Что должен выполнить в первую очередь специалист ИБ, приходя в новую организацию?

Question

[Дмитрий]

Доброго времени суток! Собственно, основная суть вопроса такова: на нынешнем месте работы нас в подразделении ИБ несколько человек: руководитель, 2 спеца технических, 1 специалист по защите данных (ведёт направление по работе с перс. данными + нормативку по ИБ). Здесь мои обязанности: управление KES\KSC, управление анти-спамом KSMG. Здесь у нас есть SOC, который присылает алерты в уже сформированном виде. Реагирование на них входит в мои обязанности (пойти к пользователю, проверить что либо\заблокировать URL на МСЭ через сетевиков и так далее).

Сейчас предложили позицию спеца по ИБ в другом месте (оффер на руках), где из ИБ я буду один сотрудник (но и сама Компания правда значительно меньше). Что придётся защищать в обозримом будущем: всю классическую инфраструктуру (рабочие станции, сервера, почту, каналы данных, 1С, какой-то самописный MES, микросервисную архитектуру т.к. есть кое-какая внутренняя разработка ПО). Из средств защиты на данный момент у них только антивирус (также KES, KSC) и фаервол, больше нет ничего. Вроде как запланировали с ними внедрение SOC и Max Patrol в этом году, но я не уверен, что у них хватит на это бюджета и он будет согласован. Так вот вопрос: чтобы вы в первую очередь сделали, придя в новую организацию по направлению ИБ? На что бы обратили внимание? Какие задачи поставили бы себе (нормативка, процессы, СЗИ и т.д.)?

Вопрос адресован в первую очередь ИБ специалистам\экспертам и руководителям. Принимаются любые конструктивные советы. Также если у кого-то вдруг возникнет желание неформально проконсультировать меня лично (в тех или иных вопросах), я буду этому рад. Естетсвенно, не бескорыстно (оплату обсудим). Так как опыта у меня маловато (чуть больше года в ИБ), по многим моментам есть пробелы в знаниях и может быть полезным менторство более опытных коллег.

Answer 1

[CityCat4]

Да как обычно...

Схема сети, расположение серверов, применяемое средство резервного копирования, доступ к файволлам/роутерам, сетевая документация - если конечно она есть :)

Все зависит от того, склько там юзеров, как построена сеть, был ли раньше ИБ-шник или Вы приходите на "пустое место". Многое также зависит от умения контролировать работу админов. Фактически ИБ-шник, когда он в единственном лице - это этакий "супер-админ", у него прав не меньше, чем у админов, а иногда и поболее будет.

Что там с виртуализацией, есть-нет, что используется, кто отвечает.
Почта, сайт, доменные имена - где, как , кто отвечает.
Собственный CA - есть, нет, нужен или нет, кто отвечает
Доступ в Интернет - контролируется или нет, нужно корнтролировать или нет, если есть , кто отвечает
СМП - есть, нет, нужен или нет. Внедрение СМП - штука весьма недешевая, так что инициатива должна идти сверху.
Грамотность пользователей в отношении фишинга в почте и прочих приемов (но обычно прилетает в почту)
Наличие и актуальность политики безопасности (она есть далеко не всегда, да и не всегда нужна на самом деле)
Удаленный доступ - есть, нет, как сделано
Лицензирование софта, импортозамещение, политические моменты - если хоть как раком-боком-попереком к КИИ, неизбежно столкнетесь

С админами не ссориться, особенно если админских знаний не хватает для контроля их работы.

Comments

[mayton2019]

С админами конечно ни в коем случае не ссориться. С ними надо вместе работать. В одной лодке как-бы.

И в приказном порядке многие вопросы не решаются. Нужно разговаривать. Убеждать.

[CityCat4]

С админами конечно ни в коем случае не ссориться. С ними надо вместе работать. В одной лодке как-бы.

Фактически да. Мы вот даже и сидим вместе, в одной комнате. Я конечно подозреваю тут расчет руководства :)

И в приказном порядке многие вопросы не решаются. Нужно разговаривать. Убеждать.

Разумеется. Да и не все вопросы имеет смысл выносить "наверх". Зачастую достаточно просто подойти и обьяснить, что было сделано не так и как делать "так". Не строить из себя Большого Строгого Начальника, стараться быть человеком, но при этом любые попытки проехать на тебе тут же жестко пресекать.

[Дмитрий]

Прихожу на новую позицию, ИБ сотрудника раньше не было. Знаний админских технических у меня очень мало. Разве что концептуально только по системам: что и для чего используется, но не более. Виртуализация точно есть. В штате ИТ-отдела всего 4 человека: сисадмин, сетевик, эникей и руководитель. Я буду пятым.

Почта, сайт, доменные имена - это всё соберу инфу, это не проблема. Моё условие нахождения там, что я буду интгрировать SOC, который будет мне сильно в помощь. Пока со мной согласились. СА и СМП не знакомые мне абберивиатуры, можете рассказать что это?
Сейчас уже точно знаю, что мне нужно будет разработать модель угроз через проведения внешнего аудита. Модель угроз это обязательный документ при проверках РКН, как мне сказал наш спец-т по защите перс. данных (при проверке РКН за это может быть штраф). А вот какие ещё документы по ИБ обязательно должны быть и за что могут наказать, этого я не знаю...

И ещё, как точно узнать, относится ли предприятие к КИИ? сможете подсказать?

[CityCat4]

В штате ИТ-отдела всего 4 человека: сисадмин, сетевик, эникей и руководитель. Я буду пятым.

Эммм... Будете подчиняться начальнику ИТ-отдела? Хм. Вторая странность. Видимо, все-таки должность не полноценного ИБ-шника, а некоего специалиста по безопасности в составе ИТ-отдела. Если так - значит будете заниматься тем, что определит начальник.

Просто обычно ИБ-шник подчиняется либо директору по безопасности, либо непосредственно генеральному но ни в коем случае не CIO и не начальнику ИТ-отдела. Просто по той причине, что он контролирует работу ИТ-отдела. Но непосредственного начальника Вы не сможете контролировать :)

СА и СМП не знакомые мне абберивиатуры, можете рассказать что это?

CA - Certificate Authority (Удостоверящий Центр) - предназначен для выпуска ssl-сертификатов. Внутри конторы обычно в ходу сертификаты для защиты почты, реже - сертификаты на устройства (сайты, vpn). Своевременный выпуск/переввыпуск, установка/переустановка и решение проблем с ними - рутинная, но постоянная часть работы (там где они есть)
СМП - Система Мониторинга Пользователей. StaffCop, Стахановец, SearchInform... Система, которая мониторит действия пользователя, накапливает данные об этом и позволяет получить кучу разных отчетов во множестве аспектов. Вставил юзер флэшку - алерт, запустил whatsapp - алерт, набрал "вася дурак" - алерт, масса настроек... Обычно никто не сидит, в оперативный мониторинг не пялится - скучно, все делает автоматика. Но проглядывать приходится, отчеты делать по запросам приходится...

И ещё, как точно узнать, относится ли предприятие к КИИ?

Если относитесь к добывающей или обрабатывающей промышленности - точно относится, в остальном - нужно читать нормативку. Но раз у вас заморочки с РКН, вы скорее к провайдерам относитесь или к чему-то этакому...

[shurshur]

CityCat4, там чаще всего вопросы на тему работы с персданными или оказание услуг каким-то сурьёзным конторам (банки, медицина итд).

[Дмитрий]

CityCat4,

Если так - значит будете заниматься тем, что определит начальник.

Да, это так, просто потому что здесь руководитель ИТ отвечает вообще за все ИТ-технологии (читай директор по ИТ). Про ИБ много не знает, но "хочет чтобы ИБ развивалось". Я взял за основу что есть у меня сейчас, с моим планом руководитель пока согласен. Дальше другой вопрос, утвердить под этот софт бюджет.

Это промышленное предприятия локального масштаба (1 завод). Есть конструкторское бюро, разрабатывающее чертежи (и у руководства есть потребность их защитить). Планировали под это дело закупить DLP (но у меня на предприятии его сейчас нет, я не работал с этим классом продукта, поэтому ничего сказать не могу).

Но раз у вас заморочки с РКН, вы скорее к провайдерам относитесь или к чему-то этакому...

Заморочек пока ещё нет, просто как я понял, любая компания где нанимают сотрудников (а значит обрабатывает их перс. данные) попадает под определение ИСПдН и её может проверить РКН. Разве не так?

[CityCat4]

Да, это так, просто потому что здесь руководитель ИТ отвечает вообще за все ИТ-технологии

Ну, это его задача - отвечать за ИТ-технологии. Но еще раз: ИТ и ИБ - разные дисциплины. Находясь в подчинении CIO, Вы не сможете проверять работу ИТ-отдела (потому что невозможно проверять работу системы, будучи ее частью).
Пример:
- вы обнаруживаете, что учетка юзера PiskinVasya активна, несмотря на то, что Василий Васильевич Пискин третьего дня был с почетом выпровожен на пенсию. Вы сообщаете о сем начальнику и... получаете распоряжение учетку не трогать, пароль не менять. Без обьяснения, зачем. Все, приехали.

Полноценно ИБ-шник может работать только находясь в подчинении кого угодно, только не CIO - обычно это либо CSO либо директор по общим вопросам (не знаю, кому он сопоставляется в C-level). Поэтому имейте это в виду, потому что возможно придется принимать решения, которые будут увеличивать работу админам или требовать чего-то дополнительного.

(и у руководства есть потребность их защитить).

Ну, я сразу накидаю несколько сценариев атаки :)
- утечка посредством отправки на стороннюю почту
- утечка посредством копирования на стороннюю карту памяти (или в телефон)
- утечка посредством копирования в стороннее облако
Все данные атаки предотвращаются установкой СМП, правда это дело очень затратное - Стахановец например уже по десятке за лицензию хочет, а нужно их по числу активных машин. Часть атак можно предотвратить, сделав выход только через прокси (что заодно сузит поверхность атаки против вирусяк, которые напрямую лезут к своим C&C).
Можно еще защитить их юридически, но для этого нужно полноценно запускать режим коммерческой тайны, а там все очень непросто.

любая компания где нанимают сотрудников (а значит обрабатывает их перс. данные) попадает под определение ИСПдН

Возможно, но это головняки хыра - иметь комплект документов по ПдН, Вам хватит чем заниматься :)

[Дмитрий]

имейте это в виду, потому что возможно придется принимать решения, которые будут увеличивать работу админам или требовать чего-то дополнительного

Я это понимаю. Озвучил команде перед трудоустройством. У них ещё куча ПО нелицензионного: винда, офис, veeam для бекапов якобы тоже... что-то ещё скорее всего. Это ведь тоже мой предстоящий головняк? Чем это может быть чревато для меня и Компании? Я пока не очень понимаю как это решить, если купить они весь этот софт больше не могут. из-за санкций.

это головняки хыра - иметь комплект документов по ПдН, Вам хватит чем заниматься :)

Ну, везде по разному, видимо. Даже у меня сейчас есть data protection expert и это его вотчина. Так что вполне вероятно, что моя в будущем тоже.

Answer 2

[Drno]

Обычно ИТшники и без ИБ знают что и как им надо делать, так что разве что бумажки, чтоб не забивать ИТшникам голову ерундой всякой...)
Это конечно при условии что они достаточно грамотные
Насчет внедрение SOC и Max Patrol - используйте опенсоурс софт, если нет денег на это. с учетом что скорее всего всё это есть в бесплатном варианте, может просто не так удобно

Comments

[Дмитрий]

Opensource софт нам не подходит, я уже это озвучил на новом месте. Opensource это в целом не бизнесовый подход. ПО для защиты должно быть коммерческим, с поддержкой, с сертификацией ФСТЭК и прочих регуляторов.

[Drno]

Дмитрий, ясно. ну тогда я умолкаю, всё что касается ФСТЭК это бесполезная трата денег....)

[shurshur]

Drno, зависит от того, чем контора занимается. Может оказаться, что там наоборот без сертификации ФСТЭК никто твои услуги не купит.

[Drno]

shurshur, ну я и говорю - я умолкаю т.к. такие конторы не люблю)

[Дмитрий]

shurshur, если бы я почувствовал, что здесь хотят закрыть инфру СЗИ опенсорс онли, то я бы не стал сюда устраиваться...

[Drno]

Дмитрий, если честно не вижу проблемы в опенсорсе, но да ладно...) деньги не мои так что как то пофигу

[shurshur]

Дмитрий, проблема не в том, чтобы софт был опенсурсным или проприетарным, а в том, для какой задачи какое решение подходит в конкретной ситуации.

И некоторые задачи опенсурсные решения закрывают очень даже хорошо. А некоторые - нет. В том числе это может зависеть и от размера конторы, и от объёма задач, и от объёмов трафика/rps. А ещё от наличия специалостов и их навыков, их загруженности, наличия у них дорогих коммерческих сертификатов по работе с решениями специальной формы.

Я имел дело с админами клиентов, у которых супер-пупер ngfw, в котором "ну совершенно точно разрешено", а при этом выяснить, почему не работает, они неделю не могут, потому что никаких внятных средств отладки и сколько-нибудь адекватных логов там нет. Ну, точнее, там что-то есть, но вот как пить дать в данной конкретной проблеме ничё подходящего, чтобы позволило разобраться, найти не могут. А в опенсурсных решениях прозрачная структура решения, так что можно тот же tcpdump запустить, если уж совсем ничего не удаётся увидеть.

[Дмитрий]

shurshur, видите ли в чём дело: у меня пока ещё не значительный навык работы в тулах и знаний не много (говорю как есть). Поэтому я хочу получить СЗИ с договорами на поддержку (хотя бы SOC\SIEM\ EDR). Хотелось бы также за денежку получить кого-то, кто может консультировать меня малоопытного (говорить как какой процесс выстроить, что конкретно сделать\проверить, если уже совсем простым языком).

Answer 3

[Komrus]

В отличии от ранее выссказавшихся коллег - я бы начал деятельность ИБшника с бумаг, с нормативки.
Прописать в бумаге и подписать у начальства - Вашу зону ответственности, за что отвечаете, за что - НЕТ.
Что должно обеспечить начальство, дабы Вы могли эффективно выполнять свои обязанности .(максимально утрируя - если не выделили компьютер, то работать специалисту по ИБ тяжеловато :)
Что Вы обязаны обеспечить.
Точно также, как работа инженера по технике безопасности все годы начиналась с заполнения журналов по этой самой ТБ...

Сугубо с точки зрения прокурора посмотреть на вопрос...
Если случилась беда (с ИТ / ИБ), пришла прокуратура - важно, что Вы не оказались крайним.

Comments

[CityCat4]

Прописать в бумаге и подписать у начальства - Вашу зону ответственности, за что отвечаете, за что - НЕТ.

Такая бумага уже есть и она называется Должностная Инструкция :)

Если случилась беда (с ИТ / ИБ), пришла прокуратура - важно, что Вы не оказались крайним.

Если вдруг пришли улыбчивые ребята с холодными сердцами - обычно кого дергают - директора, главбуха и админа (начальника отдела ИТ).
Вообще надо сказать - найм ИБ-шника со стороны несколько странное и рискованное мероприятие. Это человек, который будет иметь доступ ко всему и знать все (а иначе он работать не сможет). Брать на такое место кого-то построннего...

[Komrus]

CityCat4,
Должностная инструкция, зачастую, увы - очень уж обобщённая и формальная бумага...
ВОзможно, лучше её положения - уточнить.

Ну и в сторону сотрудников - тоже сугубо необходимо на такой должности журналы учёта завести и подписи получить :)

[CityCat4]

Komrus, Ну, как я уже говорил, сам по себе найм ИБ-шника со стороны - вещь довльно странная, там как минимум должно было быть собеседование с руководством о том, чем он будет заниматься, так что он по идее еще до приема на работу представлять, за что отвечает и чем будет заниматься.

[Drno]

Komrus, нафига тогда нужен ИБшник если он ни за что потом не отвечает.. для галочки? Как раз таки если уж берешься работать по такой профессии, то будь добр нести ответственность...

[Komrus]

Drno,
Почему "ни за не отвечает?". Я как раз и призываю сделать документ, в котором чётко прописано, за что именно он отвечает. А за что отвечают (сугубо в силы долностных полномочий) - другие люди.
И остальные инструкции, в которых прописаны обязанности этих "других людей". Дабы в случае инцидента ИБ можно было разбираться, основываясь не на "это же очевидно!", а на внутренней нормативке.