Контакты
Подписка 2025

Принцип ненулевого доверия как ключ к построению системы защиты

Илья Четвертнев, 18/10/21

Бизнес-функциональность любой создаваемой системы всегда имеет первый приоритет. Для поддержания непрерывной деятельности в реальных условиях в каждом проекте присутствуют элементы обеспечения информационной безопасности. Востребованность ИБ очень высока при любой экономической ситуации, но возникает комплекс вопросов относительно ее организации, совершенствования и контроля. В этой статье представлен взгляд опытного интегратора на особенности проектов в области информационной безопасности.

Автор: Илья Четвертнев, технический директор группы компаний Angara

Кто должен строить систему ИБ?

В идеальном мире заказчик знает все про свои информационные системы, но в реальной жизни обычно бывает наоборот. У больших заказчиков они весьма масштабны и разрознены, а у внутренних служб, как правило, нет времени и ресурсов, чтобы полностью контролировать изменяющийся технологический ландшафт даже внутри организации.

Это легко объяснить, ведь основная задача заказчика – это все-таки вести свой бизнес, внутренние подразделения прежде всего нацелены на реализацию и поддержку бизнес-функций, и на совершенствование информационной безопасности они смотрят лишь во вторую очередь.

К тому же практика показывает, что квалификация персонала, специализирующегося на информационной безопасности, у среднестатистического заказчика ниже, чем, например, у сотрудников ИТ-службы в своей области. Поэтому для построения или совершенствования системы информационной безопасности в большинстве случаев целесообразно подключать профильного интегратора, который поможет объективно определить и оценить специализированные риски там, где сам заказчик с этим не справится.

Как выбрать интегратора

Главный критерий выбора интегратора – доверие заказчика к нему. Доверие в части качества выполняемых работ, соблюдения сроков, в части того, что интегратор доведет проект до конца, как ни парадоксально звучит. И это доверие интегратор нарабатывает годами. Несложно заметить, что важнейший критерий – доверие к квалификации и профессионализму интегратора – носит весьма субъективный характер.

Есть и объективные признаки, из которых складывается итоговое доверие: например, квалификацию компании и сотрудников заказчик может оценить по сертификатам, по информации о выполненных проектах. Технические специалисты составляют две трети персонала нашей компании. Наличие высококвалифицированных сотрудников в штате – один из существенных факторов надлежащего выполнения проекта в срок и обеспечения последующей преемственности работ над ним. Качество инвестирования интегратора в собственное развитие и в обучение сотрудников определяет результативность внедрения решений для бизнеса заказчика и эффективность реализации проекта. Уровень сервисного обслуживания зависит и от грамотного выбора технологии проверенных поставщиков. Их репутация является дополнительной гарантией успешного воплощения решений.

Любопытно, что наиболее эффективным каналом для передачи доверия от одного заказчика к другому было и остается "сарафанное радио".

Именно поэтому для хорошего интегратора очень важны отношения с каждым заказчиком. И то, что после выполненного проекта заказчик не только сохраняет желание снова к нам обратиться, но и готов порекомендовать нас своим партнерам и коллегам, критически важно.

Союзники

Главными и зачастую единственными верными союзниками интегратора в проектах остаются службы ИБ, с которыми и происходит прямое взаимодействие. Но мы, например, стараемся расширять область доверия вокруг ведущегося проекта, чтобы союзниками стали и ИТ-подразделения, ведь именно они в первую очередь являются владельцами защищаемых информационных систем. Очевидно, что дополнительная сложность, которую мы привносим в целях ИБ, часто вызывает недопонимание и сопротивление с их стороны. Поэтому мы терпеливо доносим до ИТ-служб ту задачу, которую призваны решить в рамках каждого конкретного проекта, ее важность для сохранения вверенных им ИТ-процессов защищенными, целостными и доступными. Это легко делать, отталкиваясь от оценки рисков. Ведь зачастую ИТ-службы поддерживают SLA для своих бизнес-систем, не обладая полнотой информации о существующих рисках, а интегратор эти риски может объективно оценить. Ярким примером является онлайн-магазин, для которого простой по причине банальной DDоS-атаки однозначно приведет к большим финансовым потерям. Понимание такого риска со стороны ИТ-подразделения делает его нашим союзником в конкретном вопросе построения защиты от DDоS-атак.

Кроме того, важную роль играет квалификация наших сотрудников на этапе поддержки, ведь от четкости и согласованности зависит качество работы построенной системы защиты. А для этого необходимо досконально знать сопровождаемую систему. Если система сделана силами наших архитекторов, то к сопровождению мы приступаем незамедлительно, поскольку точно понимаем все свойства системы и особенности ее функционирования. Однако нередки случаи, когда сопровождается система, разработанная не нами. В этом случае мы сначала вникаем в тонкости ее работы, общаемся с вендором, а дальше приступаем к сопровождению.

Еще одним важным моментом является проактивное согласование плана действий в случае тех или иных инцидентов, это позволяет выиграть время в кризисных ситуациях и снизить негативный эффект.

Все это необходимо для поддержания высокого качества услуг по сопровождению информационных систем: мы заявляем и на деле обеспечиваем SLA на уровне 99,96%. Таким образом, заказчику предоставляются сервисы с гарантированной доступностью, включая постоянный анализ событий квалифицированными специалистами.

Пресейл

Пресейловая активность – важнейший момент, когда можно показать заказчику, на что мы способны. Есть много компаний, готовых создать вау-эффект, но этого мало, ведь нужно за короткое время показать именно то, что заказчик хочет в своей конкретной ситуации. С учетом его специфики, предвосхищая ожидания, мы готовим техническое задание и выдаем предложение исходя из того, что ему может требоваться, какая система, какая функциональность для него сейчас наиболее актуальны. Пресейл выполняют наши инженеры и архитекторы, которые определяют конкретные задачи, согласовывают их с заказчиком, а потом реализуют либо на инфраструктуре заказчика, что чаще, либо на нашем стенде. Кроме того, на этой стадии не только прорабатываются имеющиеся потребности, но и закладываются долгосрочные цели, включая общее направление развития ИТ в компании.

Пресейл не будет успешен без стремления решить насущную проблему заказчика. Много лет назад, когда я еще только начинал работать в информационной безопасности, можно было просто показать функциональность продукта, и заказчик сам додумывал, как его использовать у себя. Сейчас же именно интегратор должен придумать, как можно решить проблему заказчика с учетом его инфраструктуры, его персонала, текущих средств защиты и, конечно же, бюджетов.

Избежать несогласованности

Несогласованность может похоронить абсолютно любой проект, в первую очередь несогласованность в определениях целей проекта или действиях на проекте, которые с течением времени приводят к несогласованности в оценке и результатов проекта.

И ответом на этот риск тоже является доверие. Мы ценим, что нам доверяют самое важное – свои информационные системы, и мы это доверие всегда оправдываем и доводим проекты до конца с тем качеством и с тем результатом, который ожидает заказчик.

Мы понимаем важность защиты цепочки поставок для наших заказчиков, поэтому у нас хорошо поставлен процесс поддержания уровня нашей собственной информационной безопасности, это один из важнейших приоритетов в нашей работе. У нас есть свой центр киберустойчивости, занимающийся мониторингом не только в интересах заказчиков, но и для контроля нашей собственной инфраструктуры, которую сотрудники отдела анализа защищенности регулярно тестируют на проникновение внутренних и внешних нарушителей. Пентест позволяет выявить возможные уязвимости, оценить последствия их эксплуатации, эффективность существующих мер защиты и с учетом этого корректировать стратегию устранения выявленных проблем и повышения уровня безопасности. Эти знания наши специалисты затем используют при построении или совершенствовании информационных систем заказчиков.

Заключение

В работе мы в первую очередь гордимся своей командой, без которой не было бы ни реализованных проектов, ни воплощения гениальных идей, ни открытия новых направлений. Важный результат работы – это формализованные практики, которые позволяют нам становиться более опытными с каждым проектом и заслужить доверие заказчиков. Ну и конечно, мы гордимся проектами, которые мы выполняем для наших заказчиков, и самое главное – их результатом.

Angara Technologies Group защитила РГС Банк от направленных атак

Задача: создание дополнительного эшелона защиты почтового и сетевого трафика РГС Банка от направленных атак, в том числе программ-вымогателей

Особенности реализации: работа в ограниченных условиях, вызванных пандемией COVID-19. Взаимодействие с заказчиком и внедрение систем в удаленном формате

Результаты: Angara Technologies Group повысила защищенность РГС Банка и его клиентов от направленных атак с помощью высокоинтеллектуальных продуктов Trend Micro, которые позволяют обнаруживать угрозы, не детектируемые классическими средствами ИБ. С опережением сроков команда интегратора внедрила систему для защиты электронной почты Deep Discovery Email Inspector (DDEI) и систему мониторинга сетевого трафика Deep Discovery Inspector (DDI). Надежные и отказоустойчивые решения охватили всю почтовую инфраструктуру и часть сегмента сети банка, в котором работают 2,5 тыс. сотрудников. В результате проведенных работ РГС Банк обеспечил дополнительный уровень безопасности финансовых и цифровых активов своих клиентов по всей России

Темы:УправлениеЖурнал "Информационная безопасность" №4, 2021

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.
  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...