Алексей Морозков: «К проектам трансформации ИБ надо подходить прагматично»

До февраля 2022 года эти подразделения потребляли различные ИБ-сервисы от своих головных компаний, которые спускали свои рекомендации и форматы работы. Поэтому им не нужно было беспокоиться о том, как обеспечивать информационную безопасность своей инфраструктуры. Но после февраля 2022-го зарубежные компании стали сокращать свое взаимодействие с российскими организациями, поэтому перед ними встал вопрос: а что, собственно, делать дальше с ИБ.

В первую очередь стоит сфокусироваться на основных бизнес-процессах, которые защищала головная организация, идентифицировать все имеющиеся средства защиты и среди них расставить приоритеты.

Следующим шагом с учетом изменяющегося законодательства РФ в области информационной безопасности нужно выделить аспекты, которые так или иначе могут повлиять на деятельность организации. То есть определить, как новые требования накладываются на бизнес, какие средства защиты информации необходимо использовать в новых условиях, должны ли эти средства быть сертифицированы, должны ли быть аттестованы рабочие места. Кроме того, стоит учитывать, нужно ли создавать новые департаменты, выделять соответствующие роли по информационной безопасности, и так далее.

Ну и третьим шагом я бы порекомендовал проанализировать организационную составляющую: какие политики и регламенты использовались, какие документы были разработаны. Потому что в лучшем случае все эти документы необходимо будет пересматривать, в худшем — их придется разрабатывать с нуля.

Действительно необходим такой специалист, который возьмет на себя полномочия по выстраиванию системы информационной безопасности в компании. Этот сотрудник должен обладать соответствующими компетенциями и хорошо знать внутренние процессы в организации, понимать, как выстраивалась работа в бывшей парадигме зарубежных компаний и уметь эффективно управлять бюджетом. Не менее важным будет также подчинение этого специалиста непосредственно руководителю организации, чтобы исключить конфликт интересов между подразделениями.

Все зависит от организационной структуры. Если в штате есть сотрудник, который максимально приближен к такой роли, то, конечно же, он сможет самостоятельно выполнять эти проекты. На мой взгляд, это будет даже правильнее, потому что человек знает свою компанию, ИТ-инфраструктуру, особенности взаимодействия и коммуникации внутри организации. Поэтому он сможет делать все значительно эффективней.

Если же такой сотрудник отсутствует, то можно рассмотреть возможность привлечения компетентных подрядчиков с опытом работы с зарубежными компаниями. Придя в компанию, познакомившись с ее инфраструктурой, порядками и политиками, внешние специалисты тоже смогут эффективно сделать такую работу.

Тут я бы порекомендовал обратиться к услугам MSSP-провайдера.

MSSP-провайдер (Managed Security Service Provider, — прим. ред.) — это компания, которая оказывает услуги по информационной безопасности на базе аутсорсинга.

Трансформация ИБ требует больших ресурсов. Используя услуги MSSP, не нужно делать серьезных вложений, покупать лицензии и внедрять решение — вы просто являетесь потребителем сервиса, и это несет достаточно серьезный финансовый профит для организации.

Да, совершенно верно.

Все зависит от ситуации. В каких-то случаях компании действительно привлекают MSSP, чтобы задействовать компетенции, которых у них нет. А бывают случаи, когда к их услугам прибегают для того, чтобы разгрузить свой собственный ИТ-персонал для более важных и стратегических задач, а операционную работу отдают MSSP.

Предприятия, особенно крупные, используются различные решения в области информационной безопасности — VPN, межсетевые экраны, прокси-сервера, другие средства защиты. Мы всегда рекомендуем опираться на бизнес-цели и связанные с ними риски. Начинать необходимо исходя из них, так как в этом случае у вас будет понимание, какой бизнес-актив защищается и чем.

Со своей стороны рекомендую выполнить два шага. Первый — проанализировать отечественный рынок и выбрать резервное решение, которое возможно имеет ограниченную функциональность, но позволяет обеспечить информационную безопасность критичных бизнес-процессов. Оно будет находиться в режиме готовности и потреблять минимальное количество ресурсов. А при наступлении, например, некого дня X, когда головная зарубежная компания решит полностью отключить ИТ-инфраструктуру, вы сможете с легкостью переехать на это решение, но уже в промышленных масштабах. То есть это законсервированный проект, готовый и настроенный, протестированный на пилотах. Здесь, конечно, сохраняются определенные риски, но все же это будет более плавным и управляемым переходом, чем если бы отключение состоялось без какой-либо подготовки. 

Второй шаг — рассмотреть возможность формировать инфраструктуру ИБ на базе решений корпоративного уровня, построенных в мультивендорной и мультипродуктовой среде.

На отечественном рынке, а также на рынках так называемых дружественных стран представлен широкий спектр решений, которые по функциональности не уступают разработкам именитых западных вендоров.

Рынок продуктов информационной безопасности в России уже сформирован. Для решения стандартных задач предназначено достаточно много продуктов, они внесены в единый реестр отечественного ПО. Соответственно, чтобы избежать санкций со стороны регуляторов, многие организации переходят на сертифицированные средства защиты информации. Другой вопрос, когда организации требуется, например, какая-то нестандартная функциональность по обеспечению информационной безопасности, то в таких случаях действительно необходимо рассмотреть некоторые аспекты, которые позволят выбрать тот самый минимально рабочий продукт.

Первое, на что нужно обратить внимание — совместимость с существующей инфраструктурой. Важно понимать, чтобы это программное обеспечение или аппаратное устройство могли быть действительно безболезненно интегрированы в инфраструктуру без переделок, которые в свою очередь могут привести к дополнительным тратам.

Второй не менее важный аспект — функциональность. Она должна обеспечивать информационную безопасность, защиту информационных систем в не меньшем объеме, чем было раньше.

Третий аспект — цена. Она должна коррелироваться с функциональностью, быть доступной и конкурентной, чтобы можно было выбирать.

И последний аспект — наличие технической поддержки. Важно, чтобы вендор мог оказать действительно качественную поддержку в случае возникновения вопросов, а тем более в проектах, где масштаб трансформации ИБ огромный.

Да, конечно. Когда компания прибегает к услугам MSSP, то провайдер должен как минимум иметь опыт работы в зарубежной парадигме и понимать, какой уровень сервиса оказывался ранее и какому уровню сервиса необходимо соответствовать.

Такие проблемы действительно встречаются. Например, локализация. При выборе продуктов ИБ мы опираемся на вендоров, которые не попали под санкции. Если вендор находится под санкциями, то это вызывает вопросы у наших заказчиков, и выбор решений существенно сужается.

Другой пример — когда инженеры заказчика пытаются найти замену решению один в один. К сожалению, стопроцентной замены по функциональности для зарубежных разработок нет.

Да, совершенно верно. Вновь напомню о том, что стоит всегда исходить из бизнес-задач. Вы должны понимать, что пытаетесь решить, и уже под этот процесс подстраивать технологии, средства защиты и, соответственно, дальнейшую стратегию.

Безусловно, риски есть. Например, у нас был типичный кейс — переход с антивирусного решения Microsoft Defender. Наш заказчик работал десятилетиями в одной парадигме, решение настраивалось десятки лет, были разработаны политики, исключения. И тут появляется отечественное решение, которое мы внедряем. Разумеется, сделать кнопку импорт-экспорт в такой ситуации не получится. Все настройки приходится вручную переносить на новое решение, отлаживать с учетом изменившихся реалий и архитектуры. И это действительно несет в себе много подводных камней.

Поможет избежать детальное планирование и тестирование. Здесь идет речь про минимально рабочий продукт в виде решения или сервиса. После его внедрения вы сможете собирать обратную связь, поймете, как он работает, какие проблемы есть, и так далее. Все серьезные трансформации необходимо проводить как минимум на пилотных группах, а дальше уже масштабировать.

Такие проекты могут быть большими, поэтому не стоит торопиться с их реализацией — надо подходить к ним прагматично, оценивая, какие у вас есть возможности, ресурсы, нужно ли вам привлекать MSSP или нет, есть ли у вас специалист, который эти проекты будет курировать. И когда вы определите критерии выбора продуктов, которые хотите внедрять, то дальше уже все пойдет гибко и плавно.