Готово!
Скоро материал придет на указанную электронную почту. Также подписывайте на нас в Facebook
Ok
Алексей Морозков: «К проектам трансформации ИБ надо подходить прагматично»
До февраля 2022 года эти подразделения потребляли различные ИБ-сервисы от своих головных компаний, которые спускали свои рекомендации и форматы работы. Поэтому им не нужно было беспокоиться о том, как обеспечивать информационную безопасность своей инфраструктуры. Но после февраля 2022-го зарубежные компании стали сокращать свое взаимодействие с российскими организациями, поэтому перед ними встал вопрос: а что, собственно, делать дальше с ИБ.
Так что же делать российским компаниям, если функциональность ИБ стала им недоступна?В первую очередь стоит сфокусироваться на основных бизнес-процессах, которые защищала головная организация, идентифицировать все имеющиеся средства защиты и среди них расставить приоритеты.
Следующим шагом с учетом изменяющегося законодательства РФ в области информационной безопасности нужно выделить аспекты, которые так или иначе могут повлиять на деятельность организации. То есть определить, как новые требования накладываются на бизнес, какие средства защиты информации необходимо использовать в новых условиях, должны ли эти средства быть сертифицированы, должны ли быть аттестованы рабочие места. Кроме того, стоит учитывать, нужно ли создавать новые департаменты, выделять соответствующие роли по информационной безопасности, и так далее.
Ну и третьим шагом я бы порекомендовал проанализировать организационную составляющую: какие политики и регламенты использовались, какие документы были разработаны. Потому что в лучшем случае все эти документы необходимо будет пересматривать, в худшем — их придется разрабатывать с нуля.
Такая работа похожа на большой проект трансформации. Кто должен руководить этим процессом?Действительно необходим такой специалист, который возьмет на себя полномочия по выстраиванию системы информационной безопасности в компании. Этот сотрудник должен обладать соответствующими компетенциями и хорошо знать внутренние процессы в организации, понимать, как выстраивалась работа в бывшей парадигме зарубежных компаний и уметь эффективно управлять бюджетом. Не менее важным будет также подчинение этого специалиста непосредственно руководителю организации, чтобы исключить конфликт интересов между подразделениями.
Этот специалист обязательно должен быть в штате компании, которая намерена трансформировать свою систему ИБ, или можно привлечь профессионала со стороны?Все зависит от организационной структуры. Если в штате есть сотрудник, который максимально приближен к такой роли, то, конечно же, он сможет самостоятельно выполнять эти проекты. На мой взгляд, это будет даже правильнее, потому что человек знает свою компанию, ИТ-инфраструктуру, особенности взаимодействия и коммуникации внутри организации. Поэтому он сможет делать все значительно эффективней.
Если же такой сотрудник отсутствует, то можно рассмотреть возможность привлечения компетентных подрядчиков с опытом работы с зарубежными компаниями. Придя в компанию, познакомившись с ее инфраструктурой, порядками и политиками, внешние специалисты тоже смогут эффективно сделать такую работу.
Но работа по выстраиванию системы ИБ достаточно объемная и может занимать месяцы, даже годы. Расскажите, как сократить вложения и снизить потребность в ресурсах для реализации трансформации?Тут я бы порекомендовал обратиться к услугам MSSP-провайдера.
Поясните, что это такое?MSSP-провайдер (Managed Security Service Provider, — прим. ред.) — это компания, которая оказывает услуги по информационной безопасности на базе аутсорсинга.
Трансформация ИБ требует больших ресурсов. Используя услуги MSSP, не нужно делать серьезных вложений, покупать лицензии и внедрять решение — вы просто являетесь потребителем сервиса, и это несет достаточно серьезный финансовый профит для организации.
Получается, что, прибегая к услугам MSSP, можно, например, снизить капитальные затраты? Понятно, что будут какие-то ежемесячные платежи, но можно избежать крупных разовых затрат, верно?
Да, совершенно верно.
И насколько я понимаю, MSSP готовы делиться своей экспертизой, то есть это поможет нивелировать проблему отсутствия соответствующих специалистов внутри компании?Все зависит от ситуации. В каких-то случаях компании действительно привлекают MSSP, чтобы задействовать компетенции, которых у них нет. А бывают случаи, когда к их услугам прибегают для того, чтобы разгрузить свой собственный ИТ-персонал для более важных и стратегических задач, а операционную работу отдают MSSP.
Как расставить приоритеты для того, чтобы реализовать проект трансформации? С чего начать, на какие области обратить внимание в первую очередь?Предприятия, особенно крупные, используются различные решения в области информационной безопасности — VPN, межсетевые экраны, прокси-сервера, другие средства защиты. Мы всегда рекомендуем опираться на бизнес-цели и связанные с ними риски. Начинать необходимо исходя из них, так как в этом случае у вас будет понимание, какой бизнес-актив защищается и чем.
Со своей стороны рекомендую выполнить два шага. Первый — проанализировать отечественный рынок и выбрать резервное решение, которое возможно имеет ограниченную функциональность, но позволяет обеспечить информационную безопасность критичных бизнес-процессов. Оно будет находиться в режиме готовности и потреблять минимальное количество ресурсов. А при наступлении, например, некого дня X, когда головная зарубежная компания решит полностью отключить ИТ-инфраструктуру, вы сможете с легкостью переехать на это решение, но уже в промышленных масштабах. То есть это законсервированный проект, готовый и настроенный, протестированный на пилотах. Здесь, конечно, сохраняются определенные риски, но все же это будет более плавным и управляемым переходом, чем если бы отключение состоялось без какой-либо подготовки.
Второй шаг — рассмотреть возможность формировать инфраструктуру ИБ на базе решений корпоративного уровня, построенных в мультивендорной и мультипродуктовой среде.
На отечественном рынке, а также на рынках так называемых дружественных стран представлен широкий спектр решений, которые по функциональности не уступают разработкам именитых западных вендоров.
Раз мы затронули технологическую часть трансформации информационной безопасности, на что вы рекомендуете обращать внимание, подбирая замену тем инструментам, которые предлагала головная компания?
Рынок продуктов информационной безопасности в России уже сформирован. Для решения стандартных задач предназначено достаточно много продуктов, они внесены в единый реестр отечественного ПО. Соответственно, чтобы избежать санкций со стороны регуляторов, многие организации переходят на сертифицированные средства защиты информации. Другой вопрос, когда организации требуется, например, какая-то нестандартная функциональность по обеспечению информационной безопасности, то в таких случаях действительно необходимо рассмотреть некоторые аспекты, которые позволят выбрать тот самый минимально рабочий продукт.
Первое, на что нужно обратить внимание — совместимость с существующей инфраструктурой. Важно понимать, чтобы это программное обеспечение или аппаратное устройство могли быть действительно безболезненно интегрированы в инфраструктуру без переделок, которые в свою очередь могут привести к дополнительным тратам.
Второй не менее важный аспект — функциональность. Она должна обеспечивать информационную безопасность, защиту информационных систем в не меньшем объеме, чем было раньше.
Третий аспект — цена. Она должна коррелироваться с функциональностью, быть доступной и конкурентной, чтобы можно было выбирать.
И последний аспект — наличие технической поддержки. Важно, чтобы вендор мог оказать действительно качественную поддержку в случае возникновения вопросов, а тем более в проектах, где масштаб трансформации ИБ огромный.
Получается, вопрос техподдержки сильно влияет на выбор? Например, между решением вендора и open source, где техподдержка не так доступна.Да, конечно. Когда компания прибегает к услугам MSSP, то провайдер должен как минимум иметь опыт работы в зарубежной парадигме и понимать, какой уровень сервиса оказывался ранее и какому уровню сервиса необходимо соответствовать.
Расскажите о типовых препятствиях, которые встречаются при реализации проектов трансформации.Такие проблемы действительно встречаются. Например, локализация. При выборе продуктов ИБ мы опираемся на вендоров, которые не попали под санкции. Если вендор находится под санкциями, то это вызывает вопросы у наших заказчиков, и выбор решений существенно сужается.
Другой пример — когда инженеры заказчика пытаются найти замену решению один в один. К сожалению, стопроцентной замены по функциональности для зарубежных разработок нет.
То есть здесь нужно проявлять гибкость? Может быть, выбирать не одно решение, а несколько — и настраивать интеграцию между ними?Да, совершенно верно. Вновь напомню о том, что стоит всегда исходить из бизнес-задач. Вы должны понимать, что пытаетесь решить, и уже под этот процесс подстраивать технологии, средства защиты и, соответственно, дальнейшую стратегию.
А проекты трансформации могут повлиять на доступность ИT-сервисов? Можно ли этого избежать и минимизировать риски простоя?Безусловно, риски есть. Например, у нас был типичный кейс — переход с антивирусного решения Microsoft Defender. Наш заказчик работал десятилетиями в одной парадигме, решение настраивалось десятки лет, были разработаны политики, исключения. И тут появляется отечественное решение, которое мы внедряем. Разумеется, сделать кнопку импорт-экспорт в такой ситуации не получится. Все настройки приходится вручную переносить на новое решение, отлаживать с учетом изменившихся реалий и архитектуры. И это действительно несет в себе много подводных камней.
Что еще можно сделать, чтобы минимизировать риски?Поможет избежать детальное планирование и тестирование. Здесь идет речь про минимально рабочий продукт в виде решения или сервиса. После его внедрения вы сможете собирать обратную связь, поймете, как он работает, какие проблемы есть, и так далее. Все серьезные трансформации необходимо проводить как минимум на пилотных группах, а дальше уже масштабировать.
Подводя итог, стоит ли бояться проектов трансформации информационной безопасности?Такие проекты могут быть большими, поэтому не стоит торопиться с их реализацией — надо подходить к ним прагматично, оценивая, какие у вас есть возможности, ресурсы, нужно ли вам привлекать MSSP или нет, есть ли у вас специалист, который эти проекты будет курировать. И когда вы определите критерии выбора продуктов, которые хотите внедрять, то дальше уже все пойдет гибко и плавно.
Читайте также на сайте Телеспутник.Новости по теме
- 15 февраля
Огласите весь список, пожалуйста: зачем нужен тест-драйв межсетевого экрана?
В рамках видео-интервью на ICL Open Day о миграции на отечественные межсетевые экраны, процессах импортозамещения и перспективах отечественных разработчиков рассказал Олег Цыганов, старший руководитель группы управления сетевой инфраструктур ICL Services.
- 23 февраля
Компании построили отказоустойчивый кластер, отвечающий за бесперебойную и безопасную работу локального сегмента сети и интегрировали его со всеми сервисами компании.
- 14 марта
Межсетевые экраны в РФ: требования, аналоги и поддержка
О том, что еще движет необходимостью модернизировать межсетевые экраны и как рекомендуется выполнять переход на российские аналоги и выбирать вендора, исходя из своих потребностей, рассказал руководитель отдела сетевой инфраструктуры Олег Цыганов.
- 24 апреля
ICL Services защитит ИТ-инфраструктуру заказчиков с помощью «СерчИнформ SIEM»
Российский системный интегратор ICL Services (входит в ГК ICL) выбрал «СерчИнформ SIEM» для расширения портфеля сервисов в области информационной безопасности.
Будьте в курсе новостей
Подпишитесь на рассылку и будьте в курсе наших последних новостей