adminНачиная с 2022 года государственный и коммерческий сектора нашей страны находятся под шквалом кибератак. Защита критических айти-процессов превратилась из вчерашней роскоши в сегодняшнюю необходимость. Информационная безопасность — тренд номер один в развитии ИТ страны. И это касается не только крупных компаний, но и малого и среднего бизнеса (МСП). Несмотря на то, что МСП не имеет больших бюджетов, мы также вынуждены искать эффективные средства киберзащиты, чтобы было оптимальное соотношение в балансе цена-качество.
Я руководитель быстро растущей компании, занимающейся торговлей электроникой через маркет-плейсы и b2b системы. В 2022-м году мы выросли в объемах сделок в четыре раза и так же в 2023. Кратный рост обеспечивает внедрение новых IT-решений для автоматизации работы с поставщиками и покупателями. Для нас работоспособность наших систем взаимодействия с API поставщиков и трансляция фидов — жизненная потребность. В случае DDos-атаки или адресного воздействия на узлы нашей оболочки мы сразу начинаем нести серьезные убытки. И чем больше времени требуется на устранение внешней агрессии, тем потери становятся чувствительнее. Было принято рациональное решение — инвестировать в защиту нашей IT-службы.
Хочу поделиться своим практическим опытом при выборе решения и набором критериев, на которые стоит обратить внимание, возможно, это будет полезно коллегам по цеху. Мы в Smart-Trade понимаем, насколько сейчас важно обеспечить информационную безопасность, и плотно занимаемся решением этой задачи. В частности, недавно мы задумались о приобретении системы SGRC (Security Governance, Risk, Compliance). SGRC интересует нас в первую очередь с целью автоматизации рутинных операций (сотрудников больше не становится), управления рисками кибербезопасности, обеспечения соответствия законодательству, стандартам и лучшим практикам (комплаенс), обеспечения непрерывности основных процессов бизнеса.
Исходили из аксиом, что на рынке есть серьезные, зарекомендовавшие себя продукты таких вендоров, как R‑Vision, Security Vision, ePlat4m, и стоят они немало. Так что надо «затянуть пояса» и рассматривать их или искать более бюджетный вариант, который в то же время будет решать нужные нам задачи. Мы пошли по второму пути и после недолгих поисков наткнулись на SGRC компании SECURITM (СЕКЪЮРИТМ). Стоимость этого ПО заявлена в разы ниже, чем продукты вендоров, упомянутых выше. Прайс лист у коллег открытый, поэтому большого открытия не сделаю:
- Онпремис установка, 1 455 000 руб.
2. Облачная версия от 375 000 руб./год до 575 000 руб.
Движимые сильным экономическим интересом и исследовательским азартом, мы приступили к изучению этого решения, надеясь, что чудеса возможны и перед нами — простая, эффективная и крайне дешевая SGRC, которая вот-вот взорвет рынок. Ниже расскажу о результатах нашего исследования.
Смутило, конечно, на старте то, что:
— Компания не имеет лицензий ФСТЭК и ФСБ для выполнения работ, связанных с информационной безопасностью. Нет никаких лицензий в целом.
— При этом в облако (самый бюджетный вариант внедрения и декларируемый как приоритетный производителем) передаются данные, связанные с деятельностью компаний — Заказчиков. Но поскольку мы рассматривали только установку в периметр, не сильно задумывались о SaaS подходе.
— Среднесписочная численность сотрудников в компании за 2020, 2021, 2022 год — 1 человек. Количество людей не растет за годы компании. Но все же, цена очень привлекла.
— Продукт де-юре не продукт информационной безопасности (ни по классификации Минцифры, ни по ФСТЭК или ФСБ), зарегистрирован за № 11924 в Реестре отечественного ПО как:
- 12.20 Информационные системы для решения специфических отраслевых задач
- 05.11 Интеллектуальные средства управления экспертной деятельностью
- 63.11 Услуги по обработке данных, размещению и взаимосвязанные услуги
На сайте коллег очень много информации про информационную, экономическую и физическую безопасность, но само решение де-юре не является средством защиты информации, не имеет сертификации ФСТЭК по уровню доверия и не содержит функций безопасности. Это смутило, но как понял это маркетинг коллег, и возможно когда-то они станут продуктом ИБ. К примеру, встретили на сайте Сколково информацию об IRP в продукте, но таких функций в продукте нет. Опять же мы не госструктуры и для нас это не жесткое требование, главное функции. И тут цена затуманила глаза).
К делу
Скажу сразу, что в свое время работал с продуктами класса SGRC, больше международными, поэтому есть понимание важности разных критериев и глубина технических знаний. При тестировании решения подготовили критерии по тем модулям, которые рассматривались всерьез.
Модуль управления активами (ITAM)
Модуль представляет собой возможность ведения реестра активов с ручным выстраиванием взаимосвязей между ними, что делает его бесполезным. Внутренняя экспертиза не заложена. Модель данных для каждого конкретного типа актива не предусмотрена. Отсутствует автоматизация, только ручной ввод. В наличии интеграция с Active Directory, а также импорт активов через Excel. Других интеграций не предусмотрено.
Модуль управления рисками
В продукте отсутствует встроенная модель угроз. Доступно ведение реестра угроз с возможностью оценки рисков, но без привязки рисков к конкретному активу. Оценка риска проводится по формулам с отсутствием валидаций, что может приводить к противоречащим логике результатам. Отсутствует автоматизация и возможность кастомизации для внедрения пользовательских методик расчета.
Модуль управления соответствием (Compliance)
Модуль представляет собой жестко фиксированный функционал, позволяющий заполнить информацию по стандартам и оценить процент соответствия требованиям с точки зрения заполняющего. Оценивать можно только одну организацию и по факту одним человеком. Одностороняя интеграция с Jira не позволяет автоматически обновлять статусы, поэтому работать придется полноценно в двух интерфейсах. Невозможно расширить или модифицировать функционал. Нет возможности апробировать собственную методологию работы. Функционал навязывает свой подход без возможности адаптации под требования Заказчика.
Модуль управления техническими уязвимостями
Продукт представляет собой возможность ведения реестра уязвимостей, полученных от внешних сканеров уязвимостей. Обогащение уязвимостей не предусмотрено. Нет возможности регулярного запуска сканирований внутреннего или внешних сканеров и автоматической обработки результатов. Нет своего сканера.
Общие модули (управление задачами, опросы, автоматизации RPA)
Продукт заявлен как сервис автоматизации процессов управления информационной безопасностью. Поставляется как коробочное решение с модулями управления активами, уязвимостями, рисками, контролем соответствия требованиям и стандартам и другими. Обеспечивается возможность ручного создания объектов. Не предоставляется возможность кастомной настройки и расширения функционала. Внутренняя экспертиза не поставляется (за исключением некоторого количества защитных мер в модуле Compliance). Ни один из модулей не является полностью проработанным и завершенным. Вопрос автоматизации без наличия функционала рабочих процессов ставит под вопрос целесообразность внедрения решения.
Выводы
Вывод прост: чуда не произошло, как бы мы этого ни хотели. Было потрачено время на исследования и тестирования. В итоге мы вернулись в исходную точку выбора.
Это оказался больше инструмент, похожий на CRM или Сервис деск, но без рабочих процессов и на ручном управлении. Нам не хватило в продукте экспертизы ИБ в виде контента «из коробки» и гибкости для автоматизации ИБ. Возможно, кому-то хватит, судить сложно.
Теперь для нас демпинговые цены — скорее повод насторожиться. На этом наша эпопея с поисками бюджетных вариантов закончена, следующий этап — изыскание бюджета на зрелое качественное решение, которое повысит уровень информационной безопасности нашей компании до приемлемого. Возможно, у зарекомендовавших себя вендоров появится и бюджетное решение высокого качества. Считаю ценным и важным поделиться нашим опытом исследования актуального рынка ИБ РФ, что будет полезно коллегам по цеху в выборе решений SGRC.
Автор: Даниил Камбулов, директор по развитию Smart-Trade.