Контакты
Подписка 2024

Принцип ненулевого доверия как ключ к построению системы защиты

Илья Четвертнев, 18/10/21

Бизнес-функциональность любой создаваемой системы всегда имеет первый приоритет. Для поддержания непрерывной деятельности в реальных условиях в каждом проекте присутствуют элементы обеспечения информационной безопасности. Востребованность ИБ очень высока при любой экономической ситуации, но возникает комплекс вопросов относительно ее организации, совершенствования и контроля. В этой статье представлен взгляд опытного интегратора на особенности проектов в области информационной безопасности.

Автор: Илья Четвертнев, технический директор группы компаний Angara

Кто должен строить систему ИБ?

В идеальном мире заказчик знает все про свои информационные системы, но в реальной жизни обычно бывает наоборот. У больших заказчиков они весьма масштабны и разрознены, а у внутренних служб, как правило, нет времени и ресурсов, чтобы полностью контролировать изменяющийся технологический ландшафт даже внутри организации.

Это легко объяснить, ведь основная задача заказчика – это все-таки вести свой бизнес, внутренние подразделения прежде всего нацелены на реализацию и поддержку бизнес-функций, и на совершенствование информационной безопасности они смотрят лишь во вторую очередь.

К тому же практика показывает, что квалификация персонала, специализирующегося на информационной безопасности, у среднестатистического заказчика ниже, чем, например, у сотрудников ИТ-службы в своей области. Поэтому для построения или совершенствования системы информационной безопасности в большинстве случаев целесообразно подключать профильного интегратора, который поможет объективно определить и оценить специализированные риски там, где сам заказчик с этим не справится.

Как выбрать интегратора

Главный критерий выбора интегратора – доверие заказчика к нему. Доверие в части качества выполняемых работ, соблюдения сроков, в части того, что интегратор доведет проект до конца, как ни парадоксально звучит. И это доверие интегратор нарабатывает годами. Несложно заметить, что важнейший критерий – доверие к квалификации и профессионализму интегратора – носит весьма субъективный характер.

Есть и объективные признаки, из которых складывается итоговое доверие: например, квалификацию компании и сотрудников заказчик может оценить по сертификатам, по информации о выполненных проектах. Технические специалисты составляют две трети персонала нашей компании. Наличие высококвалифицированных сотрудников в штате – один из существенных факторов надлежащего выполнения проекта в срок и обеспечения последующей преемственности работ над ним. Качество инвестирования интегратора в собственное развитие и в обучение сотрудников определяет результативность внедрения решений для бизнеса заказчика и эффективность реализации проекта. Уровень сервисного обслуживания зависит и от грамотного выбора технологии проверенных поставщиков. Их репутация является дополнительной гарантией успешного воплощения решений.

Любопытно, что наиболее эффективным каналом для передачи доверия от одного заказчика к другому было и остается "сарафанное радио".

Именно поэтому для хорошего интегратора очень важны отношения с каждым заказчиком. И то, что после выполненного проекта заказчик не только сохраняет желание снова к нам обратиться, но и готов порекомендовать нас своим партнерам и коллегам, критически важно.

Союзники

Главными и зачастую единственными верными союзниками интегратора в проектах остаются службы ИБ, с которыми и происходит прямое взаимодействие. Но мы, например, стараемся расширять область доверия вокруг ведущегося проекта, чтобы союзниками стали и ИТ-подразделения, ведь именно они в первую очередь являются владельцами защищаемых информационных систем. Очевидно, что дополнительная сложность, которую мы привносим в целях ИБ, часто вызывает недопонимание и сопротивление с их стороны. Поэтому мы терпеливо доносим до ИТ-служб ту задачу, которую призваны решить в рамках каждого конкретного проекта, ее важность для сохранения вверенных им ИТ-процессов защищенными, целостными и доступными. Это легко делать, отталкиваясь от оценки рисков. Ведь зачастую ИТ-службы поддерживают SLA для своих бизнес-систем, не обладая полнотой информации о существующих рисках, а интегратор эти риски может объективно оценить. Ярким примером является онлайн-магазин, для которого простой по причине банальной DDоS-атаки однозначно приведет к большим финансовым потерям. Понимание такого риска со стороны ИТ-подразделения делает его нашим союзником в конкретном вопросе построения защиты от DDоS-атак.

Кроме того, важную роль играет квалификация наших сотрудников на этапе поддержки, ведь от четкости и согласованности зависит качество работы построенной системы защиты. А для этого необходимо досконально знать сопровождаемую систему. Если система сделана силами наших архитекторов, то к сопровождению мы приступаем незамедлительно, поскольку точно понимаем все свойства системы и особенности ее функционирования. Однако нередки случаи, когда сопровождается система, разработанная не нами. В этом случае мы сначала вникаем в тонкости ее работы, общаемся с вендором, а дальше приступаем к сопровождению.

Еще одним важным моментом является проактивное согласование плана действий в случае тех или иных инцидентов, это позволяет выиграть время в кризисных ситуациях и снизить негативный эффект.

Все это необходимо для поддержания высокого качества услуг по сопровождению информационных систем: мы заявляем и на деле обеспечиваем SLA на уровне 99,96%. Таким образом, заказчику предоставляются сервисы с гарантированной доступностью, включая постоянный анализ событий квалифицированными специалистами.

Пресейл

Пресейловая активность – важнейший момент, когда можно показать заказчику, на что мы способны. Есть много компаний, готовых создать вау-эффект, но этого мало, ведь нужно за короткое время показать именно то, что заказчик хочет в своей конкретной ситуации. С учетом его специфики, предвосхищая ожидания, мы готовим техническое задание и выдаем предложение исходя из того, что ему может требоваться, какая система, какая функциональность для него сейчас наиболее актуальны. Пресейл выполняют наши инженеры и архитекторы, которые определяют конкретные задачи, согласовывают их с заказчиком, а потом реализуют либо на инфраструктуре заказчика, что чаще, либо на нашем стенде. Кроме того, на этой стадии не только прорабатываются имеющиеся потребности, но и закладываются долгосрочные цели, включая общее направление развития ИТ в компании.

Пресейл не будет успешен без стремления решить насущную проблему заказчика. Много лет назад, когда я еще только начинал работать в информационной безопасности, можно было просто показать функциональность продукта, и заказчик сам додумывал, как его использовать у себя. Сейчас же именно интегратор должен придумать, как можно решить проблему заказчика с учетом его инфраструктуры, его персонала, текущих средств защиты и, конечно же, бюджетов.

Избежать несогласованности

Несогласованность может похоронить абсолютно любой проект, в первую очередь несогласованность в определениях целей проекта или действиях на проекте, которые с течением времени приводят к несогласованности в оценке и результатов проекта.

И ответом на этот риск тоже является доверие. Мы ценим, что нам доверяют самое важное – свои информационные системы, и мы это доверие всегда оправдываем и доводим проекты до конца с тем качеством и с тем результатом, который ожидает заказчик.

Мы понимаем важность защиты цепочки поставок для наших заказчиков, поэтому у нас хорошо поставлен процесс поддержания уровня нашей собственной информационной безопасности, это один из важнейших приоритетов в нашей работе. У нас есть свой центр киберустойчивости, занимающийся мониторингом не только в интересах заказчиков, но и для контроля нашей собственной инфраструктуры, которую сотрудники отдела анализа защищенности регулярно тестируют на проникновение внутренних и внешних нарушителей. Пентест позволяет выявить возможные уязвимости, оценить последствия их эксплуатации, эффективность существующих мер защиты и с учетом этого корректировать стратегию устранения выявленных проблем и повышения уровня безопасности. Эти знания наши специалисты затем используют при построении или совершенствовании информационных систем заказчиков.

Заключение

В работе мы в первую очередь гордимся своей командой, без которой не было бы ни реализованных проектов, ни воплощения гениальных идей, ни открытия новых направлений. Важный результат работы – это формализованные практики, которые позволяют нам становиться более опытными с каждым проектом и заслужить доверие заказчиков. Ну и конечно, мы гордимся проектами, которые мы выполняем для наших заказчиков, и самое главное – их результатом.

Angara Technologies Group защитила РГС Банк от направленных атак

Задача: создание дополнительного эшелона защиты почтового и сетевого трафика РГС Банка от направленных атак, в том числе программ-вымогателей

Особенности реализации: работа в ограниченных условиях, вызванных пандемией COVID-19. Взаимодействие с заказчиком и внедрение систем в удаленном формате

Результаты: Angara Technologies Group повысила защищенность РГС Банка и его клиентов от направленных атак с помощью высокоинтеллектуальных продуктов Trend Micro, которые позволяют обнаруживать угрозы, не детектируемые классическими средствами ИБ. С опережением сроков команда интегратора внедрила систему для защиты электронной почты Deep Discovery Email Inspector (DDEI) и систему мониторинга сетевого трафика Deep Discovery Inspector (DDI). Надежные и отказоустойчивые решения охватили всю почтовую инфраструктуру и часть сегмента сети банка, в котором работают 2,5 тыс. сотрудников. В результате проведенных работ РГС Банк обеспечил дополнительный уровень безопасности финансовых и цифровых активов своих клиентов по всей России

Темы:УправлениеЖурнал "Информационная безопасность" №4, 2021

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?
  • Как оценить эффективность системы управления операционным риском? (чек-лист)
    Валерия Окорокова, младший консультант по ИБ RTM Group
    Рассмотрим ключевые моменты и задачи оценки эффективности системы управления операционными рисками и минимизации соответствующих расходов
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • SECURITY AWARENESS: разработка мероприятий по повышению осведомленности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Поговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим, зачем они нужны, кто является их потребителем и как их организовать.
  • ЧЕК-ЛИСТ: организация реагирования на инциденты ИБ
    Чтобы решить задачу по организации/модернизации системы реагирования на инциденты, задайте себе несколько следующих вопросов.
  • Защита конечных точек: начало любой ИБ-стратегии
    Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
    Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать