Василий Часовской, Почта России: Любое изменение в ИТ-среде должно автоматически проходить проверку на соответствие стандартам информационной безопасности
ИТ-ландшафт организаций находится в состоянии непрерывного развития. В связи с этим критически важно отслеживать, каким образом каждое обновление сказывается на состоянии цифровой защиты. Возникновение бреши даже в отдельном компоненте способно ослабить безопасность всей корпоративной системы и повлечь серьёзные операционные риски. В Почте России при участии Security Vision была автоматизирована процедура оценки соответствия требованиям ИБ в рамках управления изменениями. О ходе реализации этой инициативы в беседе с CNews рассказали Василий Часовской, начальник отдела аудита политик информационной безопасности и анализа активов Почты России, и Роман Овчинников, руководитель департамента внедрения Security Vision.
CNews: Каким образом современные риски и киберугрозы повлияли на методы организации процессов информационной безопасности?
Василий Часовской: Сфера защиты информации в России за последние годы столкнулась с несколькими серьёзными испытаниями: ускоренное внедрение цифровых технологий, значительный рост количества и изощрённости кибератак, программы по замене зарубежного программного обеспечения, а также нехватка квалифицированных специалистов в области ИТ и ИБ, что осложняет решение этих проблем.
Дефицит кадров в сочетании с необходимостью обновления инфраструктуры в условиях повышенной киберугрозы повышает ценность автоматизации системы управления информационной безопасностью, где все процессы защиты взаимосвязаны. Снижение эффективности любого из этих процессов негативно отражается на киберустойчивости организации в целом, что может иметь катастрофические последствия для её деятельности. Таким образом, для минимизации вероятности успешных атак и оперативного реагирования на них необходимо выстроить и автоматизировать процессы управления активами, уязвимостями, конфигурациями, обеспечением непрерывности бизнеса, а также изменениями. Последнее направление приобретает всё большую актуальность в свете текущих вызовов, а также учитывая высокую динамику изменений в ИТ-среде современных, активно цифровизирующихся компаний.
К примеру, в Почте России потребность в автоматизации управления изменениями вызвана активной внутренней разработкой разнообразного программного обеспечения, информационных систем и их составных частей, а также постоянными обновлениями компонентов ИТ-инфраструктуры, которые реализуются благодаря внедрению DevOps-практик. Это включает автоматизацию через CI/CD-платформы, унификацию формата бизнес-требований для разработки и запуск их обработки в рамках единой платформы.
ИТ-инфраструктура организации динамично развивается, и при этом занятые, часто недостаточно многочисленные специалисты должны одновременно удовлетворять запросы бизнеса и обеспечивать соблюдение законодательных и внутренних норм, закреплённых в нормативных правовых актах (НПА) и локальных нормативных актах (ЛНА). Чтобы управление изменениями было эффективным, этот процесс требует высокой степени автоматизации. Все соответствующие технические данные об ИТ-инфраструктуре необходимо собирать и обогащать, а требования информационной безопасности — детализировать, устранять дублирование, выстраивать взаимосвязи и привязывать к соответствующим информационным системам и другим элементам ИТ-инфраструктуры.
Роман Овчинников: Мы наблюдаем существенный рост внимания наших клиентов к вопросам кибербезопасности в целом и к автоматизации соответствующих процессов в частности. Так, за последние три-четыре года нашим заказчикам стало значительно проще утверждать бюджеты на ИБ — активное освещение темы в медиа и многочисленные сообщения о серьёзных киберинцидентах, взломах и утечках данных произвели сильное впечатление на лиц, принимающих решения в компаниях.
Мы также отмечаем, что с уходом иностранных поставщиков клиенты начали предъявлять к российским производителям столь же высокие требования, как в отношении технических возможностей продуктов, так и в части глубины экспертных знаний, заложенных в решения. Подход к выбору решений стал более осознанным: клиенты чётко понимают, какие задачи должны быть решены в рамках проектов, сами активно вовлекаются в их реализацию, делятся своим видением и опытом, предлагают улучшения продуктов.
Компания Security Vision предлагает решения по автоматизации информационной безопасности уже более десяти лет. В нашем портфеле присутствуют самые современные системы, однако в последние два-три года мы фиксируем повышенный спрос на решения, считающиеся базовыми, — в частности, на продукты для автоматизации управления активами и уязвимостями. Причём такой спрос формируют как крупные корпорации, так и компании среднего и малого бизнеса. Что касается автоматизации управления изменениями, то это этап зрелости — внедрение такого процесса и его последующая автоматизация представляют интерес в основном для крупнейших организаций, таких как Почта России.
CNews: Для каких компаний актуальны задачи автоматизации процесса управления изменениями?
Василий Часовской: Автоматизация управления изменениями наиболее оправдана в масштабных и разнородных ИТ-средах, характеризующихся постоянной динамикой: внедрением новых сервисов, API, контейнеризацией, эволюцией архитектуры и реализацией различных технологических проектов. Для современных цифровых компаний с быстрым темпом развития такой процесс становится фундаментальным — без него эффективный контроль над ИТ-активами и безопасностью практически невозможен.
Внедрение автоматизации позволяет сократить объем рутинных операций и трудозатраты сотрудников, минимизировать субъективное влияние на принятие решений, а также обеспечить единые и объективные критерии. Это особенно актуально для территориально распределенных структур, часто испытывающих нехватку квалифицированных кадров. К примеру, на удаленных объектах, производственных площадках или в филиалах привлечь экспертов в области ИТ или информационной безопасности значительно сложнее, чем в центральных офисах крупных городов.
Безусловно, сами проекты по автоматизации требуют ручного труда и участия специалистов: руководителей и менеджеров проекта, экспертов в предметных областях, представителей бизнеса и производства. Тем не менее, грамотные инвестиции в автоматизацию рабочих процессов, как правило, окупаются в обозримой перспективе.
Роман Овчинников: Интерес к автоматизации процессов информационной безопасности проявляют многие. Среди клиентов Security Vision — компании разного масштаба и из различных отраслей. Однако всех их объединяет потребность в надежных базовых процедурах ИБ и их автоматизированном выполнении.
Для крупного бизнеса управление изменениями превращается в один из ключевых процессов, и с ростом их числа в инфраструктуре клиенты все чаще задумываются о его автоматизации. При этом в таких секторах, как промышленность, энергетика, транспорт или телекоммуникации, существует разделение на ИТ- и OT-инфраструктуры, где необходимо тщательно оценивать критичность каждого изменения и потенциальные последствия ошибки.
Чем сложнее и разнороднее инфраструктура предприятия, тем выше вероятность, что даже незначительная правка способна нарушить весь производственный контур. Поэтому критически важно создавать и автоматизировать процедуры проверки и согласования вносимых изменений, контролировать фактические настройки, обеспечивать безопасность модифицированных систем и соблюдение регуляторных требований (например, приказов ФСТЭК №31, №21 и №239).
В общем, управление изменениями неразрывно связано с обеспечением соответствия нормам. К примеру, помимо законодательных предписаний, касающихся ИСПДн, КИИ и АСУТП, существуют также отраслевые стандарты, экологические нормы, правила по охране труда, а также внутренние корпоративные политики, обязательные к исполнению (что особенно актуально для крупных холдингов, дочерних и зависимых обществ).
CNews: Каким образом в «Почте России» организовано управление изменениями в настоящее время? Что стало ключевым стимулом для его автоматизации?
Василий Часовской: На текущий момент зрелость процесса управления изменениями можно оценить как среднюю — мы движемся от стадии «управляемый» к стадии «регламентированный». Требования информационной безопасности предъявляются как к новым, так и к модифицируемым системам, начиная с этапа инициации изменений. Однако определение этих требований ложится на специалиста профильного подразделения ИБ, который руководствуется информацией о применимых нормативно-правовых и локальных нормативных актах. Отсутствует единая точка входа и контроля за этими требованиями — каждое потенциальное изменение анализируется индивидуально и вручную.
С технической стороны, процесс сейчас поддерживается несколькими изолированными решениями. Так, интеграции систем и планы их внедрения согласовываются в одной тикет-системе, в то время как заявки на предоставление сетевого доступа для этих же интеграций создаются и обрабатываются уже в другой. Параллельно функционирует подсистема автоматизации управления изменениями, выполняющая роль CMDB (базы данных управления конфигурациями). В ней фиксируются изменения, связанные с созданием или обновлением информационных систем, их компонентов и прикладного программного обеспечения, однако график технических работ и процедура согласований документируются уже в четвертой, сторонней системе. В результате, на данный момент отсутствует прозрачная и непрерывная связь между всеми компонентами и стадиями внесения изменений, нет единого рабочего потока, а управление сроками и релизами осуществляется вручную.
Наша совместная с коллегами из Security Vision задача состоит в разработке новой централизованной системы управления изменениями. В ней требования по информационной безопасности будут автоматически генерироваться и проверяться для каждого планируемого изменения в ИТ-инфраструктуре. По своей сути, мы автоматизируем экспертизу ИБ в контексте управления изменениями.
Одной из ключевых причин для автоматизации всего процесса можно назвать заинтересованность бизнеса в сокращении Time-to-Market (времени вывода продукта на рынок или к внутреннему заказчику) и в автоматизации процедур согласований. Также важным стимулом стало мнение сотрудников подразделений ИБ и ИТ, которые стремятся минимизировать долю ручных операций при формулировании требований по кибербезопасности, их последующем выполнении и контроле.
Роман Овчинников: Сотрудничество Security Vision с «Почтой России» началось в 2019 году. Нами уже внедрён комплекс систем (IRP/SOAR, TIP, SGRC), и в настоящее время ведутся работы по разработке новых решений для автоматизации рабочих процессов. В ближайшей перспективе запланирована интеграция нашего модуля с действующей у Заказчика подсистемой автоматизации управления изменениями, а также настройка взаимодействия с другими системами, вовлечёнными в этот процесс, — такими как система тикетинга и AppSec-инструменты, включающие анализаторы SAST/DAST. Формируемая нами в «Почте России» система управления экспертизой информационной безопасности в рамках процесса изменений будет развиваться и совершенствоваться параллельно с ростом зрелости соответствующих процессов у Заказчика.
CNews: Каких итоговых результатов ожидается достичь в рамках данного проекта?
Василий Часовской: В результате будет создана платформа, которая объединит в едином интерфейсе весь цикл внесения изменений в ИТ-инфраструктуру с позиции информационной безопасности: от концепции до выпуска проекта. Два основных процесса — управление изменениями и экспертиза ИБ в их рамках — будут тесно связаны. Решение от Security Vision, отвечающее за экспертизу ИБ при изменениях, будет получать данные о планируемых изменениях, анализировать их и сопоставлять с реестром детализированных применимых требований нормативных правовых и локальных нормативных актов. Инициатор создания или модернизации системы должен будет предоставить о ней необходимые сведения. На основе этой информации будут определены соответствующие требования НПА и ЛНА, которые затем будут закреплены в карточке информационной системы и сопровождать её на протяжении всего жизненного цикла.
К примеру, если в системе планируется обработка персональных данных, будут применены соответствующие положения приказа ФСТЭК №21, а для работы с информацией, составляющей коммерческую тайну, будут действовать требования различных внутренних регламентов. Кроме того, для собственной разработки программного обеспечения будет задействована интеграция между существующим AppSec-решением и создаваемой Security Vision подсистемой автоматизации экспертизы ИБ в процессе изменений. В зависимости от конкретной информационной системы и предъявляемых к ней требований ИБ будут определены и стандарты разработки ПО с учётом используемого технологического стека.
Ещё один важный процесс, связанный с созданием новых систем, — это управление уязвимостями. Перед приёмо-сдаточными испытаниями разрабатываемая система проходит проверку сканером уязвимостей, а её исходный код анализируется инструментами SAST/DAST. Данные, полученные благодаря настраиваемым интеграциям, будут использоваться для принятия решения о возможности вывода решения в промышленную эксплуатацию в соответствии с выполнением установленных критериев информационной безопасности.
Объединение всех нормативов безопасности из законодательных и внутренних документов позволяет обосновать расходы на информационную безопасность и отстоять бюджет — юридические последствия несоблюдения установленных правил анализируются крайне детально. Кроме того, концентрация и упорядочивание всех требований ИБ помогает определить верный архитектурный подход и набор технологий. К примеру, нормы по шифрованию передаваемой информации сразу сужают спектр возможных технических реализаций сетевого взаимодействия между элементами системы.
Роман Овчинников: Важно отметить, что платформа, которую сейчас Security Vision разрабатывает для Почты России, позволит автоматизировать и стандартизировать процедуру проведения проверок на соответствие. По сути, решается масштабная задача контроля соблюдения любых нормативных предписаний, которую можно распространить на любую организацию — достаточно описать требования и проверки в машиночитаемом виде, настроить интеграции с проверяемыми системами и обработать полученные данные.
Итогом нашей работы в «Почте России» станет создание единой системы контроля информационной безопасности в рамках процесса управления изменениями. Мы внедрим в логику рабочих процессов Security Vision все этапы предъявления и контроля выполнения требований ИБ, включая получение сведений о новых инициативах и изменениях в информационных системах, обработку ответов из опросников ответственных лиц, проведение приемочных испытаний, учёт замечаний.
Будут настроены соединительные модули, которые позволят обращаться к создаваемым или модернизируемым системам для автоматического проведения проверок на соответствие требованиям. Для этого будут использованы универсальные механизмы и протоколы обмена данными. Результатом многолетней интеграции Security Vision в инфраструктуру «Почты России» станет централизованная платформа для управления активами, соответствием, изменениями, что даст возможность проводить внутренние аудиты, оценивать уровень киберзащищённости и стабильности инфраструктуры, отслеживать ключевые показатели и визуализировать автоматизированные процессы. Например, отображать круговую диаграмму пройденных приемочных испытаний и график динамики соответствия нормам по всей компании. Благодаря применению low code/no code конструкторов мы позволяем заказчику в дальнейшем самостоятельно изменять как логику процессов, так и отчёты, и элементы визуализации.
CNews: Какой должна быть идеальная автоматизированная система управления изменениями? К чему стоит стремиться?
Василий Часовской: Пожалуй, каждый специалист в компании-заказчике желает, чтобы было меньше консолей различных решений, меньше исключений в процессах и меньше рутинных операций, выполняемых вручную. При этом все хотят больше централизованного управления и автоматизации, больше возможностей для адаптации под уникальные нужды, если автоматизированный процесс потребует изменений.
При нехватке персонала возрастает значимость автоматизированного немедленного реагирования на несанкционированные модификации, в особенности на те, что критичны для информационной безопасности. Решением может стать автоматический откат к безопасным конфигурациям или, как минимум, оперативное оповещение ответственных сотрудников. Если же корпоративные или нормативные требования к определенным системам претерпели изменения, то задействованные в обеспечении соответствия инструменты ИБ обязаны гарантировать быстрый отклик: оценку новых предписаний, обновление данных об объектах ИТ-среды, запуск процедур повторного согласования или тестирования, автоматическую верификацию соответствия систем обновленным нормативам.
Процедура контроля изменений тесно связана с процессом обеспечения соответствия, в рамках которого мониторятся все законодательные нововведения в области ИБ. Сегодня в большинстве компаний такой мониторинг осуществляется вручную, однако в идеале требования по безопасности можно было бы агрегировать из разных источников в машиночитаемом или строго формализованном виде, что существенно ускорило бы внедрение защитных мер. В данном контексте модуль автоматизации экспертизы ИБ вместе с подсистемой SGRC мог бы автоматически обрабатывать эти требования и распределять их по применимости к компонентам ИТ-инфраструктуры, обеспечивая своевременную модификацию элементов для выполнения условий ИБ в сжатые сроки. Не менее важен и обмен опытом внутри профессионального сообщества, причем ценны не только успешные кейсы, но и примеры неудачных изменений, ошибочных стратегий и архитектурных просчетов — такие «разборы неудач» позволяют другим извлекать уроки из чужих ошибок.
Роман Овчинников: В своей работе мы постоянно движемся к, пожалуй, недостижимому идеалу: единому удобному центру управления информационной безопасностью, где все данные обогащены, очищены, избавлены от дублирования и актуальны, а все процессы ИБ автоматизированы и интегрированы между собой. Преимущества подобной совершенной системы очевидны: оперативно обновляемая информация, единый источник достоверных сведений об инфраструктуре, мгновенное обнаружение малейших изменений в системах. Это не только повышает уровень защищенности, способность контролировать внутренние и внешние векторы атак и адекватно реагировать на инциденты, но и увеличивает ценность системы для бизнеса. Руководство получает возможность принимать решения, основанные на оценке рисков, с учетом текущего состояния киберзащиты инфраструктуры.
В сфере промышленности при внедрении изменений необходимо иметь полную видимость всех компонентов OT- и ИТ-инфраструктуры, избегая любых пробелов в контроле. К примеру, недопустимо, чтобы какой-либо участок АСУ ТП функционировал вне общего регламента управления. На явно несанкционированные модификации в технологическом сегменте требуется оперативно реагировать, автоматически восстанавливая настройки систем до безопасного состояния — это важно как из-за потенциальной опасности таких вмешательств, так и из-за возможной нехватки квалифицированных специалистов, способных быстро устранить проблему вручную.
■ Рекламаerid:2W5zFG679FNРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/
