Проекты в области информационной безопасности, безусловно обладая многими типичными чертами ИТ-проектов корпоративного уровня, имеют и ряд отличительных черт. Об этом, в частности, свидетельствует внедрение комплекса систем антивирусной и антиспамовой защиты в компании МХК «ЕвроХим».
Проект в фактах
Компания МХК «ЕвроХим» представляет собой характерный пример географически распределенного производственного бизнеса строгой отраслевой направленности, управление которым централизовано. С точки зрения ИТ каждое региональное предприятие обладает стандартной инфраструктурой. К внешней электронной почте сотрудники получают доступ через центральный сервер, расположенный в Москве. Локальными ресурсами являются персональные компьютеры, файловый сервис, почтовая система, Microsoft Active Directory, системы оперативного и резервного хранения данных и антивирусной защиты.
В качестве корпоративного стандарта комплексной антивирусной защиты компания выбрала продукты Trend Micro, которые по мнению начальника Управления ИТ МХК «ЕвроХим» Дмитрия Феклисова обеспечивают наиболее комплексную защиту корпоративных технологий от вирусов и спама. «Сначала мы рассматривали вариант нескольких антивирусных подсистем для каждой подзадачи комплексного решения, — говорит он. — Но впоследствии отказались от этой идеи, поняв, что повышение эффективности мультивендорного решения будет целиком “съедаться” растущими затратами на поддержку сразу нескольких продуктов. Поэтому мы остановились на продуктовой линейке единого поставщика, тем более что Trend Micro имеет весьма тесные партнерские отношения с такими компаниями, как Cisco и IBM, решения которых являются корпоративным стандартом и у нас».
На каждом региональном предприятии МХК «ЕвроХим» внедрена система антивирусной защиты персональных компьютеров и серверного оборудования; решения по спам-контролю и защите Web-трафика являются централизованными и реализованы на базе московского офиса. Полностью автоматизирована регламентная часть, включая запуск ряда процедур проверки на наличие вирусов и процедур обновления ПО по расписанию. Все эти функции реализованы посредством следующих продуктов TrendMicro: Trend Micro NeaTSuite Enterprise Edition; Trend Micro Spam Prevention Solution; Trend Micro EPS Bundle.
Содержательными вопросами по техническому сопровождению продуктов, а также консультациями по внедрению занималась компания «Прикладная Логистика» — совместно с сертифицированным дистрибьютором TrendMicro в России и странах СНГ. «В отношении внедрения мы продвинулись уже весьма далеко, и у нас не было существенных претензий ни к продуктам, ни к партнеру TrendMicro на российском рынке, — говорит начальник ИТ-Управления ИТ МХК “ЕвроХим”. — Вместе с тем выполнение комплексного проекта в области антивирусной защиты сопряжено с рядом объективных сложностей, обойти которые пока непросто. Кроме того, такие проекты значимы для бизнеса и достигаемый результат здесь зависит в том числе и от успехов в смежных направлениях автоматизации бизнеса». Опыт рассмотрения комплексных корпоративных проектов в области ИБ в нашем журнале подсказывает и нам, что они обладают рядом своеобразных черт. Похоже, что черты эти в известной мере проявились и в ходе данного внедрения.
От планирования — через анализ — к действию
Для большинства масштабных информационных проектов любой направленности само понятие комплексности, как правило, трактуется не только в функциональном смысле, но и через процессные характеристики внедрения. В общем случае под этим имеется в виду использование целого набора инструментов, которые обеспечивают дальнейшее развитие проекта. Это могут быть средства разработки, входящие сейчас в состав подавляющего большинства прикладных систем, а в последнее время и в интеграционные платформы; могут быть средства анализа и моделирования бизнес-процессов и некоторые другие системы. Все они в совокупности позволяют замкнуть ИТ-поддержку знаменитого цикла Демминга (спланируй — сделай — проверь — действуй), в соответствии с которым ведется непрерывное развитие практически любой прикладной системы в бизнесе, в том числе и информационной.
В случае применения систем антивирусной защиты мы прежде всего говорим об анализе текущей ситуации с угрозами, о планировании дальнейших действий в области комплексной антивирусной защиты и их непосредственной реализации. Однако по прошествии времени мы вынуждены снова возвращаться к анализу угроз, и цикл запускается снова.
Здесь при выстраивании механизмов непрерывного совершенствования решения, особенно если это классическая бизнес-система, принято полагаться на информационную поддержку. Другими словами, если в классической ситуации стимулом к развитию ИТ-систем являются конкретные и видимые всем факты изменения бизнес-процессов, то в случае развития систем ИБ некий идеальный (хотя уже нередко используемый на практике) сценарий несколько иной. Спрогнозировать ситуацию на будущее, полагаясь на какие-то очевидные факты, здесь трудно. Но применяя специализированные аналитические инструменты, оперирующие понятиями, алгоритмами и отчетами, характерными именно для систем информационной безопасности, вероятность появления и развития тех или иных угроз можно оценить статистически. Экспертами предприятия эта вероятность накладывается на те риски в области ИБ, которые обусловлены спецификой конкретного бизнеса. Затем принимается решение о настройке имеющихся систем или, может быть, о внедрении новых. Через определенное время статистика инцидентов накапливается уже в новой конфигурации, и цикл развития повторяется на новом этапе.
Для того чтобы сформировать «равнопрочную» защиту и сделать это в проактивном режиме, по таким схемам работают и в компании МХК «ЕвроХим». «Подобной аналитикой мы, специалисты ИТ-департамента, занимаемся совместно с сотрудниками отдела информационной безопасности, — рассказывает Дмитрий Феклисов. — Другими словами, функционал, заложенный в продукты TrendMicro, позволяет просигнализировать о том, что имеется некоторая вероятность известной вирусной эпидемии и об этом свидетельствуют вполне определенные признаки. Или, например, что в ближайшее время может иметь место некая новая вирусная активность. Это дает возможность постоянно, проактивно и на основе объективной информации корректировать некоторые параметры защиты, а также прогнозировать высококачественное развитие решения». По словам начальника Управления ИТ МХК «ЕвроХим» регулярно такая работа начала проводиться уже несколько месяцев назад, после того как в файлах регистрации событий был накоплен необходимый минимум исторической информации.
Составляющие фактора надежности
Развитие решения в области антивирусной защиты, проводимое за счет вышеописанных итераций, можно считать в большей мере тактическим. Стратегия же развития подобных систем, как и в случае любого корпоративного ИТ-проекта, определяется глобальной бизнес-стратегией. Вместе с тем в данном случае влияние скорее оказывается не напрямую, а через промежуточное звено в виде прикладной и системной ИТ-инфраструктуры. Другими словами, конфигурация данной инфраструктуры определяется задачами бизнеса, а в обеспечении гарантий ее бесперебойной работы далеко не последнюю роль играют адекватные меры, которые предпринимаются в области информационной безопасности. Следовательно, и в данном случае встает пресловутая проблема взаимодействия с бизнесом, которое, как известно, может осуществляться в разных формах — от изложения общих перспектив развития (что предусматривает максимальную свободу выбора решения со стороны ИТ) до указания внедрить конкретный продукт. В ситуации с компанией МХК «ЕвроХим» переговоры с бизнесом о развертывании ИБ-продуктов в той или иной конфигурации ведутся на уровне качества предоставления тех или иных информационных сервисов.
«ИТ-поддержка бизнеса в нашей компании в значительной степени сосредоточена вокруг функций нашей единой ERP-системы и соответственно вокруг того, насколько мы способны обеспечить надежное функционирование инфраструктурных решений, — поясняет Дмитрий Феклисов. — Мы должны знать и знаем, во сколько обойдется бизнесу, например, простой модуля управления продажами в ERP-системе в течение, скажем, часа или десяти минут. Соответственно можем предложить конкретный, выраженный в численном виде уровень надежности и доступности тех аппаратных компонентов, которые связаны с работой этого модуля во всей нашей распределенной структуре. Конечно, данный уровень определяется не только антивирусной защитой, хотя и она здесь играет не последнюю роль».
То есть речь в данном случае идет о некой промежуточной ситуации, когда ИТ с проблем отдельных продуктов и технологий «поднимаются» до выделения ИТ-сервисов и определения численных параметров их качества. В свою очередь и бизнес воспринимает ИТ-проблематику на том же уровне качества и стоимости сервисов, опускаясь на него с уровня постановки стратегических бизнес-задач. Чтобы адекватно вести разговор таким образом, крайне желательно, чтобы развитие информационной безопасности в компании было сопряжено с иными направлениями, которые на российском рынке развиваются весьма интенсивно. Правда, формально с проблемами ИБ они вроде бы не связаны и ассоциируются с ними очень редко. Речь идет о близкой идеям ITIL концепции каталога ИТ-услуг и соглашениях об уровне их предоставления бизнесу [Service Level Agreement — SLA]. Смежным с ИБ направлением, обеспечивающим, в частности, более качественное развитие последнего, является мониторинг и анализ работы инфраструктуры предприятия, осуществляемый в контексте его текущих бизнес-проблем.
Каталог услуг призван обеспечить возможность при любых вариантах обсуждения качества работы информационных систем (в которых антивирусные средства играют далеко не последнюю роль) вести разговор в терминах ИТ-сервисов. Параметры SLA, как известно, позволяют договариваться об условиях их предоставления в количественных терминах. «В нашей компании уже есть каталог ИТ-услуг, — утверждает Дмитрий Феклисов. — Сейчас для каждого из этих сервисов мы как раз прорабатываем параметры SLA, предусматривающие количественное определение таких факторов, как доступность сервиса, варианты его предоставления, время подключения, восстановления и т. д.»
Наконец, весьма значимым можно считать развитие смежных с информационной безопасностью направлений. Ведь даже имея идеально проработанный каталог и объективные соглашения об уровне сервиса, мы в любом случае решаем проблему качества сервисов комплексно, обеспечивая решение общей задачи за счет аппаратной надежности серверов, функционирования внутрикорпоративных коммуникаций (особенно в распределенных компаниях, подобных МХК «ЕвроХим»), системного ПО, архитектурных приемов и, разумеется, надежности систем информационной безопасности. Стабильно работающий, но при этом не защищенный от угроз программно-аппаратный комплекс нельзя ассоциировать с эффективным решением, равно как неразумно вкладывать серьезные ресурсы в обеспечение защиты систем, риски выхода из строя которых весьма велики.
В компании МХК «ЕвроХим» делается серьезная ставка на инструменты мониторинга ИТ-инфраструктуры и управления ею, и это направление развивается в том числе и в качественном аспекте. Под качественным развитием имеется в виду внедрение в будущем инструментов мониторинга приложений и переход к комплексному управлению инфраструктурой, включающему, по словам начальника Управления ИТ МХК «ЕвроХим», помимо управления инцидентами также (в терминологии ITIL) процессы управления проблемами и изменениями. «Мониторинг нашей весьма развитой инфраструктуры мы реализуем и в дальнейшем собираемся развивать средствами IBM Tivoli. У данного продукта очень богатые возможности, хотя и их нам недостаточно. Наша задача состоит еще и в том, чтобы анализировать проблемы, возникающие у пользователей, строить определенные прогнозы и проактивно решать проблемы в развитии ИТ-инфраструктуры, которые с заранее просчитанной вероятностью возникнут завтра», — комментирует ситуацию начальник Управления ИТ компании МХК «ЕвроХим».
Здесь мы по сути имеем дело с тем же циклом Демминга, призванным обеспечить непрерывное повышение надежности ИТ-систем, — в данном случае за счет совершенствования процессов управления инфраструктурой. И точно так же, как и в случае антивирусных средств, данное развитие наиболее эффективно реализуется при использовании инструментов мониторинга и анализа текущего состояния, а также средств прогнозирования развития ситуации в будущем. То есть культура внедрения средств ИБ и инструментов управления прикладной и системной инфраструктурой оказывается весьма схожей. Если же учесть, что оба эти направления в конечном итоге вносят аддитивный вклад в обеспечение надежности того или иного сервиса (а степень надежности, в свою очередь, принято измерять количественно), то их параллельное развитие становится особенно актуальным. И это, в частности, понимает руководство компании МХК «ЕвроХим».
Если выходить напрямую
Адекватное развитие комплексного решения в сфере ИБ, которое уже достигло определенной степени зрелости и которое сопряжено с применением других информационных и методологических стандартов на предприятии, порождает еще одну проблему. На нее явно указывают руководители ИТ-подарзделения МХК «ЕвроХим». Речь идет о взаимодействии с поставщиком решения, и дело здесь опять-таки в некоторой специфике проектов по информационной безопасности. С одной стороны, направление, связанное с антивирусной защитой, по определению имеет глобальный характер, и поэтому выгодно иметь дело с известным глобальным поставщиком, активно отслеживающим ситуацию с угрозами по всему миру. Тем более, что антивирусные системы являются, быть может, уникальной категорией корпоративного ПО, где тенденции не определяются ни заказчиком, ни производителем, а целиком диктуются текущей ситуацией с распространением угроз. Это требует оперативного и в то же время весьма серьезного анализа ситуации со стороны поставщика, и к числу таковых безусловно принадлежит Trend Micro.
С другой стороны, по достижении некоего условного порога в развитии решения в большей степени требуются периодические прямые контакты между поставщиком решения и заказчиком, чего, по словам начальника Управления ИТ МХК «ЕвроХим», сейчас компании как раз сильно не хватает. Все контакты идут через «прикладную логистику», что создает объективные трудности. «По достижении определенного этапа в развитии корпоративного решения по антивирусной защите заказчик должен становиться своего рода членом глобального сообщества заинтересованных сторон, центром которого может выступать поставщик решения, и от Trend Micro можно слышать по сути те же самые лозунги. Некоторые вопросы оперативно можно решать только напрямую. К сожалению, мы в России пока лишены такой возможности, и даже независимо от качества работы местного партнера это возводит лишние барьеры на пути развития наших проектов», — говорит Дмитрий Феклисов.
А сравнить последствия подобной ситуации как раз есть с чем. По вопросам внедрения решений Tivoli, которое, как мы отметили, во многом должно развиваться по схожему сценарию, возможность прямого выхода на поставщика как раз существует. Конечно, такое положение дел отчасти обусловлено историческими причинами. Ведущие поставщики ИТ-инфраструктуры традиционно присутствовали в нашей стране очень давно, в то время как их коллеги из сферы информационной безопасности до сих пор часто не имеют даже собственных представительств в России. И это, кстати, относится не только к Trend Micro. Да и партнерские связи в первом случае налажены, наверное, получше.
Достоинства прямой поддержки
Михаил Кондрашин, руководитель центра компетенции Trend Micro в России и СНГ
Одной из самых существенных составляющих любого проекта является качество поддержки продукта, которую предлагает производитель. Принципиально важен выбор уровня поддержки, отвечающего потребностям клиента. Для компаний, которые строят комплексную защиту на основе продуктов и сервисов Trend Micro, предлагается Premium Support Program — прямой сервис по поддержке от производителя. В рамках программы Trend Micro закрепляет за этим клиентом необходимое количество специалистов и предоставляет доступ к специальному порталу, который позволяет направлять отчеты об инцидентах и контролировать соблюдение оговоренного в контракте времени реакции. Одним из уникальных для индустрии элементов программы поддержки является денежная компенсация, выплачиваемая при несоблюдении двухчасового времени реакции на вирусный инцидент.