Всем привет!
Сегодня я хотел бы рассказать о проекте по внедрению системы защиты конфиденциальной информации на 5600 автоматизированных рабочих мест. Этот кейс мы реализовали в прошлом году. Он вобрал в себя множество типовых и уникальных проблем, которые могут возникнуть при внедрении в больших организациях. «Очень больших» — намекает картинка.
Источник
Крупный военный завод. К сожалению, военные заводы не любят, когда распространяются об их деятельности в области безопасности и на каждом шагу упоминают их названия. Поэтому будем для лаконичности называть объект внедрения просто – военный завод.
На заводе работают порядка 16 000 человек на 5600 автоматизированных рабочих местах (АРМах). Инфраструктура расположена в двух ЦОДах плюс в мобильном ЦОДе. Итого 119 объектов/отделов на 15 площадках.
Вендоров называть не буду, чтобы не сочли за рекламу. Лучше расскажу про сроки. Начало работ — 15 июля 2019 года, окончание — 27 декабря 2019 года.
Можно долго дискутировать, какие проекты проще: ИТ или ИБ. С одной стороны, ИБ-проекты сильно опираются на готовую нормативную базу, что упрощает выбор технических решений и организационных мероприятий. ИТ-проекты же крайне бизнес-зависимы (за исключением инфраструктурных, конечно). В первую очередь здесь необходимо учитывать требования функционального заказчика, который будет взрывать мозг вам и вендору.
Но сложность ИБ-проектов кроется как раз в той самой нормативной базе. Когда требование есть, но реализовать его невозможно, во всяком случае в рамках текущего времени и бюджета. В противном случае или это требует изменения такого количества процессов в производстве, что вы даже не захотите начинать об этом думать.
В рамках данного проекта мы должны были выполнить (сокращенный перечень):
Не вдаваясь в подробности конкретных положений, те, кто с ними сталкивался, думаю, могут представить конкретные проблемы реализации. Однако хотелось бы заострить внимание на следующих моментах.
Здесь мало что можно порекомендовать. В случае невозможности реализовать конкретное мероприятие, его можно попробовать согласовать с региональным регулятором. При замене технических мер организационными, если вы точно не укладываетесь в сроки, необходимо подготовить план мероприятий, который должен включать:
Источник
Так случилось, что данный проект изначально вел другой интегратор. В течение трёх лет по всем правилам был проведен аудит и техническое проектирование. В начале 2019 года завод готов был заключить договор с единственным поставщиком на работы по внедрению, но… интегратор ушел, что называется, «в несознанку». Он перестал отвечать на письма и звонки, а когда все же удалось с ним связаться, ответил, что данный проект его не интересует.
Это породило две проблемы – в проекте была чужая спецификация, и сроки уже начали поджимать.
Чужая спецификация в информационной безопасности — не такая уж и большая проблема. Как уже упоминалось, на рынке средств защиты информации круг решений скромный, и от большинства знаешь, чего ожидать.
Проблема крылась в другом: за строчкой в спецификации – 5600 СДЗ - может скрываться внедрение на одной площадке, а может и по всей области (в итоге площадок оказалось 15). В данной строке не виден парк конечных станций, их распределение и готовность к внедрению.
Плюс к этому из спецификации не прослеживалось, что реализованы все необходимые подсистемы безопасности. Также в проекте была заложена SIEM-система, что накладывало дополнительные ограничения на подключаемые средства защиты и системы. Вишенкой на торте стала спецификация серверного оборудования в составе трех серверов, одной СХД и одного ноутбука (!), что, мягко говоря, маловато.
В этот момент стало понятно, что, если и ввязываться в данный проект, то необходимо провести минимум рекогносцировку на местности. Так как изначальный проект можно изучить только на месте, мы сформировали команду из четырёх человек, усилились представителями вендоров и выехали на объект.
Посмотрев первоначальный проект и предполагаемые проблемы, стало понятно, что всю спецификацию надо менять. Например, прошлый проектировщик заложил 2000 плат СДЗ с локальным (!) управлением, что должно было стать катастрофой ещё на этапе внедрения.
Мы изменили спецификацию: просто заменили конкретные позиции без увеличения количества и качества. Теперь все стало хотя бы напоминать рабочее решение, но повлекло за собой фундаментальные проблемы, которые чуть не привели к краху всего внедрения. Подробности ниже.
В связи с отказом от выполнения работ предыдущего поставщика сильно сократился срок внедрения. Первоначально планировалось все реализовать за 12 месяцев, но т.к. пришлось организовывать конкурс, его отыгрывать, проводить пресейльные мероприятия, согласовать и организовать подписание договора по 44-ФЗ с казначейским сопровождением, в чистом остатке на внедрение у нас оставалось менее 6 месяцев.
В принципе, этот срок был уже на грани возможностей. Камнем преткновения стала установка 5600 плат СДЗ (средство доверенной загрузки, которое защищает рабочую станцию на этапе загрузки BIOS). Каждая плата должна быть установлена в компьютер путем нехитрых манипуляций: прийти на место, выгнать пользователя, снять крышку корпуса, вставить плату, загрузиться, протестировать плату, провести настройку, завинтить крышку, отдать компьютер пользователю.
В идеале, это занимает 15 минут. При планировании же мы ориентировались на час работы. Итого 5600 трудо-часов. Применив нехитрые статистические методы, стало ясно, что на эту работу потребуется минимум 10 человек. Собственно, на этом работу можно было бы и закончить. Ни один интегратор в здравом уме не отправил бы 10 инженеров в командировку из Москвы на 3 месяца крутить компьютеры. Во-первых, это очень дорого и накладно, а, во-вторых, это верный способ этих инженеров потерять.
Выручило нас то, что у ЛАНИТ в данном регионе есть ресурсный центр (у нас их несколько по России), который плотно взаимодействует с региональными вузами. В этот момент у них начался очередной раунд стажировки студентов. Договорившись с коллегами, обеспечив транспорт, питание и контроль над молодыми специалистами, мы получили 15 стажеров на внедрение плат.
15 июля 2019 года ГИП, руководитель проекта, три аналитика и три инженера из Москвы, 15 студентов-стажеров, руководитель ресурсного центра, его заместитель, бригадир стажеров и два представителя вендоров зашли на завод, чтобы начать работу.
Через 166 дней мы вышли с завода. Это были трудные 166 дней, но я о них не жалею. Я рассказал лишь о малой части сложностей, с которыми мы столкнулись. Были еще сложности согласования и коммуникации, настройки и распечатки документов. Не буду описывать особенности коммуникации на каждой из стадий. Заострю лишь внимание на единственном решении, доступном исполнителю. Любую устную договоренность необходимо фиксировать письменно. Даже если все трое представителей заказчика пришли к определенному решению, завтра они совершенно спокойно могут об этом «забыть», и вы начинаете обсуждение сначала.
Способов закрепления договоренностей немного (в порядке убывания).
Это лишь малая часть проблем, с которой мы столкнулись. Несмотря ни на что, проект был нами сдан вовремя и уже прошел несколько проверок. Заказчик остался доволен, и мы продолжили с ним сотрудничество.
Надеюсь, и вы довольны, что прочитали мой пост. Буду рад ответить на вопросы.
Сегодня я хотел бы рассказать о проекте по внедрению системы защиты конфиденциальной информации на 5600 автоматизированных рабочих мест. Этот кейс мы реализовали в прошлом году. Он вобрал в себя множество типовых и уникальных проблем, которые могут возникнуть при внедрении в больших организациях. «Очень больших» — намекает картинка.
Характеристика объекта внедрения
Крупный военный завод. К сожалению, военные заводы не любят, когда распространяются об их деятельности в области безопасности и на каждом шагу упоминают их названия. Поэтому будем для лаконичности называть объект внедрения просто – военный завод.
На заводе работают порядка 16 000 человек на 5600 автоматизированных рабочих местах (АРМах). Инфраструктура расположена в двух ЦОДах плюс в мобильном ЦОДе. Итого 119 объектов/отделов на 15 площадках.
Вендоров называть не буду, чтобы не сочли за рекламу. Лучше расскажу про сроки. Начало работ — 15 июля 2019 года, окончание — 27 декабря 2019 года.
Специфика ИБ-внедрений
Можно долго дискутировать, какие проекты проще: ИТ или ИБ. С одной стороны, ИБ-проекты сильно опираются на готовую нормативную базу, что упрощает выбор технических решений и организационных мероприятий. ИТ-проекты же крайне бизнес-зависимы (за исключением инфраструктурных, конечно). В первую очередь здесь необходимо учитывать требования функционального заказчика, который будет взрывать мозг вам и вендору.
Но сложность ИБ-проектов кроется как раз в той самой нормативной базе. Когда требование есть, но реализовать его невозможно, во всяком случае в рамках текущего времени и бюджета. В противном случае или это требует изменения такого количества процессов в производстве, что вы даже не захотите начинать об этом думать.
В рамках данного проекта мы должны были выполнить (сокращенный перечень):
- постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
- приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- приказ ФСТЭК России от 28.02.2017 № 31 «Об утверждении Требований к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых организациями оборонно-промышленного комплекса»;
- приказ ФСТЭК России от 29.05.2009 № 191 «Об утверждении Положения по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну»;
- приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Не вдаваясь в подробности конкретных положений, те, кто с ними сталкивался, думаю, могут представить конкретные проблемы реализации. Однако хотелось бы заострить внимание на следующих моментах.
- Система защиты должна была быть аттестована, а потом проверена регуляторами, что очевидным образом максимально повышает приоритет задаче: неукоснительное выполнение требований.
- Требования прописаны в государственном контракте, и несмотря на то, что в данном списке есть неприменимые к заводу нормативно-правовые акты (НПА), их требования необходимо выполнять.
- Некоторые НПА предъявляют разные требования к одним и тем же элементам, а следовательно реализовывать их надо будет все. Т.е., если один НПА предъявляет минимальные требования, а другой – повышенные, реализовывать надо будет по максимуму.
- В информационной безопасности, к сожалению, небольшой перечень решений, которые можно было бы применить. Так что если средство защиты не подходит к конкретной ИТ-архитектуре, то заменить его очень сложно, тем более в рамках четкого ТЗ по 44-ФЗ.
- При отсутствии технической возможности выполнения требований, можно применить организационные мероприятия. Но это потребует огромного количества согласований и может растянуться на годы в такой огромной организации, как военный завод. А срок исполнения проекта ограничен.
Здесь мало что можно порекомендовать. В случае невозможности реализовать конкретное мероприятие, его можно попробовать согласовать с региональным регулятором. При замене технических мер организационными, если вы точно не укладываетесь в сроки, необходимо подготовить план мероприятий, который должен включать:
- Четкие этапы внедрения новых мер.
- Сроки данных этапов.
- Ответственных за выполнение плана.
- Обязательное обучение сотрудников и ответственных.
- Быть принятым на уровне организации.
Чужой проект
Так случилось, что данный проект изначально вел другой интегратор. В течение трёх лет по всем правилам был проведен аудит и техническое проектирование. В начале 2019 года завод готов был заключить договор с единственным поставщиком на работы по внедрению, но… интегратор ушел, что называется, «в несознанку». Он перестал отвечать на письма и звонки, а когда все же удалось с ним связаться, ответил, что данный проект его не интересует.
Это породило две проблемы – в проекте была чужая спецификация, и сроки уже начали поджимать.
Чужая спецификация
Чужая спецификация в информационной безопасности — не такая уж и большая проблема. Как уже упоминалось, на рынке средств защиты информации круг решений скромный, и от большинства знаешь, чего ожидать.
Проблема крылась в другом: за строчкой в спецификации – 5600 СДЗ - может скрываться внедрение на одной площадке, а может и по всей области (в итоге площадок оказалось 15). В данной строке не виден парк конечных станций, их распределение и готовность к внедрению.
Плюс к этому из спецификации не прослеживалось, что реализованы все необходимые подсистемы безопасности. Также в проекте была заложена SIEM-система, что накладывало дополнительные ограничения на подключаемые средства защиты и системы. Вишенкой на торте стала спецификация серверного оборудования в составе трех серверов, одной СХД и одного ноутбука (!), что, мягко говоря, маловато.
В этот момент стало понятно, что, если и ввязываться в данный проект, то необходимо провести минимум рекогносцировку на местности. Так как изначальный проект можно изучить только на месте, мы сформировали команду из четырёх человек, усилились представителями вендоров и выехали на объект.
Посмотрев первоначальный проект и предполагаемые проблемы, стало понятно, что всю спецификацию надо менять. Например, прошлый проектировщик заложил 2000 плат СДЗ с локальным (!) управлением, что должно было стать катастрофой ещё на этапе внедрения.
Мы изменили спецификацию: просто заменили конкретные позиции без увеличения количества и качества. Теперь все стало хотя бы напоминать рабочее решение, но повлекло за собой фундаментальные проблемы, которые чуть не привели к краху всего внедрения. Подробности ниже.
Время внедрения
В связи с отказом от выполнения работ предыдущего поставщика сильно сократился срок внедрения. Первоначально планировалось все реализовать за 12 месяцев, но т.к. пришлось организовывать конкурс, его отыгрывать, проводить пресейльные мероприятия, согласовать и организовать подписание договора по 44-ФЗ с казначейским сопровождением, в чистом остатке на внедрение у нас оставалось менее 6 месяцев.
В принципе, этот срок был уже на грани возможностей. Камнем преткновения стала установка 5600 плат СДЗ (средство доверенной загрузки, которое защищает рабочую станцию на этапе загрузки BIOS). Каждая плата должна быть установлена в компьютер путем нехитрых манипуляций: прийти на место, выгнать пользователя, снять крышку корпуса, вставить плату, загрузиться, протестировать плату, провести настройку, завинтить крышку, отдать компьютер пользователю.
В идеале, это занимает 15 минут. При планировании же мы ориентировались на час работы. Итого 5600 трудо-часов. Применив нехитрые статистические методы, стало ясно, что на эту работу потребуется минимум 10 человек. Собственно, на этом работу можно было бы и закончить. Ни один интегратор в здравом уме не отправил бы 10 инженеров в командировку из Москвы на 3 месяца крутить компьютеры. Во-первых, это очень дорого и накладно, а, во-вторых, это верный способ этих инженеров потерять.
Выручило нас то, что у ЛАНИТ в данном регионе есть ресурсный центр (у нас их несколько по России), который плотно взаимодействует с региональными вузами. В этот момент у них начался очередной раунд стажировки студентов. Договорившись с коллегами, обеспечив транспорт, питание и контроль над молодыми специалистами, мы получили 15 стажеров на внедрение плат.
15 июля 2019 года ГИП, руководитель проекта, три аналитика и три инженера из Москвы, 15 студентов-стажеров, руководитель ресурсного центра, его заместитель, бригадир стажеров и два представителя вендоров зашли на завод, чтобы начать работу.
Через 166 дней мы вышли с завода. Это были трудные 166 дней, но я о них не жалею. Я рассказал лишь о малой части сложностей, с которыми мы столкнулись. Были еще сложности согласования и коммуникации, настройки и распечатки документов. Не буду описывать особенности коммуникации на каждой из стадий. Заострю лишь внимание на единственном решении, доступном исполнителю. Любую устную договоренность необходимо фиксировать письменно. Даже если все трое представителей заказчика пришли к определенному решению, завтра они совершенно спокойно могут об этом «забыть», и вы начинаете обсуждение сначала.
Способов закрепления договоренностей немного (в порядке убывания).
- Протокол рабочей группы с подписями участников (за полгода я подписал их десятки).
- Официальное письмо заказчика. Часто, чтобы что-то двинулось, надо, чтобы заказчик послал соответствующий запрос или требование. Разумеется, это письмо будете писать вы.
- Официальное письмо исполнителя. Если нет ничего лучше, пишите официальные письма. Проблема данного способа в том, что письмо совершенно спокойно может потеряться в канцелярии или у секретарей. У нас однажды 15 коробок с платами потерялось на проходной, что уж говорить о листе бумаги.
- Проектная документация. Иногда при понимании всех причастных можно требуемое прописать в утверждаемых документах. Мол, оно всегда там было.
- Письмо электронной почтой. В крайнем случае фиксируйте все в электронной переписке. В случае чего вы сможете сослаться на то, что информировали заказчика. Хотя шансов немного.
Это лишь малая часть проблем, с которой мы столкнулись. Несмотря ни на что, проект был нами сдан вовремя и уже прошел несколько проверок. Заказчик остался доволен, и мы продолжили с ним сотрудничество.
Надеюсь, и вы довольны, что прочитали мой пост. Буду рад ответить на вопросы.