Я представлюсь. Меня зовут Головкин Денис, я руководитель специальных проектов компании «Код безопасности». Наверное, как заметил мой предыдущий докладчик, мне бы хотелось поделиться тем опытом, который мы накопили, общаясь непосредственно с заказчиками, тем, который сейчас формируют, создают фундамент критической инфраструктуры. И этот опыт я сегодня вам расскажу и попытаюсь передать те проблемы и те аргументы или какие нюансы, с которыми мы постоянно сталкиваемся, когда к нам обращаются именно за средствами защиты и просят оказать некую помощь.

В двух словах. Наша компания уже больше 20 лет на рынке. Мы отличаемся именно тем, что в большинстве мы предлагаем весь спектр нашего продукта, тот, который именно создает целый комплекс информационной безопасности. Мы покрываем не только одну какую-то часть – сеть, допустим, мы покрываем еще рабочие станции, сервера, виртуализацию, мобильные телефоны, сайты, порталы. Мы подходим именно концептуально, обеспечивая именно ту совместимость, которая необходима заказчику в принятии тех или иных, допустим, каких-то решений или совокуплений со своими информационными системами.

И отличием является то, что наш продукт совместим и интегрировать его с каким-то другими сложными продуктами нет необходимости. Все продукты нашей компании, они сертифицированные. Экспертиза, которая у нас накопилась за более чем 20 лет работы в компании и накопили большую базу заказчиков, поэтому есть опыт, которым мы можем с вами делиться и можем рассказывать с теми кейсами, с которыми непосредственно столкнулись.

Так что же такое комплексный подход? На следующей схеме более или менее схематично попытался изобразить именно комплексность. Когда мы говорим о том, что предприятие – это не только замкнутое пространство, это замкнутая какая-то территориальная среда или какие-то офисные здания, сотрудники, сервера. Это, на самом деле, огромная сеть, ведь корпорации зачастую создают и корпоративные сети, и корпоративные сервисы. У них есть какие-то определенные и серверное оборудование, и облачные ресурсы.

Поэтому, когда мы говорим о комплексности, мы говорим о том, что мы можем защитить не только территориальность, внутри какой-то компании, мы можем защитить ее и удалённость, географическую удаленность. Мы можем в рамках нашего ковида, с которым мы сейчас с вами столкнулись в режиме самоизоляции, наша компания сейчас предлагают даже на безвозмездной основе многим компаниям использовать наши услуги в части удаленного подключения. Мы раздаём эти лицензии, предприятиям предлагаем эту услугу, чтобы они даже удаленно, но защищенно могли работать, так скажем, с офисом, общаться с людьми, своими коллегами.

Так вот, в чем же, наверное, фундаментальность, с чем мы постоянно сталкиваемся, когда к нам обращаются заказчики, именно с теми вопросами, которые возникают у них по информационной безопасности. На что стоит обратить внимание именно корпорации, когда мы говорим таким тезисом, что все-таки в единстве это сила.

На самом деле, как у заказчика уже зачастую построена какая-то инфраструктура, он сталкивается со следующим задачами по обеспечению информационной безопасности. Это в те моменты, когда необходимо наложить или прикрутить, как мы уже говорим, какие-то средства информационной безопасности, чтоб они не мешали бизнесу, это первый момент. Чтобы бизнес продолжал дальше работать, была проведена какая-то интеграция более или менее плавно, чтобы в момент даже интеграции компания не останавливалась, продолжала работать, выполнять свои функции.

Плюс, если мы говорим сейчас про критическую инфраструктуру для заказчиков необходимо понимать – для компаний, каких-то концернов, что такое инцидент. Ведь, грубо говоря, если происходит какое-то событие информационной безопасности, можно ли придать ему критичность и стоит ли расценивать его как инцидент. И здесь, на самом деле, у большинства компаний возникает несколько вопросов. Если это корпорация, допустим, если какая-то разработана нормативка, методология нашими регулятором – ФСТЭК или ФСБ, есть ли какие-то регламенты, куда пойти, где посмотреть.

Второй момент, когда заказчик не понимает, как классифицировать этот инцидент – является ли он критическим, опасным, может ли он сам на него как-то отреагировать и может ли его сам в какой-то части, так скажем, ликвидировать. И эти тезисы, которые связаны с инцидентами именно при возникновении, с некоторыми, так скажем, какими-то опасными угрозами, зачастую не хватает компетенции у заказчика, он пытается найти, какой-то опыт у кого-то перенять, обратиться вендорам, которые строят такие решения и которые испытали на своем опыте, так скажем, эти проблемы, помогают им решить.

То есть, грубо говоря, у крупных корпораций, как рекомендация, может быть, и то, что мы сталкиваемся, постоянно не хватает именно компетенций опять же по тем же инцидентам – как его решить, куда, могу ли я его отправить, что мне за это будет. И на что сразу обращает тот или иной заказчик – это, наверное, на методологию, что не хватает, может быть, какой-то нормативки, не хватает каких-то документов, не хватает каких-то регламентов, если это мы участвуем в рамках корпорации. И зачастую заказчик говорит о том, что: «Я не знаю, как реагировать. Меня попросили отправить, я отправил инцидент». Но мы уже говорим о том, что в рамках корпорации, допустим, «Ростех», у них создан свой, так скажем, КЦОПЛ – это некий центр мониторинга и сбора всех событий по информационной безопасности. Но дальше же этот КЦОПЛ, он уже непосредственно коррелируется еще и с  ГосСОПКА НТЦКИ.

Тут надо понимать, что когда весь этот сбор данных происходит, мы же должны: а) на него реагировать; б) мы должны правильно понимать, расставлять приоритеты. Следующим пунктом я бы сказал, что это критичность. И на местах с этими со всеми, так скажем, важными моментами, приходится личностно разбираться, т.е. не хватает именно этой информации, что я могу передать, могу ли я это передать, как с этим бороться. И, наверное, призыв такой был бы как тезис – это все-таки разрабатывать некую методологию, документацию, делиться ей именно в рамках какой-то корпорации или каких-то организаций, передавать некий опыт.

Наверное, следующим аспектом, когда мы ездим по регионам, именно из опыта могу рассказать, что есть такой аспект, как ответственные сотрудники или наши кадры. Так в чем же здесь такая, не то что проблема, а скорее всего необходимость, которая должна была возникать на местах и которую необходимо решать заказчику, так скажем, может быть, удаленно, где-то регионально распределенно. Это квалификация некоторых сотрудников. Зачастую мы даже в свою сторону получаем какие-то не очень компетентные вопросы, но всегда стараемся компетентно на них ответить.

Поэтому на местах существует такая, так скажем, проблема, когда есть сотрудник ИБ, есть сотрудники IT, иногда зачастую у них не хватает не то что компетенции, а именно совместимости, совместной работы. То, что как раз Максим говорил о том, что есть некая конгломерация айтишников, есть ибэшников, иногда не хватает совместной компетенции, чтобы решить те или иные вопросы, связанные с инцидентом или каким-то решением по информационной безопасности.

Зачастую тем же заказчикам мы рекомендуем повышать свои знания, т.е. проходить какие-то учебные курсы, не знаю, читать какие-то методологии. Мы сами ведем какие-то вебинары. То есть именно с точки зрения того, что регулятор постоянно базу нормативки пополняет или ее как-то изменяет, постоянно актуализирует, и мы за этим актуализируем свои продукты, тем не менее постоянно рынок нормативки или как у нас сфера нормативки, она меняется и надо обязательно поддерживать этот набор знаний, который должен возникать непосредственно каждый раз после каких-то обновлений.

И, наверное, важным процессом здесь является не то что люди, а те процессы, которые выстраиваются. Ведь процессы формируются не только людьми, но и теми программными или аппаратными продуктами, который использует тот или иной заказчик у себя. Ведь от тех процессов, которые он построит, автоматизирует, будет влиять именно, наверное, оперативность принятия тех или иных решений. То есть я могу закупить какое-то оборудование, но не знать, как им пользоваться, и в тот момент я пропущу, допустим, какой-то инцидент или не смогу на него вовремя отреагировать. И здесь, наверно, следующим таким активным тезисом, наверное, с моей стороны было бы обозначить именно координацию.

На самом деле, когда создается, возможно, какая-то группа внутри компании тех людей, которые непосредственно должны отвечать за информационную безопасность или которые строить должны эти процессы вместе с IT, и, может быть, в рамках именно большой корпорации, возможно, и не хватает такого комитета или он нужен был бы, который, на самом деле, создал или сплотил эту компетенцию и смог ее дальше передавать внутри корпорации. Возможно, необходимо было бы унифицировать именно какие-то информационные решения в части информационной безопасности и IT.

Для чего это важно? Ведь зачастую когда мы говорим о том, что заказчик должен передавать свои инциденты в тот же НТЦКИ у корпорации «Ростех» или дальше в НТЦКИ ГосСОПКА, то здесь важным моментом является оперативность передачи, ведь есть на рынке очень много разных решений, которые непосредственно в себе именно из-за, так скажем, кодов могут какие-то решения усложняться, какие-то упрощаться и, возможно, было бы в лучшем случае порекомендовать что-то общее, что уже наработано практикой. Возможно, передавать свой опыт своим коллегам, рассказывать о том, что тот или иной продукт позволяет настроить быстрее, он более оперативный, более упрощенный, функционально лучше.

И, соответственно, непосредственно выбирать те решения, которые именно совместимость оказывают с информационными системами. Зачастую все дело уже построено и необходимо нам совокупляться и присоединятся. Это, на самом деле, очень сложно, потому что бизнес должен работать, и в тот момент, когда начинает на встроенный процесс накладываться информационная безопасность, мы говорим о том, что есть какие-то паузы, когда надо что-то отключить, какие-то сервисы, информационные услуги отключить, не знаю, какие-то финансовые системы и только в тот момент накладывать информационную безопасность. Поэтому здесь очень важный момент такой, что если мы все-таки начинаем что-то разрабатывать – новые услуги, новые сервисы, новые информационные системы, т.е. на первоначальном этапе было бы гораздо важнее закладывать именно часть информационной безопасности, обеспечивать ее в последующем бесшовную совместимость.

И, на самом деле, может быть, главным тезисом в моем докладе сегодня, наверно, это было единство. То, что корпорация, она все-таки большая, географически распределенная и необходимо все-таки внутри корпорации передавать этот опыт – возможно, через какую-то компетентную комиссию, возможно, через какой-то компетентный орган, аккумулируя в себе знания, накопленные от сотрудников, передавать этот опыт следующим компаниям. Ведь, на самом деле, помогать – это не плохо, помогать – это наоборот оказывать какую-то, на самом деле, пассивную услугу, тем самым уменьшая, так скажем, время реагирования на какие-то, допустим, инциденты, возникающие у заказчика. Или мы говорим о том, что мы снизим время на знания, которые заказчик смог бы получить, т.е. мы поделимся этим опытом, но этот опыт он бы получал гораздо, так скажем, больше по временному какому-то отрезку.

И в этом, наверное, единстве, которое будет, так скажем, совокупляться в каком-то органе или в какой-то комиссии, ведь она позволит: а) выработать общие методики; 2) дать свой опыт, предоставить какие-то регламенты, помочь синтегрировать те или иные решения, основываясь на своем опыте. Возможно, порекомендовать те или иные продукты, возможно, порекомендовать компетентных партнеров, которые умеют это настраивать и, возможно, у них уже такие опыты есть. И в рамку именно корпорации, если бы существовал такой орган или, допустим, на базе того же созданного органа НТЦКИ, который аккумулируют в себе эти все инциденты, возможно было бы там наращивать компетенцию, передачу опыта, обмен специалистами, знаниями.

И из нашего опыта что бы можно было порекомендовать? Почему я в первом слайде говорил, что мы единственная компания на российском рынке, которая именно полный спектр информационной безопасности, техрешений закладывает именно в свои продукты?

Как вы видите на слайде, у нас решения разнообразные, мы, на самом деле, закрываем, если по информационной безопасности говорить, в нашей части мы закрываем процентов, наверное, 70-80. Именно нашими одними продуктами, те, которые обеспечивают так в себе совместимость, что не надо совокуплять с другими какими-то аппаратными программными решениями. Мы не конфликтуем друг с другом, с нашими продуктами. У нас большой опыт опять же централизации наших продуктов, т.е. на одной панели управления мы можем управлять до сотни тысяч лицензий или одним же аппаратным продуктом можем управлять тысячей континентов, которые обеспечивают картографическую защиту сетей.

И здесь тот опыт, который мы успели, так скажем, получить в рамках каких-то заказчиков, в рамках создания огромных сетей корпоративных, распределенных как географически, так и внутри одной территории, этот опыт мы готовы, так скажем, показывать и рассказывать о нем. И если говорить про те требования, которые мы выполняем своими продуктами в части категорирования критической инфраструктуры, то, как видно на слайде, на самом деле, мы закрываем всеми своими продуктами все категории, которые есть по значимости в критической инфраструктуре, связанные с инцидентами. Единственное они отличаются только подходами, это первое, разноплановостью наших продуктов.

Но, опять же повторюсь, это не весь спектр продуктов информационной безопасности или IT, который необходимо применять на практике у себя внутри компании или именно тем компаниям, которые категорирование провели, вывели у себя какие-то субъекты критической инфраструктуры, которые необходимо защищать. И планомерно необходимо не то что с передачи опыта, еще раз повторюсь, передавать тот накопленный результат, который у вас есть, но передавать и то, как у вас это работает, как эти процессы выстроены у вас в компании, как эти процессы выстраивать более правильно, на это затрачивая гораздо меньше времени.

И самым своим тезисом, наверное, последним я хотел бы сказать, что в части, так скажем, конгломерации или объединения большой структуры, которая объединяет в себе очень много компаний или каких-то дочерних обществ или филиалом, наверное, хотелось бы сказать о том, тот опыт, который накопила, допустим, одна компания, ей необходимо передавать все-таки в рамках корпорации другой компании, делиться этим опытом. Возможно, делиться знаниями, может быть, даже и специалистами, показывать тот опыт, который они нарастили. Возможно, показывать какие-то решения, возможно, рекомендовать каких-то партнеров, т.е. именно в общении. И если будет тот руководитель или тот комитет, какая-то организация условно внутри корпорации, она позволит обмениваться этим опытом. На самом деле, это было бы гораздо более эффективно и с точки зрения информационной безопасности, и с точку зрения нашей тематики КИИ.

И еще раз повторюсь, тот опыт, который у нас есть, мы готовы не то что передавать, а готовы им делиться. Если есть вопросы. Спасибо.

Спасибо, Денис Викторович. Да, в корпорации у нас есть целый Департамент  безопасности, который должен курировать собственно эти вопросы. Это как раз тот центральный орган, который должен управлять. Я имею в виду, если мы говорим про «Ростех». Вопросы есть какие-то к докладчику? Да, пожалуйста.

Спасибо за информацию. Мартынов Юрий. Вопрос такой. Говоря о критической инфраструктуре, здесь наверняка все специалисты понимают информационную безопасность. А есть ли у вас рекомендации, вы говорите про большой опыт накопленный, которые касаются отличия обеспечения безопасности критической инфраструктуры от обычной инфраструктуры предприятия?

Да, спасибо большое за вопрос. На самом деле, я еще раз повторю, что наша продукт: а) сертифицирован … ФСБ – это те два регулятора, которые выпускают нормативную законодательную базу, так скажем, для наших корпораций, организаций, государственным ведомств, министерств. Если мы говорим про критическую инфраструктуру, то здесь вступает нормативка, главенствующий закон 187 Федеральный закон о КИИ, в котором конкретно написаны конкретные средства защиты, как информационные системы должны категорироваться, какие должны быть описаны те или иные процессы и что мы должны защищать. Там есть большой, на самом деле, перечень, так скажем, подпунктов тех или иных средств защиты, которые необходимо устанавливать на каких-то наших рабочих процессах.

С точки зрения того опыта, который у нас накопился не по КИИ, по нему также есть другие федеральные законы. Непосредственно регулятор ФСТЭК – это 17, 21 приказы, 31-й, плюс у нас есть закон «О защите персональных данных» 152-ФЗ. В рамках этих же нормативных материалов или законодательных инициатив, которые у нас сейчас действуют, у нас также эти все продукты используются, т.е. КИИ, оно и вышло немного из этих всех нормативов, которые у нас созданы. По факту, если закачивать уже защитил свою инфраструктуру по 17, 21 ФСТЭК, внутри компании обрабатывает ту же самую персональную информацию, конфиденциальную информацию и он уже защитил ее средствами защиты, то по факту он уже выполнил некоторые требования и КИИ поэтому. Поэтому здесь из одной нормативки вытекает другая нормативная. Но КИИ мы говорим о том, что оно более направлено именно на критичность процесса. Допустим, если в компании какой-то, не знаю, становится, будут похищены персональные данные, на самом деле, персональные данные не нанесут какого-то особого вреда. Если мы говорим про критическую инфраструктуру, здесь именно процесс остановления кризиса, он очень важен, ведь бизнес – во-первых, это и деньги, и производство, и люди, и если мы говорим о том, что инцидент может произойти, нанести, допустим вред здоровью. Поэтому есть опыт и там, и там.