− Иван, «Кейсистемс – Безопасность» при вашем активном участии занимается автоматизацией процессов информационной безопасности. Расскажите, пожалуйста, как всё начиналось? Какой путь прошла компания до запуска экосистемы приложений «Альфа»?
− Мысли об автоматизации процессов информационной безопасности появлялись у меня ещё во время окончания обучения в МарГТУ (ныне ПГТУ, Волгатех) в 2009 году. Тогда началось поэтапное вступление в силу закона о персональных данных, принятого ещё в 2006 году. Многие организации заговорили о защите информации. Казалось, это может стать большой интересной историей. После службы в армии и работы в муниципальном образовании, где в том числе я готовил документы по информационной безопасности, пришёл в группу компаний «Кейсистемс». В то время мы сами оказывали услуги по аудиту и подготовке документов. Это была настоящая рутина – трудоёмкая, неинтересная, требующая скрупулёзности работа. Очень неприятно было наблюдать за тем, что наши разрабатываемые вручную документы быстро устаревали, иногда даже в течение проекта. Вносились правки в нормативные требования, большие и частые изменения происходили и в самой организации. Мы все понимали, что надо автоматизировать эту область.
− Получается, мысли об автоматизации сферы информационной безопасности появились практически сразу?
− Да, уже в 2011 году появились определённые наработки. Начальный этап автоматизации был связан с тем, что мы пытались разработать шаблоны документов, которые заполняли базой чуть ли не из Excel. Первые результаты, мягко говоря, не впечатляли – уже тогда мы осознавали, что предметная область информационной безопасности исключительно сложная. В ней очень много взаимосвязей, взаимозависимостей. Поэтому мы решили идти не от документов и заполнения их данными, а от настоящего честного описания процессов обработки и защиты информации, т. е. создавать какую-то цифровую модель этих процессов и на этой основе делать документы как один из видов отчётов.
Первоначально мысль была такая – сделать настольный инструмент для сотрудника с непрофильным образованием и постоянно не отслеживающим изменения в законодательстве, но который отвечает в организации за безопасность. Система АльфаДок уже на первом этапе отвечала этим требованиям.
Отдельно хочу отметить, сразу было понятно, что моделирование угроз – это очень тяжёлая предметная область, требовательная к качеству экспертных оценок. Если тогда методика ФСТЭК России по моделированию угроз безопасности была довольно простой и её можно было сделать в ручном режиме, то новую методику оценки угроз безопасности без средств автоматизации, на мой взгляд, сделать почти нереально.
С самого начала мы сформулировали два основополагающих принципа наших решений, которых придерживаемся и по сей день. Во-первых, мы воспринимаем и реализуем информационную безопасность как непрерывный процесс. Во-вторых, наши решения − это не просто программные комплексы, а «провайдеры экспертизы», с опорой на которые можно уверенно решать задачи информационной безопасности в организации.
− Можно сказать, что первый этап на пути к экосистеме приложений «Альфа» − это создание системы АльфаДок как настольного инструмента для специалиста, назначенного ответственным за безопасность? А что было дальше?
− Да, изначально мы создали настольный инструмент для безопасника. Но, рассмотрев проблему шире, увидели новые возможности для применения. Так мы перешли на второй этап развития: использовать свой продукт в реализации организационных мер на уровне сложных организационных структур – органов власти региона, какой-то отрасли, в сетях подведомственных учреждений. Важная задача здесь – разработать комплексный стандарт применения организационных мер и масштабировать его на сложные и распределённые организационные структуры. Остро стоит вопрос получения сводных и актуальных данных по выполнению мер по защите информации. Это отчётность в сторону регулятора, а также планирование деятельности и уточнение текущего статуса вопросов информационной безопасности для принятия решений.
Если посмотреть, как это было раньше или до сих пор реализуется в некоторых областях, вырисовывается нерадужная картина. Курирующее подразделение запрашивает документы, что сделано, какие меры реализованы, с помощью каких средств. Скорее, в последний день ему пытаются ответить, но проверить, объективна информация или нет, сложно. Из-за того, что везде по-разному осуществляются меры по информационной безопасности, полученная комплексная оценка имеет мало общего с реальностью. А наше решение позволило разработать стандарт реализации мер, который может быть применён во всей организационной структуре.
− Какие выгоды получают организации при использовании системы АльфаДок?
− Во-первых, во всех организационных единицах меры будут реализованы единообразно. Когда мы говорим, что у нас разработана, например, политика по защите персональных данных, это означает, что она сформирована системой АльфаДок с учётом актуальных требований, а не просто есть какой-то документ произвольного содержания и с таким названием.
Во-вторых, мы решаем вопрос управляемости и прозрачности работы по соответствию требованиям в сложных организационных структурах. Это множество дополнительных процессов.
− Хорошо, вы постоянно совершенствуете свой продукт и заботитесь о пользователях. Выходит, появление экосистемы приложений «Альфа», в которую вошла система АльфаДок, − это некий новый этап развития?
− Да. В следующем году – юбилей АльфаДок, ему исполнится 10 лет. Поэтому мы осознаём, что технологии, которыми мы пользуемся, нуждаются в обновлении. В этом году у нас был самый масштабный рефакторинг – переработано больше 80% кодовой базы, изменены принципы информационного моделирования предметной области. Сейчас у нас третий этап автоматизации, даже трансформации, который характеризуется более зрелым моделированием процессов по обработке и защите информации и их гармоничным дополнением к сфере управления информационными технологиями. Мы уже не разделяем службу информационной безопасности от службы ИТ, а входим в учёт очень большого количества данных для моделирования процессов обработки и защиты информации как в интересах подразделений безопасности, так и подразделений эксплуатации информационных систем. Потому что описания процессов обработки и защиты информации значительно усложнились, взаимосвязи между ними стали гораздо разнообразнее. Эту задачу активно решаем сейчас.
− Экосистема приложений «Альфа» отвечает новым вызовам?
− На протяжении всего нашего пути мы наблюдали за тем, что вопросы информационной безопасности неразрывно связаны с управлением информационными технологиями. Яркий пример – это подключение пользователей, выдача средств криптографической защиты для доступа к защищённым информационным системам, учёт информационных активов и т. д. По факту смежным или одним и тем же командам специалистов на местах приходится решать как минимум три вопроса: понимать, какими информационными активами они обладают; гарантировать адекватную требованиям и рискам их защиту и обеспечивать их эффективную эксплуатацию и техническое развитие.
Наши приложения в экосистеме «Альфа» сейчас формируются как раз таким образом. Базово мы накапливаем всё больше и больше данных об активах и процессах (приложение АльфаРеестр). Вторая группа приложений (АльфаДок) направлена на организационное обеспечение безопасности данных активов и процессов. И третья группа приложений (АльфаКоннект и АльфаКрипто) ориентирована на эффективное использование информационных систем в части подключения пользователей и выдачи средств криптографической защиты.
Почему мы выбрали именно эти сценарии? Потому что они непосредственно связаны с информационной безопасностью. Кроме этого, они чаще всего не имеют полной реализации без средств автоматизации. Это, пожалуй, самый частый случай. И второе – если они исполняются в полном объёме, то с большими издержками, т. е. трудоёмкость их реализации высокая. Наши приложения из экосистемы Альфа кратно снижают временные издержки на реализацию данных процессов. И это не просто слова, у нас есть реальные наблюдения в проектах. Безусловно, экосистема будет развиваться и дальше…
…Но об этом мы поговорим в следующий раз. Следите за новостями!
Беседовала Людмила Егорова
