Высший пилотаж: этапы и специфика запуска ИБ-систем

Компании все чаще обращаются к вендорам за системами защиты информации. Желая сэкономить, руководители компаний пытаются пропустить тестовый период и внедрить новый продукт во всю инфраструктуру сразу. Это ошибка. Рассказываем зачем нужен пилот проекта, из каких этапов он состоит и каких ошибок нужно избегать вендорам и компаниям.

Этапы пилотирования

На этапе пилотирования ИБ-системы специалисты подбирают необходимое и наиболее эффективное оборудование, обнаруживают возможные ошибки, корректируют настройки. Весь процесс пилотирования условно можно разделить на 4 блока:

1. Подготовка
2. Разработка
3. Внедрение
4. Аттестация

Сергей Полунин

Руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис»

Пилотные проекты бывают очень разными по длительности потому что могут состоять из разного набора этапов. Классический пилот после создания рабочих групп от заказчика и исполнителя, и согласования всех деталей сразу приступает к настройке тестовой зоны. Далее придёт собственно пилотирование и фиксирование результатов. После завершения пилотирования и презентации результатов руководству, принимается решение о дальнейших шагах. Однако в комплексных пилотах могут выделяться и другие этапы, а само пилотирование может состоять из нескольких частей. Если речь о пилотировании комплексного решения по информационной безопасности, то для каждого компонента может быть свой мини пилотный проект.

Разберем подробнее каждый из блоков.

Подготовка

Задача подготовительного этапа — сформировать требования и критерии СЗИ и подобрать набор решений. В компании-заказчике обычно уже есть внутренняя инфраструктура, которая включает в себя сервисы, обслуживающие бизнес, и средства ИБ. Перед пилотированием любого СЗИ поставщик услуги должен провести подготовительную работу: выявить потребности заказчика, найти возможные угрозы, проанализировать задачи, которые должен будет решить продукт, определить цель пилота.

Дмитрий Дудко

Заместитель генерального директора Spacebit

Главная ошибка — отсутствие подготовки. Важно учесть все ограничения, которые могут возникнуть в инфраструктуре при пилотировании нового СЗИ. Конечно, есть средства защиты, которые не оказывают влияния на конечные процессы (SIEM, IRP, системы контроля конфигураций и т.п.). Но большинство средств защиты информации серьезно вмешиваются в информационные потоки (СЗИ от НСД, антивирусы, межсетевые экраны, WAF, САЗ и т.п.). В этом случае в рамках пилота лучше организовать демо-зону, где необходимо проверить влияние конкретного СЗИ на существующие программное обеспечение и процессы.

После того как требования определены, интегратор разрабатывает концепцию и презентует ее компании. Вендор консультирует заказчика и объясняет детали, назначение и необходимость той или иной функции СЗИ. Во время обсуждения стороны уточняют техническое задание, согласовывают перечень необходимых ресурсов, дизайн компонентов для интеграции и стоимость проекта. Важно не пропускать эти шаги, чтобы пилотирование проекта не затянулось и не превратилось в череду совещаний и переделывания.

Алексей Морозков

Руководитель группы Центра управления кибербезопасностью ICL Services

Далее в обязательном порядке должны быть определена конкретная цель пилотного проекта и должен быть разработан и согласован сам план проведения тестирования, в т.ч. описаны и согласованы границы, критерии успешности пилота и желаемые результаты. Если пропустить этот шаг, то пилот превращается в бесконечную активность. Бывают случаи, когда заказчик сам не может определить важные пункты для тестирования, в этом случае интегратор всегда готов прийти на помощь. Тут важно понимать, что план не является чем-то монолитным, его изменения также возможны по согласованию с заказчиком, тем не менее он позволяет прогнозировать сроки пилота, чтобы уложиться в конечное время.

На этапе подготовки также определяются сотрудники со стороны заказчика, которые будут участвовать в пилотировании, например, администраторы, а также сроки пилота. 

Разработка документации

После того, как цели и границы пилота определены, а также выбранное решение согласовано с заказчиком, сотрудники интегратора или вендора разрабатывают документы и регламенты, в том числе план внедрения пилота, программу и методику испытаний пилотного внедрения.

Внедрение

Заказчик со своей стороны предоставляет необходимые ресурсы для проведения пилотирования — выделяет серверы, предоставляет доступ и т.д. Интегратор со своей стороны устанавливает необходимое ПО, подключает софт, настраивает системы защиты информации, тестирует и выявляет уязвимости, устраняет ошибки.

Александра Гончарова

Инженер поддержки продаж вендора «АйТи Бастион»

Этапы пилотного тестирования зачастую не отличаются от внедрения, особенно у крупных заказчиков. Пилотные инсталляции потом просто переходят в продуктивную среду. Точно также определяются цели и задачи, которые продукт должен закрыть. Достаточно часто перед стартом пилотирования обозначаются шаблоны технического задания, программы и методики испытаний, то есть разрабатывается документация, согласовываются аппаратные требования. В нашей практике все эти вопросы решаются в ходе демонстрации или сразу после и не занимают много времени. Основное же пилотирование, где заказчик вплотную знакомится с функционалом продукта и определяет для себя параметры лицензии, длится месяц или чуть больше. Внедрение по практике занимает один день.

На этом же этапе интегратор проводит обучение сотрудников заказчика, дает консультации по эксплуатации СЗИ.

Аттестация

На этом этапе СЗИ должны пройти аттестационные мероприятия: функциональные испытания по определенным методикам. Список методик составляет разработчик и передает заказчику. Общие требования к структуре и содержанию программ и методик аттестационных испытаний содержатся в межгосударственном стандарте (ГОСТ) 0043-004-2013. По итогам испытаний дается оценка пилотированию.

Длительность пилотирования варьируется от месяца до двух и зависит от сложности проекта и объема поставленных задач. Обычно этого времени хватает на все 4 этапа: от подготовки до аттестации.

Что нужно учесть

При пилотировании и внедрении СЗИ необходимо помнить, что его цель — минимизация рисков и потенциального ущерба компании. Система информационной безопасности должна обеспечивать высокий уровень защиты информации и конфиденциальность данных. Чтобы достичь этого, необходимо следовать следующим принципам:

1. Полнота защищаемой информации. Важно, определить всю критически важную информацию, которую необходимо защищать: от внутренних документов и разработок до персональных данных.
2. Обоснованность защиты. Перед построением системы ИБ компания должна оценить насколько целесообразно то или иное решение. Возможно, внедрение и поддержка СЗИ обойдется дороже, чем потеря определенных данных.
3. Создание штата разработчиков. Чтобы внедренные СЗИ выполняли свои функции необходимо иметь квалифицированных сотрудников, обученных для работы с новыми продуктами.

Часто ошибки пилотирования происходят из-за недостаточного внимания к этапу подготовки: нет сформулированных целей и сроков, согласованного и утвержденного плана. 

Леонид Ломакин

Руководитель направления информационной безопасности iTPROTECT

Основных ошибок в пилотном тестировании может быть две.

Первая – это некорректно поставленные задачи и неопределенные границы пилота, из-за чего пилот может стать «вечным» – цели все никак не будут достигнуты или постоянно будут появляться новые.

Вторая возникает, если не зафиксированы общие сроки и отсутствует распределение по этапам. Сроки могут постоянно сдвигаться по разным причинам, и пилот затянется.

Также рекомендуем перед стартом пилота понять, закроет ли выбранное решение потребности, понравится ли его интерфейс и удобно ли будет работать. Убедиться в этом можно на первой встрече с интегратором и/или разработчиком: заказчику с радостью презентуют продукт и особенности его работы. Ни одна сторона не заинтересована в «пилоте ради пилота».

Стоит уделить особое внимание и выбору инфраструктуры для пилотирования. Важно, чтобы сценарии использования продукта во время тестирования совпадали с теми, которые придется использовать заказчику.

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

При выборе инфраструктуры нужно исходить из задач и требований к пилоту, какие функции решения и в каком объеме необходимо протестировать.

Обычно тестирование проводится в двух направлениях – функциональном и нагрузочном. При функциональном тестировании проверяется качество реализации продуктом заявленного функционала и удобство управления. В этом случае необходимо развернуть те компоненты, которые позволят всесторонне проверить работу решения. При нагрузочном тестировании проверяется как решение ведет себя под нагрузкой, будет ли справляться с пиками трафика или большим количеством пользователей. В этом случае инфраструктуру строят для обеспечения возможности эмуляции нужных показателей трафика или количества пользователей.

Для успешного внедрения СЗИ нужно провести обучение для сотрудников заказчика, которым предстоит в дальнейшем обслуживать продукт. Во время консультаций ИБ-специалисты смогут быстрее оценить эффективность решения для боевых задач и закрыть возникшие вопросы.

Итоги

В заключении можно отметить, что эффективное пилотирование требует тщательного планирования, подготовки и координации действий всех участников проекта. Важно провести детальный анализ потребностей организации, выбрать подходящие инструменты и методы, а также обеспечить обучение персонала.

Для успешного пилотирования ИБ-системы рекомендуется:

1. Определить цели и задачи пилотного проекта, ожидаемые результаты и критерии успеха.
2. Разработать детальный план пилотирования, включающий этапы, сроки, ответственных лиц и необходимые ресурсы.
3. Обеспечить поддержку со стороны руководства и ключевых сотрудников организации.
4. Провести обучение персонала работе с новой системой.
5. Регулярно анализировать результаты пилотирования, вносить коррективы в план и процесс внедрения.
6. После успешного завершения пилотного проекта масштабировать систему на всю организацию.

Следуя этим рекомендациям, организация сможет эффективно внедрить новую ИБ-систему, минимизировать риски и обеспечить защиту своих информационных активов.