Принцип ненулевого доверия как ключ к построению системы защиты
Илья Четвертнев, 18/10/21
Бизнес-функциональность любой создаваемой системы всегда имеет первый приоритет. Для поддержания непрерывной деятельности в реальных условиях в каждом проекте присутствуют элементы обеспечения информационной безопасности. Востребованность ИБ очень высока при любой экономической ситуации, но возникает комплекс вопросов относительно ее организации, совершенствования и контроля. В этой статье представлен взгляд опытного интегратора на особенности проектов в области информационной безопасности.
Автор: Илья Четвертнев, технический директор группы компаний Angara
Кто должен строить систему ИБ?
В идеальном мире заказчик знает все про свои информационные системы, но в реальной жизни обычно бывает наоборот. У больших заказчиков они весьма масштабны и разрознены, а у внутренних служб, как правило, нет времени и ресурсов, чтобы полностью контролировать изменяющийся технологический ландшафт даже внутри организации.
Это легко объяснить, ведь основная задача заказчика – это все-таки вести свой бизнес, внутренние подразделения прежде всего нацелены на реализацию и поддержку бизнес-функций, и на совершенствование информационной безопасности они смотрят лишь во вторую очередь.
К тому же практика показывает, что квалификация персонала, специализирующегося на информационной безопасности, у среднестатистического заказчика ниже, чем, например, у сотрудников ИТ-службы в своей области. Поэтому для построения или совершенствования системы информационной безопасности в большинстве случаев целесообразно подключать профильного интегратора, который поможет объективно определить и оценить специализированные риски там, где сам заказчик с этим не справится.
Как выбрать интегратора
Главный критерий выбора интегратора – доверие заказчика к нему. Доверие в части качества выполняемых работ, соблюдения сроков, в части того, что интегратор доведет проект до конца, как ни парадоксально звучит. И это доверие интегратор нарабатывает годами. Несложно заметить, что важнейший критерий – доверие к квалификации и профессионализму интегратора – носит весьма субъективный характер.
Есть и объективные признаки, из которых складывается итоговое доверие: например, квалификацию компании и сотрудников заказчик может оценить по сертификатам, по информации о выполненных проектах. Технические специалисты составляют две трети персонала нашей компании. Наличие высококвалифицированных сотрудников в штате – один из существенных факторов надлежащего выполнения проекта в срок и обеспечения последующей преемственности работ над ним. Качество инвестирования интегратора в собственное развитие и в обучение сотрудников определяет результативность внедрения решений для бизнеса заказчика и эффективность реализации проекта. Уровень сервисного обслуживания зависит и от грамотного выбора технологии проверенных поставщиков. Их репутация является дополнительной гарантией успешного воплощения решений.
Любопытно, что наиболее эффективным каналом для передачи доверия от одного заказчика к другому было и остается "сарафанное радио".
Именно поэтому для хорошего интегратора очень важны отношения с каждым заказчиком. И то, что после выполненного проекта заказчик не только сохраняет желание снова к нам обратиться, но и готов порекомендовать нас своим партнерам и коллегам, критически важно.
Союзники
Главными и зачастую единственными верными союзниками интегратора в проектах остаются службы ИБ, с которыми и происходит прямое взаимодействие. Но мы, например, стараемся расширять область доверия вокруг ведущегося проекта, чтобы союзниками стали и ИТ-подразделения, ведь именно они в первую очередь являются владельцами защищаемых информационных систем. Очевидно, что дополнительная сложность, которую мы привносим в целях ИБ, часто вызывает недопонимание и сопротивление с их стороны. Поэтому мы терпеливо доносим до ИТ-служб ту задачу, которую призваны решить в рамках каждого конкретного проекта, ее важность для сохранения вверенных им ИТ-процессов защищенными, целостными и доступными. Это легко делать, отталкиваясь от оценки рисков. Ведь зачастую ИТ-службы поддерживают SLA для своих бизнес-систем, не обладая полнотой информации о существующих рисках, а интегратор эти риски может объективно оценить. Ярким примером является онлайн-магазин, для которого простой по причине банальной DDоS-атаки однозначно приведет к большим финансовым потерям. Понимание такого риска со стороны ИТ-подразделения делает его нашим союзником в конкретном вопросе построения защиты от DDоS-атак.
Кроме того, важную роль играет квалификация наших сотрудников на этапе поддержки, ведь от четкости и согласованности зависит качество работы построенной системы защиты. А для этого необходимо досконально знать сопровождаемую систему. Если система сделана силами наших архитекторов, то к сопровождению мы приступаем незамедлительно, поскольку точно понимаем все свойства системы и особенности ее функционирования. Однако нередки случаи, когда сопровождается система, разработанная не нами. В этом случае мы сначала вникаем в тонкости ее работы, общаемся с вендором, а дальше приступаем к сопровождению.
Еще одним важным моментом является проактивное согласование плана действий в случае тех или иных инцидентов, это позволяет выиграть время в кризисных ситуациях и снизить негативный эффект.
Все это необходимо для поддержания высокого качества услуг по сопровождению информационных систем: мы заявляем и на деле обеспечиваем SLA на уровне 99,96%. Таким образом, заказчику предоставляются сервисы с гарантированной доступностью, включая постоянный анализ событий квалифицированными специалистами.
Пресейл
Пресейловая активность – важнейший момент, когда можно показать заказчику, на что мы способны. Есть много компаний, готовых создать вау-эффект, но этого мало, ведь нужно за короткое время показать именно то, что заказчик хочет в своей конкретной ситуации. С учетом его специфики, предвосхищая ожидания, мы готовим техническое задание и выдаем предложение исходя из того, что ему может требоваться, какая система, какая функциональность для него сейчас наиболее актуальны. Пресейл выполняют наши инженеры и архитекторы, которые определяют конкретные задачи, согласовывают их с заказчиком, а потом реализуют либо на инфраструктуре заказчика, что чаще, либо на нашем стенде. Кроме того, на этой стадии не только прорабатываются имеющиеся потребности, но и закладываются долгосрочные цели, включая общее направление развития ИТ в компании.
Пресейл не будет успешен без стремления решить насущную проблему заказчика. Много лет назад, когда я еще только начинал работать в информационной безопасности, можно было просто показать функциональность продукта, и заказчик сам додумывал, как его использовать у себя. Сейчас же именно интегратор должен придумать, как можно решить проблему заказчика с учетом его инфраструктуры, его персонала, текущих средств защиты и, конечно же, бюджетов.
Избежать несогласованности
Несогласованность может похоронить абсолютно любой проект, в первую очередь несогласованность в определениях целей проекта или действиях на проекте, которые с течением времени приводят к несогласованности в оценке и результатов проекта.
И ответом на этот риск тоже является доверие. Мы ценим, что нам доверяют самое важное – свои информационные системы, и мы это доверие всегда оправдываем и доводим проекты до конца с тем качеством и с тем результатом, который ожидает заказчик.
Мы понимаем важность защиты цепочки поставок для наших заказчиков, поэтому у нас хорошо поставлен процесс поддержания уровня нашей собственной информационной безопасности, это один из важнейших приоритетов в нашей работе. У нас есть свой центр киберустойчивости, занимающийся мониторингом не только в интересах заказчиков, но и для контроля нашей собственной инфраструктуры, которую сотрудники отдела анализа защищенности регулярно тестируют на проникновение внутренних и внешних нарушителей. Пентест позволяет выявить возможные уязвимости, оценить последствия их эксплуатации, эффективность существующих мер защиты и с учетом этого корректировать стратегию устранения выявленных проблем и повышения уровня безопасности. Эти знания наши специалисты затем используют при построении или совершенствовании информационных систем заказчиков.
Заключение
В работе мы в первую очередь гордимся своей командой, без которой не было бы ни реализованных проектов, ни воплощения гениальных идей, ни открытия новых направлений. Важный результат работы – это формализованные практики, которые позволяют нам становиться более опытными с каждым проектом и заслужить доверие заказчиков. Ну и конечно, мы гордимся проектами, которые мы выполняем для наших заказчиков, и самое главное – их результатом.
Angara Technologies Group защитила РГС Банк от направленных атак
Задача: создание дополнительного эшелона защиты почтового и сетевого трафика РГС Банка от направленных атак, в том числе программ-вымогателей
Особенности реализации: работа в ограниченных условиях, вызванных пандемией COVID-19. Взаимодействие с заказчиком и внедрение систем в удаленном формате
Результаты: Angara Technologies Group повысила защищенность РГС Банка и его клиентов от направленных атак с помощью высокоинтеллектуальных продуктов Trend Micro, которые позволяют обнаруживать угрозы, не детектируемые классическими средствами ИБ. С опережением сроков команда интегратора внедрила систему для защиты электронной почты Deep Discovery Email Inspector (DDEI) и систему мониторинга сетевого трафика Deep Discovery Inspector (DDI). Надежные и отказоустойчивые решения охватили всю почтовую инфраструктуру и часть сегмента сети банка, в котором работают 2,5 тыс. сотрудников. В результате проведенных работ РГС Банк обеспечил дополнительный уровень безопасности финансовых и цифровых активов своих клиентов по всей России