Инсайды и боль CISO глазами практика Максима Чащина, директора по информационной безопасности (ГК «Девелоника» и преподавателя курсов по ИБ в OTUS
Максим, чем на практике занимается CISO каждый день? Назовите 5 зон ответственности, без «воды», с примерами из вашей практики.
Классически: люди, процессы, технологии. При этом каждую категорию можно поделить на несколько подкатегорий — зон ответственности набирается больше пяти.
Поскольку CISO — это позиция, предполагающая наличие команды, то самая значимая из всех зон ответственности — это твоя команда. Я следую классике — внимание сотрудникам в приоритете. При этом важно не скатиться в микроменеджмент, уделение внимания вопросам сотрудников должно быть дозировано согласно их опыту (чем опытнее — тем внимания меньше). Причина проста — даже если ты сам чертовски умён и технически грамотен, ты никогда в одного себя не сделаешь столько, сколько сделает твоя команда.
Если хочешь быть успешным руководителем — командой надо заниматься.
Практические навыки и приёмы можно почерпнуть из науки под названием «Теория организации» или «Организационное поведение».
Вторая большая зона ответственности, которой необходимо уделять достаточно внимания — это основной бизнес предприятия и актуальные риски для него. Собственно, основная работа CISO — это вовремя идентифицировать риски и предлагать к ним меры митигации. Какие-то из мер — это меры ИБ, какие-то должны выполняться смежными подразделениями, такими как IT. Ключевое слово тут «вовремя» — если в бизнесе какой-то из рисков срабатывает, то для бизнеса он может оказаться последним. Аналитика и прогнозы, аудиты и отчёты, проактивдые и превентивные действия по предотвращению — это всё меры, обеспечивающие выживание бизнеса в условиях множества угроз. Собственно, вот эти меры и можно разделить на их периодичность — постоянные, ежедневные, еженедельные, ежемесячные или ежеквартальные, и, наконец, ежегодные. Однократные, с большим периодом, выносим за скобки.
Попробуем, соответственно, ответить на вопрос, что же относится к постоянным и ежедневным делам CISO?
- 1. Ежедневные доклады от команды об инцидентах, происшествиях и просто странных отклонениях
- 2. Постановка задач команде по исполнению и развитию мер безопасности, контроль выполнения с учётом п.1
- 3. Подготовка материалов для регулярного общения с бизнесом и руководством (что показать, как показать) — т.е. подготовка к мероприятиям с более крупным периодом от недели и выше
- 4. Выделение времени на обзор происходящего вне организации — какие где новости, тренды, обновления нормативки и тому подобное
- 5. Кадровые вопросы — и для своей, и для смежных команд (собеседования, отзывы, зарплатные комитеты и т.п.)
Вот примерно так.
С чего начинается построение системы ИБ в компании: политика, стандарты, типы мер? Расскажите по шагам, что вы делаете первым делом.
Построение ИБ всегда начинается с определения объекта для защиты — и с самых общих вопросов, которые CISO должен спросить ещё на собеседования — а что за организация перед нами? Чем занимается? В чём заключается основной бизнес? Под контроль каких регуляторов попадает? И так далее. С этого всё и начинается.
Дальше требуется понимание модели угроз и определение основных нарушителей. Исходя из модели — разработка системы мер противодействия и стратегии информационной безопасности для организации.
Дальше — защита бюджета на всё это, определение приоритетов, определение доступных ресурсов.
В соответствие с упомянутой стратегией готовится Политика ИБ, формулируются «правила игры». К ней привязывается набор ВНД (они же ЛНА), которые детализируют конкретную реализацию тех или иных мер, цели, задачи, процессы, зоны ответственности и всё такое. Типов мер не так много. Основных два — технические меры и организационные меры.
Соответственно, первые про то, как противодействовать угрозам с помощью средств защиты информации, вторые — прежде всего про то, как безопасно сформировать бизнес-процессы, сведя ошибки человеческого фактора к минимуму.
Риск-менеджмент: как вы устанавливаете «границы риска» и согласуете их с целями бизнеса? Приведите мини-пример.
Есть такой термин — «аппетит к риску». Если простыми словами, он означает то, чем бизнес готов рискнуть для достижения какого-то уровня прибыли. Поэтому для ИБ важно проводить правильную декомпозицию риска, оценку последствий при реализации, определение возможных компенсирующих мер по снижению, затрат на эти меры. А уже на основании всей этой информации бизнес должен принимать решение — какой путь обработки риска принять, в какой объём компенсирующих мер вкладываться. Тут важна прозрачность картины и её детализация.
К примеру, что произойдёт, если какой-либо сотрудник окажется внутренним нарушителем и начнёт слив ПДн или КТ? Насколько это критично, какие будут финансовые и репутационные потери? Какие будут штрафы? И т.д.
С другой стороны — во сколько обойдётся внедрение системы класса DLP для своевременного выявления такого нарушителя? Не потеряем ли мы на этом что-то, что сделает сценарии равновесными по потерям? И бизнес такие вопросы задаёт, и готовить ответы на них нужно заранее.
Топ-3 метрики CISO для отчёта первым лицам. Что показываете совету директоров ежемесячно — и почему именно это?
Прежде всего, это информация по инцидентам. Тут не одна метрика — их целый набор.
Основное — это получение картины, сколько было инцидентов всего, по скольки из них последствия удалось предотвратить, по скольки — не удалось. Время реагирования, уровень потерь, скорость и полнота восстановления, lessons learning (где ошиблись и какие выводы сделали). Самое главное — метрики должны способствовать управлению ситуацией. Руководство не должно терять его. Потеря управления — самый тяжкий грех для кризисных ситуаций.
Второй по важности набор метрик — это проекты по улучшению и совершенствованию системы СУИБ. Включая и технические, и организационные меры. Что ИБ развивает, какой статус по изменениям, какие есть риски и проблемы — всё это нужно своевременно отображать.
Третий набор — обычно какая-то специфика для основного бизнеса организации. Изменения в НПА, прогнозы, новые выявленные риски и т.д. То, на что нужно обращать внимание бизнесу.
Архитектура и стандарты: как на курсе разбираете ISO 27001/27002, COBIT/BAI и переводите их в понятные процессы?
По каждому документу и фреймвоку обсуждаем его назначение, его возможности — что именно он позволяет закрыть, способы и особенности внедрения на конкретных примерах и т.д. Понимание достигается тем, что разбираются кейсы, к которым такие подходы применимы.
Бюджет и экономика ИБ: как защищать бюджет и показывать ROI/эффект от инвестиций в безопасность? Пример «до/после».
Основная проблема бюджетирования информационной безопасности заключается в том, что результат успешной деятельности не всегда очевиден. То есть бюджет нужен для предотвращения реализации того или иного недопустимого для бизнеса события — и как правило, бизнес имеет мнение, что «у нас же ничего годами не случается, зачем в это вкладываться?». И зачастую, сначала должно что-то случиться, чтобы бизнес осознал, что угрозы вполне реальны.
Поэтому единого рецепта тут нет: практически помогает разбор реальных инцидентов ИБ (как своих, так и из других организаций). Приведение примеров реальных потерь — против расходов на вложения. Также нужно понимание основного бизнеса организации — предложения по сокращению поверхности атаки, унификации и упрощению ИТ-инфраструктуры — т.е. меры улучшения состояния ИБ без дополнительных вложений. Ещё полезны внешние пен-тесты и внешние аудиты — когда мнение CISO подкрепляется независимой оценкой.
Поставщики и подрядчики: критерии выбора, контроль выполнения и типичные «красные флаги».
Если речь вести о поставщиках и подрядчиках товаров и услуг ИБ и если исключить нормативку типа 44-ФЗ, то основные критерии выбора — это афиллированность, отношение к тому же холдингу / группе компаний, репутация по уже завершённым проектам, их результаты. Это приоритетно.
На втором месте — глобальная репутация поставщика, известность на рынке, реальные отзывы других клиентов (ИБ-среда — очень плотная, всегда есть знакомые, кто может рассказать о своём опыте с конкретным поставщиком).
Красный флаг — систематический срыв договорённостей (т.е. любой срыв более одного раза), отсутствие мер по исправлению. Признаки этого могут быть разные — долгие ответы в коммуникациях (или вообще отсутствие ответов, вопросы нужно перезадавать). Частая смена представителей — признаки текучести кадров у поставщика. Что-то из публичного поля — «интриги, скандалы, расследования» — имеет смысл и на это обращать внимание.
Абсолютный красный флаг — попытки манипуляций и введения в заблуждение (либо умалчивание каких-то важных аспектов). С такими лучше не связываться вообще.
Восстановление после сбоев: что обязательно должно быть в DRP и как вы тестируете готовность? Короткий чек-лист.
План восстановления после сбоев можно разделить на техническую часть и процессную.
Если с технической всё более-менее ясно — повысить эффективность можно методами QA (заранее подготовленный тест-план и обученные сотрудники, как его проходить), то с процессной могут быть сложности, поскольку не каждый процесс можно проверить быстро.
Тем не менее, наличие письменного тест-плана с версионированием (историей изменений) и фиксация результатов исполнения — это самый подходящий метод.
Если говорить о тест-планах с точки зрения QA, то уже тут могут быть различные подходы: быстрые проверки (smoke-testing) — когда в системе проверяются отдельные, наиболее критические или ранее пострадавшие функции и полные проверки (regression-testing), когда проводится комплексная проверка всей системы по всему функционалу. Можно комбинировать, можно применять автоматизацию тестирования (с учётом того, что есть особенности автоматизации тестирования Prod).
В некоторых случаях, требуется цикл повторного ввода в эксплуатацию системы (с проведением всего комплекса приёмочного тестирования). Зависит от важности системы и глубины произошедшего сбоя.
AppSec и уязвимости: что должен знать CISO про SAST/DAST, безопасную разработку и как вы внедряли SSDLC у себя?
Даже если сама организация не разрабатывает своё ПО, CISO должен знать про принципы разработки безопасного ПО (РБПО), назначение каждого класса инструментов и что требовать от разработчиков ПО, работающих, например, по подряду. Также при эксплуатации сертифицированного в ФСТЭК России ПО, нужно знать те меры, ответственность за которые лежат на командах эксплуатации (это ГОСТ 56939-2024).
Аббревиатуру «SSDLC» ныне принято импортозамещать отечественной «РБПО» — а методика внедрения принципиально проста:
- Шаг 1 – Формирование модели угроз
- Шаг 2 – Описание политик безопасности
- Шаг 3 – Сканирование кода
- Шаг 4 – Исследование тестовой сборки
- Шаг 5 – Устранение выявленных уязвимостей
Всё это и многое другое разбирается в рамках наших курсов по ИБ — приходите.
Расскажем и об этом, и о связанных «подводных камнях».
Лидерство: как вы строили и развивали команду ИБ (структура, роли, рост)? Один урок из опыта управления большой командой.
Важно, чтобы в команде была чёткая иерархия, выделенные зоны ответственности, чтоб каждый в полной мере осознавал свою роль и свой вклад. Особое внимание — лидерам команд. Я исхожу из того принципа, что я подбираю себе непосредственных подчинённых, ставлю им задачи — а уже эти прямые подчинённые формируют свои команды. Я тут только помогаю и верхнеуровнево контролирую. Решение принимают лидеры — тогда они будут именно лидерами.
Структура зависит от задач и функций. Но основные принципы соответствуют тому, что на каждые 5-8 человек должно быть выделенное подразделение со своим командиром. Если подразделение становится больше — им в контексте ИБ гораздо сложнее управлять. Это связано с тем, что практически каждый сотрудник — это высокообразованный эксперт, работа с которым должна быть тщательной и времени на которую должно быть достаточно. Начиная с постановки задач такому эксперту и заканчивая контролем результатов.
Рост, как правило, связан с реструктуризацией подразделений. Иногда — с текучкой кадров (всегда должен быть план, кто в команде является «запасным», включая для вас самих). Хорошо сформированная и работающая команда не теряет свою эффективность даже при уходе лидеров. Это показатель правильной кадровой работы.
Для кого этот курс точно «выстрелит»? Входные требования и что студент сможет делать после выпуска — на уровне задач CISO.
Выстрелит курс для тех, кому нужна систематизация их знаний — или получения углублённых для карьерного роста.
Например, если архитектор ИБ / продвинутый инженер ИБ задумал занять позицию CISO как продолжение своего развития. Понять философию подхода и смежные области, которые требуют не только технических навыков. Техника безусловно важна, но без знания смежных дисциплин — это как «суп без соли», вроде объём тот же, но вкус совсем другой.
Чем курс отличается от длинных академических программ и MBA-треков: практические кейсы, формат, наставничество. В чём выигрыш по времени/цене/результату?
Поскольку упор на практически полезные навыки и знания, и преподаватели на курсе — это практикующие эксперты, то фокус смещается на наиболее частые и наиболее востребованные вопросы. Можно сказать, что это подход по практической безопасности.
Также обильно приводятся и практические примеры, от тех, кто по «пути самурая CISO» уже идёт, так и предложения по дополнительным материалам, где в зависимости от потребности знания можно углубить.
Конкретно для меня, например, профильной является область безопасной разработки ПО, поскольку основная деятельность той компании, где я работаю CISO — это именно разработка ПО (ГК Девелоника, входит в ГК Софтлайн). И, соответственно, моя история преподавания началась с курса OTUS «Введение в DevSecOps». Так что тут много нюансов. При этом, знание экономики и некоторые подходы из MBA также нужны, но я лично предпочитаю изучать их самостоятельно. Слишком много времени они требуют при обучении на продолжительных курсах.
Финальный проект: какую реальную ценность он даёт студенту и работодателю? Примеры тем/артефактов (стратегия, реестр рисков, метрики и т.д.).
Решение практических вопросов — это всегда понимание, во-первых, для себя — верно ли то, что я иду в эту область?
Во-вторых — портфолио и знание терминологии позволяет получить «вход в профессию». Если на собеседовании вы сможете рассказать основные принципы вашей деятельности и обосновать их верность в контексте последствий от несоблюдения, и сделать это уверенно, «без запинок», то как минимум, составите о себе мнение как об эксперте. Проекты бывают разные, и «бумажные», и технические.
Например, собрать CI/CD конвейер и внедрить в него сканеры. Либо настроить лабораторную сеть и развернуть в ней SIEM. На основе этих решение сделать какую-либо аналитику — что было, что стало после внедрения, как повлияло на параметры ИБ. Тут дело вкуса и доступного времени.
Киберучения и тренировки: что практикуем на курсе и как это повышает готовность компании к кризисам?
Киберучения и тренировки начинаются со сценариев. Сценарии — с анализа рисков. А риски — с моделей угроз и нарушителя. Соответственно, на курсе проходим весь этот цикл с внесением глубокого понимания шагов на каждом этапе, оценкой необходимых мер и результатов. Основной результат — все участники учений будут в курсе того, куда смотреть и кому, в случае чего, звонить.
В памяти должны остаться короткие понятные и простые действия. Не всегда есть время вычитывать и заучивать длинные инструкции, их нужно писать и читать заранее.
Научитесь управлять рисками и обеспечивать соблюдение стандартов и нормативов на курсе «CISO / Директор по информационной безопасности»
