Два мира — один код: как консолидация ИБ и ИТ трансформирует рынок
Алексей Лыков
Руководитель направления ITSM «Софтлайн Решения» (ГК Softline)
Денис Чигин
Директор департамента технологической экспертизы «Софтлайн Решения» (ГК Softline)
По данным опросов 2025 года, 63% компаний признают необходимость интеграции процессов информационной безопасности (ИБ) и информационных технологий (ИТ). Почему бизнес пересматривает границы между традиционно обособленными функциями и как это меняет рынок — специально для Cyber Media рассказывают Алексей Лыков, руководитель направления ITSM «Софтлайн Решения» (ГК Softline), и Денис Чигин, директор департамента технологической экспертизы «Софтлайн Решения» (ГК Softline).
Исторический раскол
ИТ и ИБ изначально формировались как независимые направления — с разными задачами, системами, подрядчиками и, конечно, KPI.
Такое разделение не случайный, а вполне осознанный шаг. Оно помогает избежать конфликта интересов: функции информационной безопасности требуют независимого контроля и надзора, тогда как ИТ отвечают за гибкость и оперативное управление инфраструктурой. Объединение этих функций в одном подразделении чревато концентрацией полномочий и доступа у ограниченного круга лиц, что повышает риски и снижает прозрачность.
На практике это разделение порой приводит к вполне ощутимым последствиям. Вот один из типичных примеров. При внедрении крупной системы поддержки пользователей (Service Desk) в компании с более чем 50 тысячами сотрудников исполнителем выступала внешняя компания: она проектировала систему, настраивала ее, готовила документацию. На этапе согласования подключилась служба ИБ и внесла дополнительные требования. Казалось бы, предсказуемый сценарий — но на деле всегда много нюансов, и просчитать все невозможно. Итог — сдвиг сроков, пересмотр решения, дополнительные работы.
Но есть и обратные примеры. В одной довольно крупной территориально распределенной компании решили внедрить процесс управления уязвимостями, используя уже имеющиеся средства с соответствующим функционалом. Компания разработала процесс, выставила соответствующий KPI для специалистов ИБ и начала регулярное сканирование инфраструктуры на предмет наличия уязвимостей. Но отсутствие аналогичных KPI уже в ИТ-подразделении, которое в данном случае являлось полноценным участником процесса, выполняя обновления используемых продуктов, и его низкая заинтересованность в помощи коллегам свели на нет реальную пользу от инициативы.
Это не вопрос о том, кто прав, а кто виноват. ИТ не стремится «улететь в космос», внедряя новейшие технологии без оглядки на безопасность, а ИБ не внедряет избыточных мер, затрудняющих нормальную работу в рамках бизнес-процесса. Просто они изначально работают в разных системах координат.
Причина разрыва — фундаментальное различие задач и подходов: каждая сторона просто добросовестно выполняет свои функции. В идеале хорошо было бы объединить интересы этих направлений и наладить их слаженную работу для достижения целей компании. Однако на практике ИТ и ИБ зачастую остаются двумя отдельными вертикалями с собственными приоритетами, что мешает такому взаимодействию.
Технологически ИТ и ИБ словно живут в параллельных мирах — разные вендоры, разные подрядчики, разные функции. Например, существуют вендоры, специализирующиеся исключительно на разработке ПО для ИБ, и интеграторы, сосредоточенные только на внедрении систем безопасности. Так что разделение между ИТ и ИБ есть не только у заказчиков, но и у интеграторов и разработчиков.
При том, что ИТ и ИБ решают разные задачи, они работают в единой инфраструктуре — нет обособленных сетей или изолированных рабочих станций. Все меры, требования и ограничения ложатся на общую ИТ-среду, поэтому решения не должны конфликтовать: любые действия одного подразделения неизбежно влияют на другие. Особенно это критично для проектов по импортозамещению целых экосистем, включающих операционные системы, бизнес-приложения, средства защиты информации.
Даже с методологической точки зрения процессы управления безопасностью обычно выводятся за рамки ключевых ИТ-практик: в ITIL и COBIT они упоминаются, но не занимают центральное место.
ИБ же регламентируется иными стандартами, которые в большей степени фокусируются на способах, средствах и мерах, минимизирующих риски информационной безопасности. Среди них серия стандартов ISO 27xxx, аналогичные ГОСТы, NIST или CIS Controls.
Разобщенность может дорого обходиться бизнесу и блокировать, например, выполнение задач по усилению защиты ИТ-инфраструктуры. По данным опроса представителей индустрии, именно отсутствие эффективного диалога между ИТ и ИБ входит в число наиболее распространенных барьеров. Неудивительно, что сегодня компании стремятся изменить эту ситуацию — выстраивают коммуникацию между подразделениями как внутри организации в целом, так и в рамках конкретных проектов.
Что меняется прямо сейчас
Один из ключевых процессов, в котором сегодня происходят заметные изменения, — это контроль за учетом оборудования (управление конфигурациями). В практике ИТ это всегда (или почти всегда) была зона ответственности ИТ-специалистов. Именно они традиционно занимаются всем, что связано с оборудованием, лицензиями и другими элементами ИТ-инфраструктуры. Сейчас все чаще можно наблюдать, как эта функция постепенно переходит в зону ответственности ИБ. Вероятно, это естественный процесс: уровень значимости ИБ с каждым годом возрастает. Безопасность перестает быть узкоспециализированной темой — сомнений в том, что она нужна всем и везде, уже ни у кого не возникает.
И речь здесь не столько о полном переносе функций от ИТ к ИБ, сколько о том, что управление конфигурациями давно стало совместной зоной ответственности. Инвентаризация упоминается в стандартах ИБ как базовая мера, и соответствующий функционал уже реализован как в ИТ-системах, так и в решениях по безопасности. Просто теперь к этому процессу подключаются и другие подразделения, в том числе ИБ, — не как надзор, а как полноценный участник. Это связано с тем, что без точного учета активов сложно эффективно управлять рисками: если система «не знает» об устройстве, она не может оценить его уязвимости или применить к нему политики защиты.
ИБ при этом постепенно трансформируется из надзорного органа в полноценного функционального заказчика. Если раньше специалисты по ИБ подключались лишь на финальных этапах проектов — по сути, «ставили галочку» после завершения основных работ, — то теперь они все чаще участвуют уже с этапа discovery, когда формируется архитектура решения и определяются ключевые системы и компоненты.
Такой сдвиг обусловлен и банальной экономикой: подключение специалистов по безопасности на ранних этапах часто позволяет избежать переделок, связанных с инфраструктурными ограничениями, выбором платформ или необходимостью соблюдения обязательных требований. Перестройка архитектуры «задним числом» почти всегда обходится дороже, чем ее изначальное проектирование с учетом нужных мер.
Соответственно меняется и подход к взаимодействию команд. Привычный запрос «дайте доступ к логам» постепенно переходит в полноценное участие ИБ-специалистов в проектировании архитектуры. В перспективе это может привести к тому, что они станут владельцами отдельных компонентов системы, отвечая не только за безопасность, но и за их функциональность.
Аналогичный тренд прослеживается на уровне технологий. Возьмите любую ОС с сертификатами ФСТЭК — сегодня здесь криптография и контроль доступа вшиты в ядро системы. Особенно видно в банках: сегодня невозможно представить финтех-продукт, где защита данных не была бы прописана в техническом задании на этапе pre-sale.
Параллельно меняется и рынок. Все больше вендоров, разработчиков ПО, уходят от узкой специализации на продуктах исключительно для ИТ или ИБ. Вместо этого на рынок выходят полноценные экосистемы решений, где функции обоих направлений изначально интегрированы, а не разделены, как это было раньше. При этом вендоры, конечно, опираются на запросы клиентов, но именно они задают функциональные рамки будущих продуктов — тем самым влияя не только на отдельные компании, но и на отрасль в целом.
В новых условиях меняется и роль системных интеграторов. Они по-прежнему остаются связующим звеном между заказчиками и вендорами, но сегодня им приходится перестраивать командные модели. Экспертиза «на стыке» ИТ и ИБ востребована как никогда — и теперь важно уметь привлекать специалистов такого профиля, несмотря на то что их на рынке по-прежнему немного.
Все чаще заказчики приходят не с готовыми техническими заданиями, а с бизнес-запросами, которые необходимо перевести на язык конкретных решений, инструментов и мер. Они ожидают не «лоскутного одеяла» из отдельных продуктов, а комплексного подхода — экспертизы, позволяющей спроектировать и реализовать инфраструктуру так, чтобы она стабильно и надежно обеспечивала выполнение бизнес-задач.
Граница постепенно стирается
Сегодня ИТ и ИБ все чаще работают не раздельно, а в тесном взаимодействии. Этот процесс постепенного сближения стирает привычные границы между направлениями, и он неизбежно затронет всех — клиентов, интеграторов и вендоров.
Конечно, перемены не обойдутся без сложностей. Получится ли достичь синергии между ИТ и ИБ или возникнут новые проблемы — будет зависеть от того, насколько гибко участники рынка подойдут к адаптации подходов и процессов.
При этом важно подчеркнуть, что речь не о полном объединении функций в одном подразделении, ведь сохранение разделения ответственности и контроля — залог избежания конфликтов интересов и злоупотреблений. Вместо этого ИТ и ИБ будут активнее работать сообща, объединяя усилия для повышения устойчивости и надежности ИТ-инфраструктуры.
Теги:
похожие материалы
Аппаратные закладки и трояны в «железе»: риски параллельного импорта электроники
Параллельный импорт ИТ-оборудования с 2022 года стал привычным делом для российских компаний, но вместе с решением проблем поставок появились новые риски.
Advanced IP Scanner: инструмент администратора или оружие злоумышленника
Сетевые сканеры стали неотъемлемой частью арсенала как ИТ-специалистов, так и злоумышленников.
Что год грядущий нам готовит: прогнозы ИБ-экспертов на 2026 год
Каким будет 2026 год для ИБ-отрасли?
Человеческий фактор: как компании переосмысливают Security Awareness
Компании непрерывно усиливают технический контур защиты — внедряют многоуровневые системы мониторинга, автоматизируют реагирование на инциденты, учатся быстрее выявлять атаки.
ИИ в кибербезопасности: применение и угрозы 2025
Искусственный интеллект стал не только инструментом защиты, но и грозным оружием в руках злоумышленников.
ИБ в «облаках»: как не потерять безопасность в погоне за эффективностью
Российские компании всё активнее уходят в облака: там проще масштабироваться, быстрее запускать сервисы и не держать парк серверов у себя.
ИБ на дежурстве: как подготовить команду к длинным выходным
Длинные выходные — это не только время отдыха, но и период повышенного риска для информационной безопасности.
Лаборатория Compliance Control в облаке RCloud by 3data
Compliance Control — одна из крупнейших консалтинговых компаний в сфере информационной безопасности в России, которая предоставляет услуги тестирования безопасности в формате MSSP (Managed Security Service Provider), обеспечивая постоянный мониторинг, управление угрозами и внедрение защитных механизмов.
ИБ в 2025-м: год, когда изменились правила игры
2025 год стал во многом переломным для кибербезопасности: кибератаки ускорились, автоматизация защиты вышла на новый уровень, а регуляторы ужесточили требования к корпоративным системам.
ЦОД без слабых мест: что нужно для создания дата-центра, который не подведет?
Природные катаклизмы, пожары или кибератаки на ЦОД могут привести к авариям в его инженерных системах, а значит к простоям и убыткам в бизнесе.