Безопасность – задача комплексная
Обеспечение информационной безопасности – головная боль для компаний любого уровня. Как быть: создавать систему ИБ собственными силами или привлекать специализированные компании? Это как делать ремонт в квартире: можно самому, а можно нанять мастеров, но в том и другом случае важно правильно оценить, что ты выигрываешь и что проигрываешь.
Рассмотрим, как создает комплексную систему обеспечения ИБ профессиональный интегратор, такой как компания RedSys, и предоставим заказчикам самим решить, по силам ли им такая задача.
Говоря о таком крупномасштабном проекте, как создание комплексной системы ИБ, мы в RedSys имеем в виду обеспечение трех фундаментальных критериев: доступности данных (она должна быть постоянной), их целостности (они не должны быть изменены) и конфиденциальности (к данным должен иметь доступ только тот, кому это необходимо).
Уже на этапе постановки задачи определяющими факторами для нас являются требования законодательства и специфика заказчика. Первое – это федеральные законы, подзаконные акты и приказы ФСБ и ФСТЭК. В частности, защиту персональных данных регулируют ФЗ-152, приказ ФСТЭК № 17 о защите информационных систем, имеющих статус государственных (ГИС), приказ № 21, в общем виде описывающий, как нужно защищать персональные данные, и дополняющая его объемная методичка с подробными разъяснениями. Кроме того, заказчик должен соблюдать и отраслевые требования – например, для финансовых организаций актуальны российский стандарт СТО БР и международный PCI BSS.
Соответствие всем нормативам обеспечивает так называемую «бумажную безопасность», то есть как минимум отсутствие санкций за допущенные нарушения. Однако для заказчика не менее важна реальная безопасность, и его потребности должны быть сформулированы при постановке задачи. При этом необходимо учесть специфику заказчика – скажем, территориальную распределенность и сложную иерархическую структуру самой организации и ее информационной системы.
После обсуждения (иногда довольно длительного) всех этих аспектов с заказчиком и формальной постановки задачи начинается классическая реализация проекта. В первую очередь должны быть разработаны такие документы, как модель угроз и модель нарушителя. Если мы говорим о крупных государственных структурах и тем более о ГИС, то два этих документа, как правило, согласовываются с регуляторами (ФСТЭК и ФСБ). Разработка этих документов ведется на основе результатов проведенного обследования: мы изучаем бизнес-процессы заказчика, технологические аспекты инфраструктуры, обрабатываемые данные; разбираемся, какая информация обрабатывается, и классифицируем ее; анализируем инфраструктуру заказчика, производим типизацию ее объектов. На основании отчета об обследовании разрабатываются модели угроз и нарушителя, которые после согласования с регуляторами служат основой для разработки технического задания. На всех этапах общения мы в RedSys стараемся выстроить паритетный диалог и обмен информацией, нам важно получить максимум сведений о защищаемой системе, а мы, в свою очередь, делимся нашим опытом, предлагая оптимальные варианты реализации системы ИБ, осуществляя постоянный консалтинг.
Создание технического задания – это формализация того, что должно быть получено в конце работы. Мы излагаем свои соображения на бумаге, обсуждаем их с заказчиком (это обычно процесс итерационный) и в конце концов приходим к соглашению относительно того, что и как должно быть сделано. А когда ТЗ подписано и официально утверждено, начинается его реализация.
На этом этапе специалистами RedSys определяется перечень технологий, которые необходимо использовать, предлагается концепция эскизного проекта и выбирается совместно с заказчиком одна или несколько пилотных зон, где на ограниченной части инфраструктуры отрабатываются решения для последующего масштабирования. Это ответственный этап: в пилотных зонах мы видим, как работают выбранные решения в реальных условиях, и, если нужно, вносим коррективы. Очень важна вовлеченность заказчика в эту фазу работы – необходимо убедиться, что его удовлетворяют выбранные технологии, продукты и решения, что они эффективны в этой инфраструктуре со всеми ее особенностями.
Следующий этап довольно объемный – техно-рабочее проектирование: должно быть описано целевое состояние системы ИБ, а также средства и способы ее реализации. Сюда входит большой комплект документов, состав и наполнение которых описаны в ГОСТ 34. Здесь очень важны компетентность и опыт исполнителя проекта: на рынке существует множество реализаций одной и той же технологи, и надо быть хорошо знакомым с каждой из них, чтобы выбрать максимально удовлетворяющую требованиям заказчика.
Отметим, что при выборе технологий и конкретных решений эксперты RedSys принимают во внимание концепцию импортозамещения и используют решения российских производителей, которых в последнее время стало заметно больше. Наша компания тоже включилась в процесс импортозамещения и создает сейчас отечественную IDM-систему — систему комплексного управления доступом. Задача сложная и трудоемкая, но благодаря нашему многолетнему опыту и десяткам выполненных проектов, которые сформировали четкое представление о требованиях заказчиков, мы уже близки к ее завершению.
Когда согласованный рабочий проект готов, начинается его внедрение: отработанные в пилотных зонах решения масштабируются на всю организацию. Опыт команды RedSys показывает, что простым тиражированием обойтись не удается – в большинстве случаев решения необходимо дополнительно адаптировать к конкретным условиям эксплуатации. Не будем погружаться в технические подробности реализации проекта, отметим лишь один очень важный аспект – это подготовка документации, включая широкий набор организационно-распорядительной документации, потому что без нее даже идеальная система начнет давать сбои. Тем более что система ИБ в крупной организации не просто управляется соответствующим департаментом, но и взаимодействует со многими другими подразделениями. Иными словами, мы готовим организационно-распорядительные документы, которые касаются не просто «безопасников», а организации в целом.
Окончательная доводка системы происходит на этапе опытной эксплуатации, когда с ней непосредственно работают специалисты заказчика (конечно, в тесном взаимодействии со специалистами RedSys). Выход системы из теплицы – это начало ее самостоятельной жизни: мы видим реальные активности, инциденты, поведение заказчика и т. д. Это позволяет учесть все рабочие нюансы, которые обнаруживаются только в процессе реальной деятельности.
Перед переводом системы в постоянную эксплуатацию все обнаруженные шероховатости должны быть устранены, а если дело касается государственной информационной системы, то должна быть произведена ее аттестация на соответствие требованиям ИБ. В случае крупной и территориально распределенной ГИС аттестовать ее всю сразу практически невозможно, и здесь вопрос заключается в том, как правильно выполнить ее сегментацию.
По завершении проекта большинство заказчиков предпочитает заключить с исполнителем договор о сопровождении системы. Исполнитель поддерживает ее на должном уровне, ведет постоянный мониторинг изменений нормативной базы и вносит в систему соответствующие коррективы — система ИБ, как и любая другая, это живой организм, она постоянно эволюционирует и должна учитывать все новые аспекты деятельности заказчика. Разработка крупной системы ИБ занимает несколько лет, и очень важно обеспечить ее долговременное функционирование.
Автор: Андрей Тархов, директор департамента защиты информационных систем RedSys
Опубликовано 02.03.2016