Журнал "Information Security/ Информационная безопасность" #4, 2021

Главный критерий выбо- ра интегратора – доверие заказчика к нему. Важную роль играет ква- лификация наших сотрудни- ков на этапе поддержки, ведь от четкости и согласо- ванности зависит качество работы построенной систе- мы защиты. Кто должен строить систему ИБ? В идеальном мире заказчик знает все про свои информационные системы, но в реальной жизни обычно быва- ет наоборот. У больших заказ- чиков они весьма масштабны и разрознены, а у внутренних служб, как правило, нет време- ни и ресурсов, чтобы полностью контролировать изменяющийся технологический ландшафт даже внутри организации. Это легко объяснить, ведь основная задача заказчика – это все-таки вести свой бизнес, внутренние подразделения прежде всего нацелены на реа- лизацию и поддержку бизнес- функций, и на совершенство- вание информационной без- опасности они смотрят лишь во вторую очередь. К тому же практика показы- вает, что квалификация персо- нала, специализирующегося на информационной безопасности, у среднестатистического заказ- чика ниже, чем, например, у сотрудников ИТ-службы в своей области. Поэтому для построе- ния или совершенствования системы информационной без- опасности в большинстве слу- чаев целесообразно подклю- чать профильного интегратора, который поможет объективно определить и оценить специа- лизированные риски там, где сам заказчик с этим не спра- вится. Как выбрать интегратора Главный критерий выбора интегратора – доверие заказ- чика к нему. Доверие в части качества выполняемых работ, соблюдения сроков, в части того, что интегратор доведет проект до конца, как ни пара- доксально звучит. И это дове- рие интегратор нарабатывает годами. Несложно заметить, что важнейший критерий – доверие к квалификации и профессио- нализму интегратора – носит весьма субъективный характер. Есть и объективные признаки, из которых складывается ито- говое доверие: например, ква- лификацию компании и сотруд- ников заказчик может оценить по сертификатам, по информа- ции о выполненных проектах. Технические специалисты составляют две трети персонала нашей компании. Наличие высококвалифицированных сотрудников в штате – один из существенных факторов над- лежащего выполнения проекта в срок и обеспечения после- дующей преемственности работ над ним. Качество инвестиро- вания интегратора в собствен- ное развитие и в обучение сотрудников определяет резуль- тативность внедрения решений для бизнеса заказчика и эффек- тивность реализации проекта. Уровень сервисного обслужи- вания зависит и от грамотного выбора технологии проверен- ных поставщиков. Их репутация является дополнительной гаран- тией успешного воплощения решений. Любопытно, что наиболее эффективным каналом для передачи доверия от одного заказчика к другому было и остается "сарафанное радио". Именно поэтому для хороше- го интегратора очень важны отношения с каждым заказчи- ком. И то, что после выполнен- ного проекта заказчик не только сохраняет желание снова к нам обратиться, но и готов пореко- мендовать нас своим партнерам и коллегам, критически важно. Союзники Главными и зачастую един- ственными верными союзниками интегратора в проектах остаются службы ИБ, с которыми и про- исходит прямое взаимодействие. Но мы, например, стараемся расширять область доверия вокруг ведущегося проекта, чтобы союзниками стали и ИТ- подразделения, ведь именно они в первую очередь являются вла- дельцами защищаемых инфор- мационных систем. Очевидно, что дополнительная сложность, которую мы привносим в целях ИБ, часто вызывает недопони- мание и сопротивление с их сто- роны. Поэтому мы терпеливо доносим до ИТ-служб ту задачу, которую призваны решить в рам- ках каждого конкретного про- екта, ее важность для сохране- ния вверенных им ИТ-процессов защищенными, целостными и доступными. Это легко делать, отталкиваясь от оценки рисков. Ведь зачастую ИТ-службы под- держивают SLA для своих биз- нес-систем, не обладая полнотой информации о существующих рисках, а интегратор эти риски может объективно оценить. Ярким примером является онлайн-магазин, для которого простой по причине банальной DDоS-атаки однозначно приве- дет к большим финансовым потерям. Понимание такого риска со стороны ИТ-подразде- ления делает его нашим союзни- ком в конкретном вопросе построения защиты от DDоS- атак. 20 • УПРАВЛЕНИЕ Принцип ненулевого доверия как ключ к построению системы защиты изнес-функциональность любой создаваемой системы всегда имеет первый приоритет. Для поддержания непрерывной дея- тельности в реальных условиях в каждом проекте присутствуют элементы обеспечения информационной безопасности. Востребованность ИБ очень высока при любой экономической ситуации, но возникает комплекс вопросов относительно ее организации, совершенствования и контроля. В этой статье представлен взгляд опытного интегратора на особенности проектов в области информационной безопасности. Б Илья Четвертнев, технический директор группы компаний Angara