Контакты
Подписка 2024

Принцип ненулевого доверия как ключ к построению системы защиты

Илья Четвертнев, 18/10/21

Бизнес-функциональность любой создаваемой системы всегда имеет первый приоритет. Для поддержания непрерывной деятельности в реальных условиях в каждом проекте присутствуют элементы обеспечения информационной безопасности. Востребованность ИБ очень высока при любой экономической ситуации, но возникает комплекс вопросов относительно ее организации, совершенствования и контроля. В этой статье представлен взгляд опытного интегратора на особенности проектов в области информационной безопасности.

Автор: Илья Четвертнев, технический директор группы компаний Angara

Кто должен строить систему ИБ?

В идеальном мире заказчик знает все про свои информационные системы, но в реальной жизни обычно бывает наоборот. У больших заказчиков они весьма масштабны и разрознены, а у внутренних служб, как правило, нет времени и ресурсов, чтобы полностью контролировать изменяющийся технологический ландшафт даже внутри организации.

Это легко объяснить, ведь основная задача заказчика – это все-таки вести свой бизнес, внутренние подразделения прежде всего нацелены на реализацию и поддержку бизнес-функций, и на совершенствование информационной безопасности они смотрят лишь во вторую очередь.

К тому же практика показывает, что квалификация персонала, специализирующегося на информационной безопасности, у среднестатистического заказчика ниже, чем, например, у сотрудников ИТ-службы в своей области. Поэтому для построения или совершенствования системы информационной безопасности в большинстве случаев целесообразно подключать профильного интегратора, который поможет объективно определить и оценить специализированные риски там, где сам заказчик с этим не справится.

Как выбрать интегратора

Главный критерий выбора интегратора – доверие заказчика к нему. Доверие в части качества выполняемых работ, соблюдения сроков, в части того, что интегратор доведет проект до конца, как ни парадоксально звучит. И это доверие интегратор нарабатывает годами. Несложно заметить, что важнейший критерий – доверие к квалификации и профессионализму интегратора – носит весьма субъективный характер.

Есть и объективные признаки, из которых складывается итоговое доверие: например, квалификацию компании и сотрудников заказчик может оценить по сертификатам, по информации о выполненных проектах. Технические специалисты составляют две трети персонала нашей компании. Наличие высококвалифицированных сотрудников в штате – один из существенных факторов надлежащего выполнения проекта в срок и обеспечения последующей преемственности работ над ним. Качество инвестирования интегратора в собственное развитие и в обучение сотрудников определяет результативность внедрения решений для бизнеса заказчика и эффективность реализации проекта. Уровень сервисного обслуживания зависит и от грамотного выбора технологии проверенных поставщиков. Их репутация является дополнительной гарантией успешного воплощения решений.

Любопытно, что наиболее эффективным каналом для передачи доверия от одного заказчика к другому было и остается "сарафанное радио".

Именно поэтому для хорошего интегратора очень важны отношения с каждым заказчиком. И то, что после выполненного проекта заказчик не только сохраняет желание снова к нам обратиться, но и готов порекомендовать нас своим партнерам и коллегам, критически важно.

Союзники

Главными и зачастую единственными верными союзниками интегратора в проектах остаются службы ИБ, с которыми и происходит прямое взаимодействие. Но мы, например, стараемся расширять область доверия вокруг ведущегося проекта, чтобы союзниками стали и ИТ-подразделения, ведь именно они в первую очередь являются владельцами защищаемых информационных систем. Очевидно, что дополнительная сложность, которую мы привносим в целях ИБ, часто вызывает недопонимание и сопротивление с их стороны. Поэтому мы терпеливо доносим до ИТ-служб ту задачу, которую призваны решить в рамках каждого конкретного проекта, ее важность для сохранения вверенных им ИТ-процессов защищенными, целостными и доступными. Это легко делать, отталкиваясь от оценки рисков. Ведь зачастую ИТ-службы поддерживают SLA для своих бизнес-систем, не обладая полнотой информации о существующих рисках, а интегратор эти риски может объективно оценить. Ярким примером является онлайн-магазин, для которого простой по причине банальной DDоS-атаки однозначно приведет к большим финансовым потерям. Понимание такого риска со стороны ИТ-подразделения делает его нашим союзником в конкретном вопросе построения защиты от DDоS-атак.

Кроме того, важную роль играет квалификация наших сотрудников на этапе поддержки, ведь от четкости и согласованности зависит качество работы построенной системы защиты. А для этого необходимо досконально знать сопровождаемую систему. Если система сделана силами наших архитекторов, то к сопровождению мы приступаем незамедлительно, поскольку точно понимаем все свойства системы и особенности ее функционирования. Однако нередки случаи, когда сопровождается система, разработанная не нами. В этом случае мы сначала вникаем в тонкости ее работы, общаемся с вендором, а дальше приступаем к сопровождению.

Еще одним важным моментом является проактивное согласование плана действий в случае тех или иных инцидентов, это позволяет выиграть время в кризисных ситуациях и снизить негативный эффект.

Все это необходимо для поддержания высокого качества услуг по сопровождению информационных систем: мы заявляем и на деле обеспечиваем SLA на уровне 99,96%. Таким образом, заказчику предоставляются сервисы с гарантированной доступностью, включая постоянный анализ событий квалифицированными специалистами.

Пресейл

Пресейловая активность – важнейший момент, когда можно показать заказчику, на что мы способны. Есть много компаний, готовых создать вау-эффект, но этого мало, ведь нужно за короткое время показать именно то, что заказчик хочет в своей конкретной ситуации. С учетом его специфики, предвосхищая ожидания, мы готовим техническое задание и выдаем предложение исходя из того, что ему может требоваться, какая система, какая функциональность для него сейчас наиболее актуальны. Пресейл выполняют наши инженеры и архитекторы, которые определяют конкретные задачи, согласовывают их с заказчиком, а потом реализуют либо на инфраструктуре заказчика, что чаще, либо на нашем стенде. Кроме того, на этой стадии не только прорабатываются имеющиеся потребности, но и закладываются долгосрочные цели, включая общее направление развития ИТ в компании.

Пресейл не будет успешен без стремления решить насущную проблему заказчика. Много лет назад, когда я еще только начинал работать в информационной безопасности, можно было просто показать функциональность продукта, и заказчик сам додумывал, как его использовать у себя. Сейчас же именно интегратор должен придумать, как можно решить проблему заказчика с учетом его инфраструктуры, его персонала, текущих средств защиты и, конечно же, бюджетов.

Избежать несогласованности

Несогласованность может похоронить абсолютно любой проект, в первую очередь несогласованность в определениях целей проекта или действиях на проекте, которые с течением времени приводят к несогласованности в оценке и результатов проекта.

И ответом на этот риск тоже является доверие. Мы ценим, что нам доверяют самое важное – свои информационные системы, и мы это доверие всегда оправдываем и доводим проекты до конца с тем качеством и с тем результатом, который ожидает заказчик.

Мы понимаем важность защиты цепочки поставок для наших заказчиков, поэтому у нас хорошо поставлен процесс поддержания уровня нашей собственной информационной безопасности, это один из важнейших приоритетов в нашей работе. У нас есть свой центр киберустойчивости, занимающийся мониторингом не только в интересах заказчиков, но и для контроля нашей собственной инфраструктуры, которую сотрудники отдела анализа защищенности регулярно тестируют на проникновение внутренних и внешних нарушителей. Пентест позволяет выявить возможные уязвимости, оценить последствия их эксплуатации, эффективность существующих мер защиты и с учетом этого корректировать стратегию устранения выявленных проблем и повышения уровня безопасности. Эти знания наши специалисты затем используют при построении или совершенствовании информационных систем заказчиков.

Заключение

В работе мы в первую очередь гордимся своей командой, без которой не было бы ни реализованных проектов, ни воплощения гениальных идей, ни открытия новых направлений. Важный результат работы – это формализованные практики, которые позволяют нам становиться более опытными с каждым проектом и заслужить доверие заказчиков. Ну и конечно, мы гордимся проектами, которые мы выполняем для наших заказчиков, и самое главное – их результатом.

Angara Technologies Group защитила РГС Банк от направленных атак

Задача: создание дополнительного эшелона защиты почтового и сетевого трафика РГС Банка от направленных атак, в том числе программ-вымогателей

Особенности реализации: работа в ограниченных условиях, вызванных пандемией COVID-19. Взаимодействие с заказчиком и внедрение систем в удаленном формате

Результаты: Angara Technologies Group повысила защищенность РГС Банка и его клиентов от направленных атак с помощью высокоинтеллектуальных продуктов Trend Micro, которые позволяют обнаруживать угрозы, не детектируемые классическими средствами ИБ. С опережением сроков команда интегратора внедрила систему для защиты электронной почты Deep Discovery Email Inspector (DDEI) и систему мониторинга сетевого трафика Deep Discovery Inspector (DDI). Надежные и отказоустойчивые решения охватили всю почтовую инфраструктуру и часть сегмента сети банка, в котором работают 2,5 тыс. сотрудников. В результате проведенных работ РГС Банк обеспечил дополнительный уровень безопасности финансовых и цифровых активов своих клиентов по всей России

Темы:УправлениеЖурнал "Информационная безопасность" №4, 2021

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?
  • Как оценить эффективность системы управления операционным риском? (чек-лист)
    Валерия Окорокова, младший консультант по ИБ RTM Group
    Рассмотрим ключевые моменты и задачи оценки эффективности системы управления операционными рисками и минимизации соответствующих расходов
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • SECURITY AWARENESS: разработка мероприятий по повышению осведомленности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Поговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим, зачем они нужны, кто является их потребителем и как их организовать.
  • ЧЕК-ЛИСТ: организация реагирования на инциденты ИБ
    Чтобы решить задачу по организации/модернизации системы реагирования на инциденты, задайте себе несколько следующих вопросов.
  • Защита конечных точек: начало любой ИБ-стратегии
    Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
    Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать