УправлениеБезопасность

Безопасность – задача комплексная

| 02.03.2016

Безопасность – задача комплексная

Как быть: создавать систему ИБ собственными силами или привлекать специализированные компании?

Обеспечение информационной безопасности – головная боль для компаний любого уровня. Как быть: создавать систему ИБ собственными силами или привлекать специализированные компании? Это как делать ремонт в квартире: можно самому, а можно нанять мастеров, но в том и другом случае важно правильно оценить, что ты выигрываешь и что проигрываешь.

Рассмотрим, как создает комплексную систему обеспечения ИБ профессиональный интегратор, такой как компания RedSys, и предоставим заказчикам самим решить, по силам ли им такая задача.

Говоря о таком крупномасштабном проекте, как создание комплексной системы ИБ, мы в RedSys имеем в виду обеспечение трех фундаментальных критериев: доступности данных (она должна быть постоянной), их целостности (они не должны быть изменены) и конфиденциальности (к данным должен иметь доступ только тот, кому это необходимо).

Уже на этапе постановки задачи определяющими факторами для нас являются требования законодательства и специфика заказчика. Первое – это федеральные законы, подзаконные акты и приказы ФСБ и ФСТЭК. В частности, защиту персональных данных регулируют ФЗ-152, приказ ФСТЭК № 17 о защите информационных систем, имеющих статус государственных (ГИС), приказ № 21, в общем виде описывающий, как нужно защищать персональные данные, и дополняющая его объемная методичка с подробными разъяснениями. Кроме того, заказчик должен соблюдать и отраслевые требования – например, для финансовых организаций актуальны российский стандарт СТО БР и международный PCI BSS.

Соответствие всем нормативам обеспечивает так называемую «бумажную безопасность», то есть как минимум отсутствие санкций за допущенные нарушения. Однако для заказчика не менее важна реальная безопасность, и его потребности должны быть сформулированы при постановке задачи. При этом необходимо учесть специфику заказчика – скажем, территориальную распределенность и сложную иерархическую структуру самой организации и ее информационной системы.

После обсуждения (иногда довольно длительного) всех этих аспектов с заказчиком и формальной постановки задачи начинается классическая реализация проекта. В первую очередь должны быть разработаны такие документы, как модель угроз и модель нарушителя. Если мы говорим о крупных государственных структурах и тем более о ГИС, то два этих документа, как правило, согласовываются с регуляторами (ФСТЭК и ФСБ). Разработка этих документов ведется на основе результатов проведенного обследования: мы изучаем бизнес-процессы заказчика, технологические аспекты инфраструктуры, обрабатываемые данные; разбираемся, какая информация обрабатывается, и классифицируем ее; анализируем инфраструктуру заказчика, производим типизацию ее объектов. На основании отчета об обследовании разрабатываются модели угроз и нарушителя, которые после согласования с регуляторами служат основой для разработки технического задания. На всех этапах общения мы в RedSys стараемся выстроить паритетный диалог и обмен информацией, нам важно получить максимум сведений о защищаемой системе, а мы, в свою очередь, делимся нашим опытом, предлагая оптимальные варианты реализации системы ИБ, осуществляя постоянный консалтинг.

Создание технического задания – это формализация того, что должно быть получено в конце работы. Мы излагаем свои соображения на бумаге, обсуждаем их с заказчиком (это обычно процесс итерационный) и в конце концов приходим к соглашению относительно того, что и как должно быть сделано. А когда ТЗ подписано и официально утверждено, начинается его реализация.

На этом этапе специалистами RedSys определяется перечень технологий, которые необходимо использовать, предлагается концепция эскизного проекта и выбирается совместно с заказчиком одна или несколько пилотных зон, где на ограниченной части инфраструктуры отрабатываются решения для последующего масштабирования. Это ответственный этап: в пилотных зонах мы видим, как работают выбранные решения в реальных условиях, и, если нужно, вносим коррективы. Очень важна вовлеченность заказчика в эту фазу работы – необходимо убедиться, что его удовлетворяют выбранные технологии, продукты и решения, что они эффективны в этой инфраструктуре со всеми ее особенностями.

Следующий этап довольно объемный – техно-рабочее проектирование: должно быть описано целевое состояние системы ИБ, а также средства и способы ее реализации. Сюда входит большой комплект документов, состав и наполнение которых описаны в  ГОСТ 34. Здесь очень важны компетентность и опыт исполнителя проекта: на рынке существует множество реализаций одной и той же технологи, и надо быть хорошо знакомым с каждой из них, чтобы выбрать максимально удовлетворяющую требованиям заказчика.

Отметим, что при выборе технологий и конкретных решений эксперты RedSys принимают во внимание концепцию импортозамещения и используют решения российских производителей, которых в последнее время стало заметно больше. Наша компания тоже включилась в процесс импортозамещения и создает сейчас отечественную IDM-систему — систему комплексного управления доступом. Задача сложная и трудоемкая, но благодаря нашему многолетнему опыту и десяткам выполненных проектов, которые сформировали четкое представление о требованиях заказчиков, мы уже близки к ее завершению.

Когда согласованный рабочий проект готов, начинается его внедрение: отработанные в пилотных зонах решения масштабируются на всю организацию. Опыт команды RedSys показывает, что простым тиражированием обойтись не удается – в большинстве случаев решения необходимо дополнительно адаптировать к конкретным условиям эксплуатации. Не будем погружаться в технические подробности реализации проекта, отметим лишь один очень важный аспект – это подготовка документации, включая широкий набор организационно-распорядительной документации, потому что без нее даже идеальная система начнет давать сбои. Тем более что система ИБ в крупной организации не просто управляется соответствующим департаментом, но и взаимодействует со многими другими подразделениями. Иными словами, мы готовим организационно-распорядительные документы, которые касаются не просто «безопасников», а организации в целом.

Окончательная доводка системы происходит на этапе опытной эксплуатации, когда с ней непосредственно работают специалисты заказчика (конечно, в тесном взаимодействии со специалистами RedSys). Выход системы из теплицы – это начало ее самостоятельной жизни: мы видим реальные активности, инциденты, поведение заказчика и т. д. Это позволяет учесть все рабочие нюансы, которые обнаруживаются только в процессе реальной деятельности.

Перед переводом системы в постоянную эксплуатацию все обнаруженные шероховатости должны быть устранены, а если дело касается государственной информационной системы, то должна быть произведена ее аттестация на соответствие требованиям ИБ. В случае крупной и территориально распределенной ГИС аттестовать ее всю сразу практически невозможно, и здесь вопрос заключается в том, как правильно выполнить ее сегментацию.

По завершении проекта большинство заказчиков предпочитает заключить с исполнителем договор о сопровождении системы. Исполнитель поддерживает ее на должном уровне, ведет постоянный мониторинг изменений нормативной базы и вносит в систему соответствующие коррективы — система ИБ, как и любая другая, это живой организм, она постоянно эволюционирует и должна учитывать все новые аспекты деятельности заказчика. Разработка крупной системы ИБ занимает несколько лет, и очень важно обеспечить ее долговременное функционирование.

Автор: Андрей Тархов, директор департамента защиты информационных систем RedSys

RedSys Безопасность


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.
Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Юникон & гейм экспо минск / unicon & game expo minsk
Минск, пр. Победителей, 20/2 (футбольный манеж)
14.05.2021 — 16.05.2021
12:00
SAS Global Forum 2021
ОНЛАЙН
18.05.2021 — 20.05.2021
Форум «Внутренний и внешний электронный документооборот»
Москва, отель Метрополь, Театральный проезд, 2
20.05.2021 — 21.05.2021
09:30–17:00
Хакатон Program boost: Eduthon
ОНЛАЙН
21.05.2021 — 23.05.2021
14:00