Эксперт: Игорь Коломин, заместитель главного врача по информационной безопасности ГБУЗ АО «Областной клинический противотуберкулёзный диспансер», член профессионального сообщества «Код Патриот»
Считается, что работа специалиста по информационной безопасности в государственном учреждении строго регламентирована, выверена и подчинена чётким алгоритмам. Нормативные документы предписывают порядок мониторинга, реагирования, аудита и обучения. Однако на практике каждый день ставит перед ИБ-специалистом новые задачи, требующие не только профессиональных знаний, но и гибкости. Эксперт сообщества «Код Патриот» Игорь Коломин поделился своим видением реального рабочего дня — без прикрас, но с конструктивным взглядом на существующие вызовы.
Утро: мониторинг событий
В теории утро специалиста ИБ начинается с проверки SIEM-системы, анализа отчётов и беглого взгляда на консоль управления.
«На практике приходится проверять каждое средство защиты информации отдельно, — поясняет эксперт. — Это система централизованного управления антивирусом, межсетевой экран с просмотром событий обнаружения вторжений и логов срабатывания запрещающих правил, контроллер домена с поиском ошибок авторизации. А если в организации используются средства защиты без централизованного управления, необходимо просматривать журналы безопасности на каждом автоматизированном рабочем месте. При большом количестве АРМ это действительно может занять значительную часть дня».
Таким образом, отсутствие единой консолидации событий требует от специалиста повышенного внимания и ручного контроля — одна из объективных сложностей, с которой сталкиваются многие ИБ-подразделения.
День: реагирование, аудит, настройка, обучение
Реагирование на инциденты
Если в ходе мониторинга выявлены подозрительные события, специалист ИБ оперативно переходит к их устранению: изолирует затронутые системы, восстанавливает данные из резервных копий, информирует НКЦКИ. При этом текущие задачи не прекращаются — требуется эффективное распределение внимания.
Проведение аудита: между нормой и реальностью
По регламенту аудит включает проверку соответствия прав доступа сотрудников их должностным обязанностям, а также контроль целостности пломб на системных блоках.
«Часто процесс предоставления доступа требует дополнительного вовлечения ИБ-специалиста, — комментирует Игорь Коломин. — Руководители структурных подразделений загружены текущей работой, поэтому специалист ИБ помогает оформить необходимые документы и отслеживает их согласование. Что касается осмотра системных блоков, их расположение не всегда позволяет быстро проверить маркировку и пломбы — техника может находиться в труднодоступных местах или быть загромождена документацией. Это объективные факторы, с которыми приходится работать».
Настройка и обновление средств защиты
Данный блок включает обновление антивирусного ПО, корректировку правил межсетевых экранов, настройку других СЗИ. Объём работ напрямую зависит от степени автоматизации процессов и построения инфраструктуры. В условиях существующего кадрового дефицита эта нагрузка ложится на ограниченный круг сотрудников.
Обучение сотрудников: важность человеческого фактора
Внутренний нарушитель остаётся одной из ключевых угроз. Поэтому специалист ИБ проводит вводные инструктажи при приёме на работу, первичные — при предоставлении доступа, организует киберучения и регулярные проверки знаний.
«Объём локальной нормативной базы по ИБ сегодня достаточно велик, — отмечает эксперт. — Даже если сжать до минимума требования из различных политик и регламентов, получается несколько содержательных листов. Однако главная проблема — не в документах, а в загруженности персонала. Собрать сотрудников на полноценный тренинг бывает непросто: у всех срочные оперативные задачи. Некоторые коллеги поначалу скептически относятся к киберучениям, полагая, что уже владеют достаточными знаниями. И тем не менее спустя время мы всё равно встречаем попытки перехода по фишинговым ссылкам — это показывает, что обучение должно быть непрерывным и разнообразным по форматам».
Вечер: итоги и планы
В конце дня специалист ИБ подводит итоги, фиксирует выполненные задачи, оставшиеся вопросы, планирует действия на завтра. Заполняет журналы, готовит акты установки СЗИ и протоколы внутреннего контроля.
«Перечисленный распорядок лежит в основе правильно выстроенной политики информационной безопасности любой организации госсектора, — резюмирует Игорь Коломин. — Однако на практике времени на всё это катастрофически не хватает из-за высокой оперативной нагрузки».
Корень проблемы: к кому переходят функции ИБ?
Эксперт выделяет три распространённые модели организации ИБ в госучреждениях:
- Функции ИБ возложены на системного администратора, который и без этого занят поддержкой инфраструктуры.
- Должность ИБ-специалиста присутствует, но он вынужден параллельно выполнять задачи ИТ-отдела (или наоборот).
- Сотрудник ИБ работает внешне (аутсорсинг), что при режимных требованиях госсектора накладывает дополнительные ограничения.
«В сложившихся условиях ИБ нередко отступает на второй план, хотя системная работа специалиста по информационной безопасности — это долгосрочные инвестиции в стабильность и защищённость информационной инфраструктуры»
— подчёркивает Игорь Коломин.
Взгляд руководителя: почему взаимопомощь становится ключевым ресурсом
Сергей Скоков, руководитель профессионального сообщества «Код Патриот», комментирует ситуацию:
«Конечно, правильно выстроенная защита заключается в своевременном реагировании на киберугрозы, и в первую очередь речь идёт о предотвращении, профилактике. Но этого крайне сложно добиться даже при наличии двух-трёх специалистов в ИТ/ИБ структуре организации, поскольку независимо от размера ИТ-инфраструктуры практически каждая задача по защите требует непрерывного внимания и усилий. И здесь крайне важную роль играет взаимопомощь, взаимовыручка, когда подсказка коллеги, решившего ту или иную проблему, способна сэкономить значительное количество времени».
Пока сохраняется кадровый дефицит и не до конца отлажено разделение обязанностей между ИТ и ИБ, рабочий день специалиста остаётся насыщенным рутинными операциями и не всегда позволяет полностью реализовать стратегические задачи. Однако открытое обсуждение этих сложностей внутри профессионального сообщества «Код Патриот» помогает находить пути оптимизации и вырабатывать практические рекомендации для коллег.