена парольная политика, определены минимальная длина и сложность пароля.

5. Установлены дополнительные средства разграничения доступа или использованы стандартные инструменты операционной системы.

6. Налажен процесс своевременной установки обновлений программ и ОС.

7. Проведены инструктажи персонала, сотрудникам разъяснены возможные угрозы и методы противодействия им. Здесь можно остановиться на том, что были изготовлены памятки и плакаты об опасности запуска подозрительных приложений, а также открытия писем от неизвестных лиц.

Рано или поздно руководство каждой компании приходит к пониманию того, что свои секреты необходимо оберегать. Для этих целей в российском законодательстве существует понятие «коммерческая тайна»

(КТ). Однако то, что часто называют режимом коммерческой тайны, по закону им не является, так как установленный режим не отвечает требованиям текущего законодательства. В противовес закону «О персональных данных» закон «О коммерческой тайне» не обязывает компанию вводить у себя подобный режим, это является делом добровольным, а следовательно, необязательным. К тому же организация режима коммерческой тайны по всем правилам требует значительного вложения средств, следовательно, CISO должен грамотно обосновать необходимость данных работ, показав преимущества введения режима КТ на предприятии:

1. Позволяет осуществлять контроль за использованием сведений, составляющих коммерческую тайну, навести порядок в работе с секретами компании и предотвращать утечки информации.

2. Дает возможность в случае реализованной утечки возместить убытки в суде. Если режим на предприятии не введен либо организован неправильно, то исковые заявления не будут рассмотрены (в этой части доклада можно привести статистику судебных решений по данному вопросу).

3. Делает необходимым определение ответственных лиц, что значительно повышает уровень дисциплины на предприятии.

4. Положительно влияет на репутацию компании в глазах клиентов и партнеров.

После обоснования необходимости введения режима коммерческой тайны можно перейти к представлению результатов, которые будут варьироваться в зависимости от стадии работ. Однако, даже если режим КТ еще не установлен, результатом деятельности специалистов является подготовительная работа, и это тоже очень важно. В общем виде итоги работы могут выглядеть так:

1. Выполнен анализ законодательства о КТ, учебных материалов, прошло обучение специалистов, которые посещали семинары и консультации.

2. Исследована информационная система предприятия, проведен анализ технологических процессов обработки информации и категорий обрабатываемой информации.

3. Составлен перечень сведений, составляющих коммерческую тайну, выявлены сведения, которые запрещено относить к КТ.

4. Ограничен доступ к информации, составляющей КТ, с помощью применения технических и организационных мер защиты, утверждены формы журналов учета, инструкции.

5. Определен и учтен круг лиц, задействованных в процессе обработки сведений, составляющих КТ.

6. Разработана стандартная формулировка о неразглашении сведений, составляющих коммерческую тайну, которая включена в трудовые и гражданско-правовые договоры.

7. Проведено грифование документов – проставление специальных отметок на материальных носителях.

8. Введен режим коммерческой тайны приказом по организации.

9. Осуществляется контроль за режимом коммерческой тайны, проходят проверки работы сотрудников, выявляются уязвимости, дорабатываются меры защиты, внедряются новые технологии.

(Если режим КТ успешно функционирует, необходимо заострить внимание в докладе на обнаруженных и предотвращенных утечках и рассказать о результатах служебных расследований.)

 Для любого предприятия крайне важно организовать бесперебойную работу компьютеров и серверов. Целями защиты информации является не только обеспечение ее конфиденциальности, но и целостности и доступности. Пока работа в компании идет в обычном режиме, руководство не задумывается о профилактических мероприятиях, поэтому задача отдела информационной безопасности – минимизировать риски до появления нарушений режима. Может показаться, что обеспечение бесперебойной работы информационной системы входит в функции лишь специалистов отдела информационных технологий. С одной стороны, это так, но ИТ-специалисты занимаются техническими решениями, их основная задача – создание условий для быстрой и комфортной работы пользователей, а не обеспечение безопасности. Тогда как сотрудники отдела информационной безопасности должны предлагать средства и методы защиты, в том числе и в сфере обеспечения стабильности работы информационной системы.

Актуальность данного направления легко обосновать, используя следующие аргументы:

•  Потеря клиентской базы и других важных документов может привести к длительным простоям в работе фирмы, а в критических ситуациях – к ее банкротству.

•  Недоступность сайта компании в Интернете приводит к потере клиентов, особенно это касается организаций, работающих в сфере услуг.

•  Скачки напряжения в электросети могут вывести из строя оборудование.

Результаты по данному направлению работы могут быть следующими:

1. Обеспечено бесперебойное питание для компьютеров и серверов.

2. Организовано резервное копирование информации (при ее утрате в основном хранилище можно будет восстановить важные данные). Дублирование информации производится на различные носители, в том числе и съемные.

3. Закуплено резервное оборудование, которое позволит продолжить работу при выходе из строя основного.

4. Проведены мероприятия по повышению уровня безопасности помещений, в которых ведется обработка информации. Серверная оборудована надежной охранно-пожарной сигнализацией, решетками на окнах.

После представления результатов проведенной работы необходимо остановиться на текущих задачах. Может показаться, что после решения какого-либо важного вопроса, например развертывания системы защиты персональных данных, работа в этом направлении завершена, но это не так, это только начало. Теперь на повестке дня следующее:

1. Осуществление контроля за соблюдением режима информационной безопасности.

2. Поддержание актуальности документации по защите информации.

3. Своевременное обновление устаревших частей системы защиты.

4. Внедрение новых технологий в области информационной безопасности.

5. Доработка системы в соответствии с изменениями законодательства (в этом году ожидаются глобальные изменения в требованиях к защите персональных данных).

6. Заключение договоров с компаниями, занимающимися по лицензии технической защитой информации.

7. Обучение сотрудников, в том числе и во внешних организациях.

8. Проведение работы по подготовке организации к получению лицензий в области защиты информации.

9. Разворачивание в компании собственного удостоверяющего центра.

10. Проведение сертификации системы управления ИБ по международным стандартам.

После того как были обозначены преследуемые цели, достигнутые результаты, рассказано о текущем состоянии дел, необходимо перейти к планируемым мероприятиям и требованиям о необходимости выделения дополнительных средств. Важно показать несколько вариантов дальнейшей деятельности: например, разработку документации по защите персональных данных можно вести самостоятельно или же заказать данную услугу у компании-интегратора, при этом качество работы и ее цена будут отличаться.

Когда определено основное содержание доклада, возникает вопрос: как сделать его более наглядным? Презентация выглядит лучше, чем сухое чтение по бумажке. Общими правилами хороших презентаций являются следующие:

•  Размещать как можно меньше текста на слайдах, должно быть больше наглядного материала: графиков, диаграмм, рисунков.

 • На одном слайде должен присутствовать только один тезис.

 • Придерживаться классической структуры: введение, постановка цели и задач, основная часть презентации, заключение.

•  Повторять главную мысль на протяжении всей презентации.

 В случае выступления CISO с докладом перед руководством у презентации будет своя специфика:

1. На слайдах хорошо использовать цифры, отражающие денежные, временные и другие затраты. Вообще количественные характеристики делают презентацию по безопасности более наглядной.

2. Делать ссылки на действующее законодательство. Как и цифры, цитаты из статей плохо воспринимаются на слух, но отлично выглядят на слайдах.

3. Придерживаться традиционной структуры: сначала введение (об информационной безопасности в организации), цели и задачи, поставленные перед отделом, затем достигнутые результаты, текущая работа, планируемые мероприятия (включают в себя требования дополнительных средств).

4. Иметь в виду, что слайды, посвященные перспективам, должны быть такими же ясными, как и часть доклада, посвященная результатам работы. Руководство должно четко понимать, что является конечной целью и какие средства необходимо затратить.

5. Предлагать несколько вариантов работы, чтобы избежать однобокого представления перспектив развития системы защиты информации.

Основная трудность для CISO при презентации своей работы состоит в том, чтобы сделать доклад максимально жизненным и не оперировать исключительно абстрактными понятиями, такими как «надежность», «безопасность», «угроза». Эти определения достаточно размыты, да и сам объект защиты – «информация» – вещь эфемерная. Доклад должен убедить присутствующих в том, что «защита информации» – не просто модное словосочетание, что существуют реальные инструменты, которые позволяют обезопасить имеющиеся информационные ресурсы, и это крайне важно в современном обществе. Постарайтесь продемонстрировать реальную пользу от вашей работы для бизнеса, и руководство вас обязательно услышит.