RuSEIM
Публикации

Взлетная полоса: на что обратить внимание при пилотировании ИБ-систем

Пилотирование ИБ-продуктов — критически важный шаг, который позволяет оценить эффективность и пригодность выбранного решения для конкретной организации, а также сэкономить ее ресурсы. В него входит тестирование системы в реальных условиях, выявление возможных проблем и недостатков, а также корректировку настроек для достижения максимальной эффективности. В статье расскажем основные аспекты пилотирования ИБ-систем, на которые нужно обратить внимание, а также дадим рекомендации по выбору интегратора.

Основные аспекты, на которые следует обратить внимание

Для начала стоит отметить, что пилот — это не просто пробный период, который можно пропустить, а важный этап внедрения ИБ-продукта. Он позволяет минимизировать риски и потенциальный ущерб для компании. Пилот обычно составляет от месяца до двух, в зависимости от сложности проекта и состоит из нескольких этапов.
Валерий Купрюшин
Технический директор RuSIEM

Как правило, если строго следовать плану, то для проведения тестового пилота SIEM-системы достаточно месяца.
В целом, каждый проект состоит из:
  1. Планирования и составления матрицы ответственности для того, чтобы проектный «пин-понг» проходил в адекватные сроки
  2. Установки и настройки решения
  3. Подключения основных источников, оговоренных на этапе планирования
  4. Настройки или донастройки правил корреляции
  5. Работы с контентом — отчеты, дашборды, точечная настройка системы под задачи, приоритетные для заказчика
  6. Опытной эксплуатации
  7. Отчета по пилоту со стороны вендора
Необходимость пилота обусловлена несколькими причинами, на них же стоит обратить внимание при проведении этого этапа.

Выявление возможных ошибок

Пилотирование позволяет обнаружить потенциальные проблемы и ошибки в работе продукта, которые могут проявиться только при интеграции с существующей инфраструктурой. Чтобы избежать дорогостоящих исправлений после внедрения и максимально эффективно провести пилот, необходимо донести важность этого аспекта до заказчика и обеспечить поддержку со стороны руководства.
Александр Вавилов
Директор департамента сервиса «Гарда Технологии» (входит в группу компаний «Гарда»)

Самые частые ошибки возникают, как правило, на этапе старта проекта и проведения предпроектного обследования, что может в дальнейшем привести к некорректному составлению технического решения.
Типовые ошибки:
  • Заказчиком предоставлены некорректные исходные данные по защищаемому объему трафика, количеству рабочих мест.
  • Заказчиком предоставлены некорректные данные по своей внутренней инфраструктуре (сетевая, серверная часть/физические или виртуальные носители).
  • Функционал продукта может не соответствовать ожиданиям заказчика. Это обычно бывает вызвано неправильным представлением заказчику возможностей, либо неправильным определением необходимого класса СЗИ.

Адаптация к специфике инфраструктуры

Каждый проект уникален, и важно убедиться, что выбранный продукт соответствует требованиям и ограничениям конкретной инфраструктуры. Пилотирование позволяет адаптировать настройки и конфигурацию продукта под нужды компании. Поэтому важно правильно выбрать инфраструктуру для пилотирования.
Анастасия Федоренко
Руководитель направления автоматизации ИБ, УЦСБ

Пилот может проводиться локально в инфраструктуре Заказчика, on-premise либо в инфраструктуре вендора/интегратора, SaaS (в облаке). Если для SaaS поставщик сервиса выполняет небольшой объем работ: предоставляет доступ к ПО и выполняет настройки конфигурации для конкретного Заказчика, то для локального размещения продукта объем работ значительно больше, практически, это внедрение продукта.
На что важно обратить внимание при выборе инфраструктуры:
  • Минимальные требования к аппаратной платформе – их необходимо соблюдать для корректного распределения нагрузки на сервер и функционирования ПО.
  • Сегмент сети – он должен быть выбран с учетом специфики решения, если инструмент предназначен для технологической сети, неинформативно тестировать его в корпоративном сегменте.

Обучение персонала

Пилотирование предоставляет возможность для обучения и адаптации персонала к новым инструментам и процессам. Важно, чтобы сотрудники, которые будут работать с новым продуктом, участвовали в пилотировании и были обучены его использованию. Кроме того, желательно обеспечить доступ к квалифицированной поддержке и обслуживанию системы после завершения пилотирования.

Оценка эффективности

Пилот позволяет понять, насколько успешно продукт справляется с поставленными задачами и обеспечивает необходимый уровень защиты. Это позволяет принять обоснованное решение о его внедрении.
Дмитрий Хомутов
Директор Ideco

Определение инфраструктуры для пилотного проекта NGFW — ключевой шаг, позволяющий провести реалистичные тесты и получить точное представление о работе NGFW в условиях, близких к реальным. Тестовая среда должна максимально отражать реальную инфраструктуру клиента, включая количество и типы устройств, пользователей, сегменты сети и т.д. Для более точного тестирования рекомендуется использовать реальные данные о трафике, угрозах и поведении пользователей. Важно создать изолированную среду, чтобы предотвратить непредвиденные последствия в случае ошибок или нештатных ситуаций. Выбор подходящего оборудования, соответствующего требованиям NGFW и характеристикам тестовой среды, также является неотъемлемой частью подготовки к пилотному проекту.
При тестировании необходимо проверить все ключевые функции продукта, а также использовать реальные угрозы для проверки. Если этап пилотирования провести с ошибками, то результаты будут не показательны.
Ринат Аитов, Вячеслав Пронюшкин
Директор по информационной безопасности Группы компаний «Анлим», Заместитель директора по информационной безопасности Группы компаний «Анлим»

1. Отсутствие границ пилота
Пилот от внедрения отличается масштабами. Мы захватываем только часть инфраструктуры и на ней смотрим, как работает продукт.
2. Отсутствие целей на пилот
Иногда заказчик не может определить, что хочет проверить в решении, какие возможности протестировать и какой результат увидеть в итоге. Отсутствие понимания целей и результата или их неверное понимание влечет за собой ошибочное определение границ пилота, а отсутствие однозначно очерченных задач, которые решаются в ходе пилотирования продукта, ведет к появлению новых и новых запросов в контексте пилота, а это сильно увеличивает сроки проекта и размывает критерии его успешности.
3. Технические ошибки
Нередки случаи, когда на старте пилота приходится идти на уступки по уровню характеристик выделяемых ресурсов в инфраструктуре заказчика, что влечет за собой ситуации, при которых решение может начать работать «со скрипом». И заказчик в таком случае часто делает вывод о низком качестве продукта или некомпетентности инженеров, забывая о том, что характеристики на старте не соответствовали необходимым/заявленным.
4. Неподтвержденные бюджеты заказчика на рассматриваемое решение
В данном случае весь пилот изначально теряет всякий смысл, так как даже в случае полного успеха по его итогам заказчик не в состоянии приобрести и внедрить у себя решение.
Чтобы проанализировать эффективность пилотируемого продукт и принять взвешенное решение о его внедрении, необходимо четко обозначить цели пилота, систему оценки и желаемые результаты.

Минимизация рисков

Пилотирование помогает снизить риски, связанные с внедрением новых технологий, и обеспечивает более плавный переход к использованию нового продукта в производственной среде. Для пилотирования нужно подобрать инфраструктуру похожую на ту, в которую планируется внедрять ИБ-продукт. Кроме того, стоить учесть возможность масштабирования тестовой инсталляции.
Александр Гаврилов
Начальник отдела внедрения инфраструктурных СЗИ Cloud Networks

При выборе тестовой зоны стоит отталкиваться от конкретного продукта и его влияния на инфраструктуру при использовании в боевой среде. Она должна быть схожа с той, в которой планируется эксплуатировать решение, но быть изолирована от основной боевой инфраструктуры для минимизации воздействия на нее. Кроме администраторов обязательно к тестированию должна быть привлечена фокус-группа реальных пользователей, безопасность которых требуется обеспечить.
Тестовая инсталляция должна иметь возможность масштабироваться. Пилот можно считать успешным, если он может перейти в продуктивную среду с минимальными трудозатратам.

Соответствие требованиям регуляторов

В контексте пилотирования ИБ-систем, соответствие требованиям регуляторов играет ключевую роль. Это включает в себя соблюдение стандартов безопасности, таких как PCI DSS, Приказа ФСТЭК № 21, и новых банковских ГОСТов. Пилот позволяет понять насколько эффективно продукт справляется с этой задачей. Например, помогает в аудите доступа к данным, мониторинге запросов и анализе ответов, контроле действий привилегированных пользователей и удаленного доступа. А также позволяет выявлять события, несоответствующие требованиям регуляторов, например, учетные записи с истекшим сроком действия пароля.

Как выбрать интегратора

Интеграторы ИБ-систем — это компании, занимающиеся внедрением и настройкой комплексных систем безопасности. Они могут быть крупными, средними или мелкими, в зависимости от размера и специализации. Выбор неправильного интегратора может привести к некачественному выполнению работ и снижению эффективности СЗИ, перерасходу бюджета на проект и дополнительным затратам на исправление ошибок, затягивание сроков, потере данных и юридическим последствиям. Важно тщательно выбирать интегратора, чтобы минимизировать вышеперечисленные риски.

Вот несколько ключевых аспектов, на которые следует обратить внимание при выборе интегратора:

  1. Опыт и экспертиза. Убедитесь, что интегратор имеет достаточный опыт работы с аналогичными продуктами и технологиями. Это позволит им эффективно провести пилотирование и предоставить ценные рекомендации.
  2. Портфолио и отзывы. Ознакомьтесь с портфолио интегратора и отзывами предыдущих клиентов. Положительные отзывы и успешные кейсы могут служить подтверждением качества предоставляемых услуг.
  3. Соответствие стандартам. Проверьте, соответствует ли интегратор международным стандартам безопасности, таким как ISO 27001 или NIST. Это гарантирует, что они придерживаются высоких стандартов в своей работе.
  4. Технологические партнеры. Обратите внимание на партнеров интегратора. Сотрудничество с ведущими производителями ИБ-решений может говорить о высокой квалификации и надежности интегратора.
  5. Обучение и поддержка. Убедитесь, что интегратор предлагает обучение и поддержку после завершения пилотного проекта. Это поможет вашей команде эффективно использовать внедренные решения.
  6. Стоимость и условия. Сравните стоимость услуг разных интеграторов, но не забывайте, что качество и опыт часто стоят дороже. Оцените, насколько предложенные условия соответствуют вашим ожиданиям и бюджету.

Выбор правильного интегратора для пилотирования ИБ-продуктов поможет обеспечить безопасность вашей организации и минимизировать риски, связанные с кибербезопасностью.

Выводы

Эффективное пилотирование ИБ-систем требует тщательного планирования, подготовки и координации действий всех участников проекта. Важно обратить внимание на цели и задачи пилотного проекта, адаптировать его к специфике бизнеса, обеспечить поддержку со стороны ключевых сотрудников организации, а также провести обучение персонала работе с новой системой.

Большое влияние на успех пилотирования и внедрения ИБ-системы оказывает выбор интегратора. При поиске поставщика услуг необходимо обращать внимание на опыт и экспертизу компании, отзывы, технологических партнеров и соответствие международным стандартам.