17/11/2023

В ИT-индустрии специалистов, которые разрабатывают сложные системы и определяют их поведение, именуют архитекторами. Задолго до появления ИT-технологий так называли людей, которые проектировали здания и сооружения. Эта схожесть в названии профессии неспроста: построить сложную систему порой немногим легче, чем воздвигнуть многоэтажный дом.

В отрасли ИБ тоже есть архитекторы. Ими часто называют тех, кто проектирует систему защиты организации. И аналогия со строительством и здесь видна очень хорошо, а уж какое именно «здание» в итоге получится, зависит от бюджета, сроков, команды, используемых технологий, а также степени зрелости ИT-инфраструктуры. Развивая эту мысль, интересно подумать, а что же можно тогда сравнить с фундаментом системы защиты информации? На этот счёт можно долго дискутировать, и у каждого опытного ИБшника наверняка будет своё мнение. Со своей невысокой колокольни я бы сказал, что фундамент — это очень базовые процессы, причём из области скорее ИТ, чем ИБ. Навскидку я бы назвал следующие. 

  • Управление сетевыми активами: отлаженный и реально работающий процесс добавления (и удаления!) элементов корпоративной сети. У компании должна быть централизованная база данных своих цифровых активов. И когда что-то новое где-то в Сети появляется, в этой базе должна появляться новая запись, а когда актив выводится из эксплуатации, в базе напротив него должна ставиться соответствующая пометка.
  • Управление учётными записями: всё то же самое, но в отношении пользовательских (и сервисных) аккаунтов и назначенных им прав.
  • Управление процессами и документированием: опять абсолютно те же принципы, но в отношении процессов и документов.

Нетрудно заметить простую, но чрезвычайно мощную общую мысль, объединяющую все эти пункты: появление любого нового объекта, его изменение и вывод из эксплуатации должны сопровождаться соответствующим документированием.

Всё это, конечно, не новость, и перечисленные рекомендации в той или иной форме кочуют из стандарта в стандарт. Вспомним хотя бы NIST Cybersecurity Framework, стандарт ISO/IEC 27001, и его российского «брата» ГОСТ Р No ИСО/МЭК 27001-2021. Тем не менее на практике дела с этим обстоят очень и очень неважно. Автор заметок в своей карьере повидал немало крупных корпоративных инфраструктур, и, например, степень инвентаризации хостов сети по ощущениям мало где доходила даже до 70%. Наверное, плюс-минус такой же (если не меньший) уровень был и в двух остальных рассмотренных областях. 

Разумеется, тезис о том, что же именно является фундаментом системы защиты информации, можно оспорить. Но если хотя бы отчасти согласиться с изложенной выше точкой зрения, то становится очевидно, что на полусыром фундаменте крепкого здания не построить. По этой причине автор всегда испытывает богатую гамму чувств, когда в очередной раз видит, как крупная компания с упорством, достойным лучшего применения, сосредоточенно внедряет сложный комплексный продукт для защиты информации, при этом не имея толком представления о том, как же работает её сеть или хотя бы из каких узлов она состоит. КПД такого внедрения обычно невелик, а в особо выдающихся случаях может и вовсе быть отрицательным. 

К сожалению, «продавать» руководству «фундамент» сложно, особенно когда приходится конкурировать с красочными презентациями воздушных замков, которые якобы сделают драгоценное ИT-болото заказчика полностью неприступным для хакеров. А ведь от того, насколько прочны «сваи», зависит надёжность всей системы защиты. И нужно всегда помнить, что какой бы скучной, рутинной, некрасивой и бессмысленной ни казалась работа по выстраиванию базовых процессов в ИT-инфраструктуре, без неё нельзя всерьёз говорить ни о каком обеспечении безопасности. Потому что в отсутствие этого фундамента все усилия в конечном счёте занесёт песком сумятицы и неразберихи случайных изменений.