Эта статья была написана мной и дочерью почти 12 лет назад. Что изменилось? Да ничего! На мой взгляд она актуальна до сих пор…

Безмалый Владимир

Безмалая Елена

Мой дом — моя крепость! Но где взять солдат для обороны?

В ходе работы часто приходится сталкиваться с ситуациями, как в небольших, так и в больших фирмах и даже банках с ситуацией, когда работу по поддержке информационной безопасности возлагают на ИТ-специалистов (администраторов компьютерных сетей). На наш взгляд – это в корне неправильно. Ведь в таком случае работа по поддержанию информационной безопасности выполняется по остаточному принципу. Дело в том, что на системном администраторе и ИТ-отделе в целом лежит и так много обязанностей. Добавлять к ним еще и работу по защите информации – значит сознательно идти на невыполнение части порученных работ. Именно поэтому и создаются отделы информационной безопасности. Но при этом возникает один вопрос. Где же взять сотрудников для этих отделов?

Обоснование необходимости создания отдела информационной безопасности

Зачем надо защищаться?

Ответов на этот вопрос может быть множество. Все зависит от конкретного профиля компании. Для одних основной задачей является предотвращение утечки информации к конкурентам (например, режимные предприятия). Для других (например, банки) основным является обеспечение целостности и достоверности информации (сведения о платежных поручениях). Для третьих (например, провайдеры Интернет) основным является обеспечение безотказной работы.

Основная причина, по которой тормозится обеспечение информационной безопасности, это непонимание со стороны руководства. Хорошо, если руководитель является специалистом в области информационных технологий (ИТ), но ведь чаще всего он является коммерсантом. То есть, специалисты по информационной безопасности и руководство фирмы говорят на разных языках. Мир физической безопасности интуитивно понятен любому человеку (поставим забор, купим собаку, толстые ворота), то есть то, что можно увидеть и пощупать. Но, простите, как увидеть, работает ли брандмауэр, как увидеть компьютерный вирус, хотя последствия атаки, конечно, мы увидим… и врядли они нас обрадуют.

Как правило, если речь идет об информационной безопасности, все сразу вспоминают межсетевые экраны и антивирусы. Но кто это все будет обслуживать? Нет ничего хуже, чем великолепное антивирусное программное обеспечение (ПО), содержащее устаревшие базы. Руководство уверено, что антивирусная защита существует, но ведь профессионал знает, что ценность такого ПО фактически равна нулю. Нетрудно посчитать, что содержание отдела защиты информации из трех человек обойдется значительно дешевле возможных убытков. Следует смириться с тем, что данный отдел никогда не будет приносить явную прибыль. Его назначение – уменьшить возможные убытки.

Например, проведем параллель, если мы устанавливаем пожарную сигнализацию, средства пожаротушения, это же не означает, что пожар произойдет обязательно у нас. Но мы уверены, что если произойдет пожар, то мы будем к этому максимально готовы. Если мы вкладываем деньги в информационную безопасность, это вовсе не означает, что все хакеры мира будут атаковать нашу сеть, пытаться украсть у нас информацию, либо ее повредить. Средствами защиты мы можем себя оградить от возможных потерь при реализации таких атак.

Подбор персонала для обеспечения информационной безопасности

Существует два пути создания отдела информационной безопасности. Первый – создание отдела информационной безопасности за счет подготовки, реорганизации и перераспределения ИТ-специалистов. Так, для отражения вирусной атаки можно привлечь собственных программистов, но в этом случае их основная работа окажется невыполненной. И неизвестно, что обойдется дешевле – организовать новый отдел или дергать своих сотрудников. «Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них. Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак» (Девид Соул, исполнительный вицедиректор и директор информационной службы страховой компании Zurich North America).

Многие, и авторы этой статьи в том числе, считают, что нельзя отвлекать ИТ-персонал от решения его задач для решения задач безопасности, потому что решение бизнес-задач отодвинет задачи безопасности на задний план. Ведь основная цель компании – получать прибыль, а не обеспечивать безопасность.

Поиск талантливых профессионалов в области безопасности – дело весьма трудное и неблагодарное. Большинство из них, как правило, уже имеют престижную работу и их врядли удастся переманить, хотя нет ничего невозможного. Просто подумайте, хватит ли у вас денег и терпения, так как профессионалы весьма избалованы. Переподготовка имеющихся кадров в области информационных технологий, новичков в области безопасности, — весьма дорогой и долгий процесс. Возможен еще один вариант – привлечение внешней компании (третьей стороны), но в этом случае Вы должны будете избрать того, кому Вы сможете доверить все свои секреты.

Менеджеры, ведущие поиск талантливых, опытных специалистов в области информационной безопасности, знают, что их не так много. Разрыв между спросом на таких специалистов и предложением весьма велик.

Какие же можно дать рекомендации?

1. Вам самим нужно понять, для чего вы нанимаете специалиста, и хватит ли у вас денег для его содержания (хороший профессионал стоит дорого, а плохого незачем нанимать). Ни один уважающий себя профессионал не станет работать в компании, руководство которой не понимает, для чего его нанимают.
2. Будьте готовы, что квалифицированный профессионал стоит ДОРОГО.
3. Индустрия безопасности – весьма закрытая область, поэтому стоит обратить внимание на специалистов из секретных служб, армии. Однако, не стоит бездумно брать сотрудника только потому что он работал в соответствующих органах.
4. Университеты, которые имеют хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов. Однако, будьте готовы к тому, что наиболее талантливые студенты имеют места работы задолго до окончания университета, а кроме того, выпускники вузов зачастую имеют великолепную теорию и никакой практики.
5. Можно искать специалистов в компаниях, предоставляющих услуги по безопасности. Однако стоит понимать, что это далеко не самый дешевый путь.
6. И последний, на наш взгляд наиболее интересный, вариант. Обучение своих ИТ-специалистов, которые хотят заниматься безопасностью. Почему этот вариант наиболее предпочтителен? Дело в том, что вы уже заранее знаете этих людей, их способности и недостатки. Дело за малым – переучить или доучить этих специалистов. Конечно, это тоже требует вложения денег, но кто сказал,Итак, вы получили специалистов. Что дальше? Инструменты. Специалисты по безопасности любят использовать самые передовые инструменты, самые новые технологии. Среди любимых и желанных игрушек для специалистов можно назвать Nessus, XSpider, Retina Network Security Scanner (сетевые сканеры), SNORT (инструментарий обнаружения атак), RAT (router analysis tool (системный тестер маршрутизаторов)).Основной инструмент признания – высокая оплата труда. Не стоит забывать, что зарплата сотрудника, которому вы доверяете все свои секреты и который должен о них заботиться должна быть на весьма высоком уровне.Первый способ. Авторские курсы по основам информационной безопасности. Не секрет, что вузы в наше время дают не настолько высокое образование как хотелось бы. В связи с этим, считаем необходимым обратить внимание на авторские курсы по безопасности, которые создают и читают профессионалы.Третий способ. Курсы поставщиков (производителей) инструментария по безопасности. Такие поставщики инструментов как Symantec, Trend Micro, Kaspersky Lab, Cisco Systems, Check Point Software Technologies, Aladdin предоставляют собственные курсы. Однако стоит помнить, что такие курсы стоят очень дорого.Литература.
7. Ваши сотрудники должны быть постоянно в курсе событий. Необходимо регулярно читать статьи, отслеживать угрозы с помощью таких ресурсов, как http://www.bezpeka.com (Украина), http://www.securitylab.ru (Россия), http://www.bugtraq.ru (Россия), http://www.citforum.ru (Россия), http://www.security.ukrnet.net (Украина), http://www.dstszi.gov.ua (Украина, ДСТСЗИ СБУ) и многие-многие другие.
8. Второй способ. Сертификационные курсы. Несмотря на то, что большинство специалистов считают что сертификация не столь важна и дипломы ума не добавляют, наличие сертификата по окончании курсов поднимает их престиж и заставляет серьезнее обучаться.
9. Если по каким-то причинам вы не желаете или не можете привлекать специалистов со стороны – обратите внимание на своих сотрудников. Наиболее подходящая кандидатура – сетевой администратор. Он обладает хорошими техническими знаниями и некоторыми знаниями в области безопасности. Однако учтите, что безопасностью нельзя заниматься из-под палки. Обратите внимание, что ваш потенциальный кандидат должен уметь работать с людьми. Ведь основное в работе сотрудника информационной безопасности – умение работать с людьми. Когда вы определите возможных кандидатов на работу в области информационной безопасности – обучите их. Они должны получить образование по общим вопросам безопасности, а затем по более узким. Существует несколько способов подготовки.
10. Эффективная мотивация. Для привлечения кандидата в качестве дополнительного стимула предложите оплату обучения, сертификации и участия в конференциях. Специалисты по безопасности «расцветают» от признания и наоборот, могут полностью потерять интерес к работе, если не чувствуют поддержки руководства. Ведь вы доверяете им секреты компании. В случае споров между сотрудниками ИТ и сотрудниками ИТбезопасности следует искать золотую середину.
11. После того как вы нашли хороших работников, вы должны их удержать. Инструменты, признание и высокий уровень оплаты – основные факторы успеха.
12. что безопасность – это дешево? Вместе с тем стоит понимать, что это самый долгий и тернистый путь.

1. А.В. Лукацкий «Информационная безопасность, как обосновать» http://www.infosec.ru/press/pub/p61.htm
2. Журнал «Директор ИС» №12 2002 г.