Главный защитник цифрового периметра: роль Архитектора кибербезопасности
Большой выбор средств защиты информации дает иллюзию бескомпромиссной безопасности. Однако, даже если использовать их все разом, масштабные кибератаки на ИТ‑инфраструктуру и, как следствие, потерянные или утекшие данные, а также финансовые потери все равно продолжают угрожать в том числе и крупным компаниям.
В данном случае количество не значит качество, требуется практико‑ориентированный подход к построению всей системы кибербезопасности организации. И речь не только о дорогостоящих и передовых технологиях, но и о построении процессов, выборе профильных специалистов и точечной настройке выбранных решений под специфику и ИБ‑задачи компании. Столь сложная задача требует внедрения в процесс новой роли — Архитектора информационной безопасности.
Кто такой Архитектор комплексной кибербезопасности
В профессиональной среде архитектурой комплексной информационной безопасности принято называть принципиальную модель КСОИБ — комплексной системы обеспечения ИБ. Она охватывает все компоненты, которые взаимодействуют друг с другом и с ИТ‑инфраструктурой, внутренними процессами бизнеса, пользователями и важными данными компании. Кроме того, сюда можно добавить подходы и принципы, лежащие в основе проектирования и модернизации системы кибербезопасности.
Складывается впечатление, что работа Архитектора комплексной кибербезопасности сводится к концептуальным и принципиальным схемам.
На самом же деле Архитектор кибербезопасности решает более широкий спектр задач:
- Формирует проектные команды, учитывая компетенции членов группы в различных сферах ИБ
- Определяет концепции комплексных проектов и рассматривает альтернативные решения, придерживаясь принципов вендоронезависимости
- Проектирует техническую архитектуру КСОИБ и планирует ее развитие, включая внедрение всех необходимых процессов
- Контролирует объективность оценки уровня защищенности ИТ-инфраструктуры на каждом этапе реализации проектов
- Руководит участниками проекта и осуществляет архитектурный надзор над всеми разработками
- Обучает и поддерживает персонал во время реализации
Архитектор информационной безопасности одновременно ведет десятки проектов, интегрированных в единую программу. Особенно стоит подчеркнуть, что все схемы и важные документы он составляет так, чтобы их понял каждый участник — будь то исполнитель или топ‑менеджер, который мыслит категориями бизнес‑процессов.
Все-таки для чего компаниям сейчас так нужен Архитектор кибербезопасности
Средства защиты информации развиваются стремительно и регулярно перерождаются с пометкой next generation (NG), добавляют «щепотку» искусственного интеллекта и т. п. Как результат, сегодня насчитываются десятки разных классов средств защиты, контроля и анализа защищенности — от антивируса и FW до DLP, SIEM, EDR, VM и многих других.
Кроме того, в общесистемном и прикладном программном обеспечении уже есть сотни встроенных механизмов защиты информации. Добавьте сюда различные требования регуляторов, и выбор оптимальной КСОИБ, ее реализация и поддержка становится почти невыполнимой задачей.
Особенно это актуально для крупных компаний со множеством филиалов по России и ГК с профильными дочерними зависимыми обществами. В таких случаях задача по выбору архитектуры этой системы встает особенно остро, а роль формирующего ее Архитектора комплексной кибербезопасности становится очень важна.
Последние 2–3 года происходит качественное изменение в подходах по построению КСОИБ. На первый план выходит практикоориентированность — готовность противостоять как широкомасштабным, так и целевым кибератакам. Оптимизация бюджетов и правильная расстановка приоритетов при реализации отдельных мер защиты информации и ИБ‑проектов — это вопрос выживания для CISO, а не просто гонка за успешным KPI. Не забываем об импортозамещении, которое официально уже действует для большого спектра компаний и ведомств с 1 января 2025 года.
Все это требует масштабных изменений — в первую очередь в части сетевой безопасности. Архитектор комплексной кибербезопасности учитывает все эти запросы и предлагает решение по построению КСОИБ, которое даст компании уверенность как в высоком уровне киберустойчивости, так и в соблюдении требований регуляторов и достижении бизнес‑целей компании.
Кто может выступить примером Архитектора кибербезопасности
В компаниях встречаются такие роли, как генеральный или главный конструктор. Однако, если речь идет о полноценной и практико-ориентированной структуре, один человек здесь не справится, нужна довольно большая команда опытных спецов в ИБ.
Мы реализовали уже сотни типовых ИБ-проектов и занимаемся некоторыми из них в качестве Архитектора информационной безопасности прямо сейчас. Наш вывод, что за столь глобальной ролью — по сути, организатора всей системы — обычно стоит проектный офис или в нашем случае вся компания «Солар».
Пока что на рынке нет экспертов, которые способны единолично разработать и реализовать программу, состоящую из множества проектов, которые могут растягиваться на годы. И вряд ли такие люди появятся в обозримом будущем.
Отсюда возникает важный вопрос: как обеспечить контроль масштабного проекта, то есть соблюсти установленные сроки, достигнуть поставленных целей и гарантировать реальный рост уровня кибербезопасности организации?
Доменный подход: зачем нужен и почему эффективен
Специалисты по комплексной информационной безопасности знакомы с признанными стандартами вроде ISO 27k и другими ИБ-фреймворками. Однако большинство из них организованы по принципу «плоской структуры» — например, приложение А к ISO/IEC 27001.
Они не отвечают на принципиально важные вопросы:
- Какую именно меру защиты или комплексный проект в области информационной безопасности следует внедрить первым для получения ощутимых результатов на практике?
- Как различные ИБ-проекты взаимодействуют между собой и какое влияние оказывают друг на друга?
- Как эффективно с ними работать в контексте информационной безопасности конкретной корпорации или холдинга?
Как следствие, возникла необходимость разработать свой доменный фреймворк с вложенной структурой. Подобное деление дает возможность привлекать квалифицированных сотрудников на должности архитекторов отдельных доменов, работающих совместно с главным Архитектором информационной безопасности в составе единого проектного офиса.
Каждый домен сосредотачивается на уникальной специализации. Например, один — на комплаенс‑экспертизе, другой — на строительстве центров мониторинга и реагирования на угрозы (SOC). Основываясь на опыте команд «Солара», мы называем подобный подход практикой Архитектора комплексной кибербезопасности.
К сожалению, создание комплексной системы ИБ для компании, у которой больше 100 000 ИТ‑ресурсов, невозможно осуществить по щелчку пальцев, даже если привлечь к проекту лучших профессионалов по кибербезопасности. Это доказано многолетней практикой. Какой совет можно дать в такой ситуации?
Необходимо с самого начала выстраивать типовые и масштабируемые проектные решения. Формировать подсистемы КСОИБ, каждая из которых внедряется отдельным проектом для всей ИТ‑инфраструктуры компании, соблюдая приоритет при масштабировании. Так можно стандартизировать защитные меры и средства во всей инфраструктуре, исключая разработку уникальных СБ ЗОКИИ, СЗПДн и так далее.
Почему харденинг — основа надежной комплексной защиты данных
Опыт наших специалистов по расследованию инцидентов в Solar 4RAYS показывает, что даже при наличии множества установленных средств защиты и систем мониторинга можно найти лазейки: через устаревшее программное обеспечение, слабую аутентификацию или заброшенные учетные записи.
Компании часто пренебрегают правильными настройками встроенных средств защиты, считая их второстепенными. Мы же относимся к харденингу серьезно и рассматриваем его на одном уровне с самыми современными технологиями. Для этого создаем целенаправленные проекты с лучшими экспертами в соответствующих областях кибербезопасности. Эти инициативы интегрируются в общую программу, координатором которой выступает Архитектор кибербезопасности.
Такая практика позволяет организациям заметно укрепить свою оборону уже на начальном этапе без значительных финансовых вложений.
Как правильно тестировать работоспособность новой КСОИБ
Традиционные проверки систем комплексной защиты, такие как предварительные тесты, опытная эксплуатация и приемочные испытания, часто не дают полноценного представления о реальной эффективности системы.
Мы предложили другой подход: привлекаем извне экспертов по тестированию на проникновение. Эти специалисты возглавляют «красную команду», тогда как разработчики системы входят в «синюю». После этого несколько недель «красные» пытаются выявить и проэксплуатировать уязвимости, а «синие» защищают систему, демонстрируя ее устойчивость к кибератакам.
Основное отличие от традиционного тестирования в том, что «красная команда» должна продемонстрировать достижение всех ключевых бизнес‑целей различными путями, а не просто захватить домен компании и завершить атаку. «Синей» же нужно не только предугадывать атаки, но и в случае провала оперативно выявлять нарушения и устранять их. А такие ситуации, конечно, произойдут во время проверки.
Итогом эксперимента становится оценка вклада каждой составляющей КСОИБ, подтверждение ее потенциала для масштабирования и настройка каждого средства защиты информации. Все эти этапы, конечно, учтены Архитектором комплексной кибербезопасности в «дорожной карте» программы проектов.
