май    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

показать все 

27.04.2024

RAMAX Group рассказала на Smart Mining & Metals об особенностях пилотирования ML-проектов

Читать далее 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2019 / Выпуск №02 (85) / Не латайте тонущее судно

Рубрика: Информационная безопасность

Алексей Трипкош, руководитель отдела консалтинга по информационной безопасности компании «ЛАНИТ-Интеграция» (группа компаний ЛАНИТ)

Не латайте тонущее судно

Новая роль консалтинга в проектах информационной безопасности

Формалистика и погоня за прибылью в прошлом

Долгое время информационные системы развивались «сами в себе»: бизнес ставил задачу автоматизировать тот или иной бизнес-процесс, формировались технические требования, далее следовало проектирование и реализация. При этом проект включал в себя все уровни: инфраструктуру, программное обеспечение и безопасность. При таком подходе задачи консультантов по информационной безопасности (ИБ) сводились к формулированию требований по ИБ, и это было достаточно просто: необходимо было определить тип защищаемой информации, чтобы правильно классифицировать систему, выявить актуальные угрозы для выбранной архитектуры и сформировать требования к составу и структуре подсистемы ИБ.

Этот подход и сейчас применяется для организаций, где ИТ решают локальные задачи, хотя, по правде говоря, встречаются и компании с крупной инфраструктурой, живущие по этой архаичной идеологии.

С ростом компаний и усложнением их инфраструктуры появлялись новые технологии, а вместе с ними возникали новые уязвимости и методы атак. Производители решений в сфере информационной безопасности не отставали. На рынке преобладали продукты иностранных производителей, и интеграторы старались набирать специалистов со знанием английского языка. Таким образом сформировался класс высококомпетентных инженеров по информационной безопасности. При этом вопрос консалтинга оставался на прежнем, достаточно низком уровне. Консалтинг того времени разве что приобрел новую функцию экспресс-обследования по так называемым чек-листам, предоставляемым вендорами.

Тем временем развивались мировые практики информационной безопасности, появились изменения и в российском законодательстве. Под новые комплексные требования вендоры стали «подгонять» существующие решения или вообще разрабатывать новые. В этом переходном периоде не все компании, как это обычно бывает, успели перестроиться.

Свою роль сыграли отсутствие класса «архитекторов» и формальное выполнение требований, навязываемое сейлс-сектором, преследующим прибыль. Так, до недавнего времени поставка и проектирование были отделены друг от друга. Консалтинговые услуги некоторым компаниям-заказчикам оказывались почти даром, чтобы заработать на поставке. Нередкими для рынка были истории, когда для блейд-серверов закупали аппаратно-программные модули доверенной загрузки, которые выполняли требования «на бумаге», но не могли быть адекватно установлены.

Сейчас компании развили такой объем информационной инфраструктуры, что прежние подходы к построению систем просто не жизнеспособны: они приведут к «зоопарку» технологий и решений, которые либо невозможно, либо слишком дорого обслуживать, ведь каждый производитель в основном оптимизирует свой продукт под определенную платформу и редко предоставляет возможность выбора.

Унификация процессов

Зрелый бизнес стал настолько зависим от автоматизированных процессов, что развитие информационных систем теперь требует определенных правил и унификации.

Так, одна крупная производственная компания со сложной, распределенной структурой понесла серьезные убытки из-за остановки производства в результате инцидента информационной безопасности. На заводах и в управляющих компаниях, входящих в этот холдинг, не было единой политики по ИБ, все процессы формировались «на местах» и по-разному финансировались (иногда и вовсе нет). Кроме того, не во всех городах удалось найти нужные компетенции.

Наши специалисты изучили и описали все ключевые бизнес-процессы, обследовали инфраструктуру, информационные системы и системы безопасности. После оценки текущего состояния определили с заказчиком основные ИБ-риски, смоделировали систему информационной безопасности и сформировали портфель проектов с бюджетами, сроками и т.д., выполнение которых позволит выстроить эту систему.

Важно, что правила, заложенные в целевой модели, позволяют быстро адаптироваться к случающимся изменениям, поскольку информационные системы – это бесконечно развивающийся организм. Конечно, такие проекты затратные, но их результаты позволяют сократить расходы на дальнейшую операционную деятельность подразделений информационной безопасности и избежать соответствующих рисков.

Этот проект иллюстрирует тренд последних лет – заказчики перестраиваются под платформенную историю и требуют решения «под ключ». Платформенный подход определяет единые условия модернизации и масштабирования инфраструктуры, четко определенные применяемые технологии, общесистемное ПО. Платформу принято делить на контуры, в каждом из которых определены требования к информационной безопасности исходя из класса защиты размещаемых систем. И именно здесь роль консалтинга сильно возросла.

Теперь стало важно продумывать, как вся система будет работать в комплексе. Важно понимать потребности бизнеса и отталкиваться от рисков. Важно правильно продумать общие «правила игры». Прошло время формального выполнения требований, да и требования уже позволяют использовать гибкие подходы к их реализации. Например, нормативно-правовые акты регулирующих органов стали оперировать понятиями «компенсирующих мер», да и в условиях кризиса и общего понимания функций информационной безопасности бизнес научился считать деньги.

Обновленные требования, понимание лучших практик и их широкий ассортимент на рынке породили новый класс специалистов. Их по-прежнему называют консультантами, но в это слово вкладывают новый смысл. Консультанты по информационной безопасности теперь должны не только уметь применять тот или иной нормативно-правовой акт, но и разбираться в современных технологиях и методах их защиты. Консультантам необходимо из всего спектра организационных и технических мер уметь выбирать именно те, которые подходят под существующую структуру организации бизнеса заказчика, учитывая его сложность и особенности.

Например, консультанты ведущих интеграторов, в том числе и нашей компании, провели множество аудитов процессов информационной безопасности – они включают в себя, в том числе, и изучение бизнес-процессов, в ходе которых обрабатывается так называемая чувствительная информация. Такого рода аудиты связаны прежде всего с необходимостью сохранения требуемых атрибутов: конфиденциальности, целостности, доступности, авторства и т.д.

Аудиты проводились, например, для реализации проектов по внедрению Data Loss Prevention (программного решения для предотвращения утечек конфиденциальной информации за пределы корпоративной сети) или пресловутых проектов по организации режима коммерческой тайны и соответствия 152-ФЗ. Дополнительным результатом таких аудитов стало понимание консультантами основ функционирования бизнеса. В результате на рынке появились новые продукты для построения стратегий развития процессов ИБ, завязанных на стратегию развития организации в целом.

Таким образом, роль современного консалтинга ИБ теперь заключается во взаимодействии с бизнесом, определении решений, которые помогут бизнесу и не будут связаны с какими-либо неудобствами и ограничениями.

Если работа с ИБ в вашей компании все еще ради галочки

Вынужден признать, что в России до сих пор существуют организации, в том числе и государственные, в которых информационные системы развиваются в отрыве от стратегических задач. Причиной являются забюрократизированные процессы или же просто так складывается исторически. Единственная возможность что-то изменить в этом случае – полностью пересмотреть подходы начиная с топ-менеджмента. Ведь не зря в одном из самых распространенных стандартов менеджмента информационной безопасности ISO/IEC 27001:2013 особая роль уделяется так называемому Leadership – лидерству, которое выделено в особый домен (суть домена заключается в том, чтобы руководство компании было напрямую заинтересовано и контролировало процессы реализации и развития менеджмента информационной безопасности). К сожалению, ни один из процессов не может быть запущен, если руководство не видит его вклада в реализацию ключевых задач компании.

CISO (chief information security officer, директору по информационной безопасности), начальникам подразделений и просто рядовым специалистам при этом надо набраться терпения, не замыкаться на развитии своих навыков в профессиональной сфере, а тренировать умение обосновывать свои предложения, акцентируя их вклад в бизнес (что невозможно без полного погружения в бизнес-процессы).

В свою очередь, представители современного консалтинга с удовольствием помогут поменять мировоззрение. Важно выбрать правильную команду, чьи результаты работы лягут в основу долгосрочного развития бизнеса. Если консультант начинает разговор с перечисления нормативно-правовых актов, которые распространяются на ваш бизнес, и последствий их невыполнения, задумайтесь, стоит ли с ним сотрудничать. Время, когда информационную безопасность «продавали» через так называемые пугалки, к счастью, прошло. Грамотный консультант понимает, как функционирует бизнес, и будет разговаривать с вами на одном языке.

Вывод из всего вышесказанного может быть только один: лучше сразу закладывать в систему базовые принципы процессов информационной безопасности и их развития, чем бесконечно латать тонущее судно.

Ключевые слова: консалтинг, информационная безопасность.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи