27 Августа 2025 11:30 27 Авг 2025 11:30 |

Поделиться

Константин Липаткин, inSales: Уровень зрелости подходов к информационной безопасности в ИТ-сфере в России крайне неоднороден

«Служба ИБ должна проактивно встраиваться во все ключевые процессы компании»

CNews: С какими основными трудностями сталкиваются компании в вашей отрасли при организации процессов информационной безопасности?

Константин Липаткин: Главным было соблюдение баланса между скоростью разработки и безопасностью: бизнес требовал как можно быстрее выводить новые функции на рынок, а служба безопасности должна была контролировать процессы и минимизировать риски. Для этого была необходима гибкая система управления, которая не замедляла бы разработку и одновременно обеспечивала защиту.

Ситуацию осложняла нехватка квалифицированных специалистов в области информационной безопасности — дефицит кадров затруднял внедрение комплексных решений и поддержание необходимого уровня защиты. Отдельным направлением работы оставалась защита персональных данных, особенно в контексте требований российского законодательства, таких как ФЗ-152 «О персональных данных», что означало постоянный мониторинг и адаптацию внутренних процессов.

Еще одной значимой задачей было управление рисками, связанными с подрядчиками. По нашему опыту, значительная часть угроз исходит именно от сторонних организаций, имеющих доступ к конфиденциальной информации. Поэтому особое внимание уделялось контролю над третьими лицами и управлению цепочками поставок.

CNews: Как вы видите развитие роли службы информационной безопасности в компании в ближайшие 2–3 года?

Константин Липаткин: По нашему мнению, в ближайшие годы служба информационной безопасности (ИБ) трансформируется из функции технической поддержки в стратегически значимый элемент системы управления бизнес-рисками. Это особенно актуально для компаний в сфере электронной коммерции, где цифровая инфраструктура активно взаимодействует с внешними экосистемами.

Учитывая масштабную интеграцию с внешними сервисами — маркетплейсами, службами доставки, платежными шлюзами и онлайн-кассами, — обеспечение безопасности межсистемного взаимодействия становится критически важным. В таких условиях служба информационной безопасности должна не просто реагировать на инциденты, но и проактивно участвовать в ключевых бизнес-процессах.

Это предполагает участие в проектировании архитектуры информационных систем с учетом принципов безопасности по умолчанию, обязательный аудит и оценку рисков при подключении сторонних подрядчиков и партнеров, а также развитие программ управления уязвимостями и внедрение практик ответственного раскрытия информации.

Не менее важной задачей остается автоматизация процессов мониторинга, обнаружения и реагирования на инциденты, что повышает скорость и эффективность работы. Важную роль играет и соблюдение требований по защите персональных данных, а также безопасная обработка конфиденциальной информации.

В ближайшей перспективе особое внимание будет уделено управлению данными: их классификации, контролю доступа и выполнению регуляторных норм. В этом контексте служба ИБ становится не только техническим, но и организационно-управленческим инструментом, формирующим культуру безопасности на уровне всей компании.

CNews: Как вы оцениваете зрелость подходов к информационной безопасности в ИТ в России?

Константин Липаткин: Уровень зрелости подходов к ИБ в российском ИТ-секторе остается существенно неоднородным. С одной стороны, есть компании, которые лишь начинают формировать систему информационной безопасности или сводят ее к формальному соответствию базовым требованиям. С другой — крупные игроки, особенно в регулируемых отраслях, демонстрируют высокий уровень зрелости: внедряют международные стандарты, автоматизируют процессы и интегрируют ИБ в стратегическое управление.

Организации, входящие в состав крупных экосистем, вынуждены соответствовать жестким требованиям к защите данных, что стимулирует системные инвестиции в безопасность и постоянное развитие процессов. В целом, разброс по уровню зрелости значителен — от минимального до практически максимального.

CNews: Какие уроки из вашего опыта вы бы могли выделить для компаний, которые только начинают строить процессы ИБ?

Константин Липаткин: Ключевой урок — не стремиться охватить все сразу, особенно при ограниченных ресурсах. На начальном этапе важно трезво оценить имеющиеся кадровые и финансовые возможности и сосредоточиться на защите наиболее критичных информационных активов.

Постепенное развитие системы ИБ должно сопровождаться формализацией базовых процессов: управление доступом, контроль учетных записей, реагирование на инциденты. При этом необходимо выстраивать культуру информационной безопасности — включая регулярное обучение сотрудников, повышение осведомленности и вовлеченность персонала в ИБ-процессы с первых шагов.

CNews: Как изменилась работа службы информационной безопасности с другими подразделениями компании в условиях удаленного или гибридного формата?

Константин Липаткин: Взаимодействие службы ИБ с другими подразделениями стало более плотным и системным. У нас уже был значительный опыт удаленной работы, накопленный с 2015 года, что позволило заранее выстроить устойчивые процессы.

Основные изменения коснулись фокуса: сегодня ключевое внимание уделяется контролю удаленных рабочих мест, управлению доступом к облачным сервисам, обеспечению безопасности при использовании персональных устройств и организации удаленной поддержки сотрудников по вопросам ИБ. При этом резко вырос объем обращений — запросы поступают через разные каналы: электронную почту, мессенджеры, звонки. Эффективное управление этой нагрузкой стало важной задачей.

Служба ИБ все чаще выступает как партнер для других функций — от ИТ и разработки до HR и маркетинга. Например, перед публикацией любой маркетинговой кампании лендинги проходят обязательное согласование с ИБ. Мы проверяем их на наличие уязвимостей веб-приложений, соответствие требованиям по защите персональных данных (включая ФЗ-152), а также оцениваем рекламные материалы на предмет соблюдения нормативных и рекламных регуляторных норм. Такой подход позволяет минимизировать риски как с точки зрения кибербезопасности, так и с точки зрения репутации и комплаенса.

«Чем полнее охват систем в процессе сбора и анализа событий безопасности, тем выше точность обнаружения и оперативность реагирования»

CNews: Когда вы поняли, что вам нужно SGRC-решение для управления ИБ в компании — какие факторы повлияли на это решение? Насколько переход к единой системе был связан с необходимостью соответствовать методике зрелости или централизованным требованиям?

Константин Липаткин: Решение о внедрении SGRC-платформы было вызвано необходимостью соответствия требованиям методики оценки зрелости информационной безопасности, в которой системное управление рисками и централизованный контроль являются обязательными элементами.

Изначально платформа выбиралась как инструмент для построения процессов ИБ. Однако в ходе внедрения мы выяснили, что встроенный модуль управления ИТ-активами позволяет эффективно решать и задачи ИТ-подразделения. Это дало возможность начать совместное использование системы, что повысило отдачу от инвестиций.

На текущем уровне развития нашей организации такой подход оказался наиболее сбалансированным с точки зрения «цена-качество» — он обеспечивает достаточный уровень автоматизации без избыточной сложности и затрат.

CNews: Что стало решающим фактором в выборе SECURITM среди других систем на рынке? Как проходил процесс пилота и интеграции?

Константин Липаткин: Ключевым фактором при выборе SECURITM SGRC стало сочетание гибкости платформы и ориентированности команды на клиента. На этапе пилотного внедрения мы заранее согласовали цели, сроки и критерии успеха, а также организовали еженедельные сессии по оценке прогресса. Все этапы были реализованы в установленные сроки.

Особое впечатление произвела готовность разработчиков адаптировать систему под наши задачи: в ходе пилота была реализована дополнительная интеграция с внутренней специализированной системой, изначально не поддерживавшаяся продуктом. Это позволило глубже интегрировать платформу в существующую инфраструктуру.

Также важным критерием стало соотношение цены и функциональности. По сравнению с альтернативными решениями SECURITM оказался наиболее сбалансированным по порогу входа, скорости внедрения и удобству использования. На текущем уровне зрелости нашей системы ИБ это решение стало оптимальным выбором.

CNews: Какие модули вы внедрили в первую очередь и почему?

Константин Липаткин: Первым был внедрен модуль управления ИТ-активами. Он стал основой для старта проекта и позволил вовлечь ИТ-подразделение в процесс, предоставив им инструмент для эффективного учета и контроля инфраструктуры. Это сыграло ключевую роль в формировании доверия к платформе и обеспечило поддержку со стороны технических команд.

После полного учета активов в системе мы последовательно подключили модули управления уязвимостями, контроля соответствия требованиям (compliance) и оценки рисков. Отдельное внимание уделено модулю отчетности и метрик — он позволяет визуализировать состояние информационной безопасности, отслеживать динамику процессов и обосновывать управленческие решения на основе данных.

С расширением интеграций с внутренними системами растет и охват событий безопасности, что напрямую повышает качество мониторинга и оперативность реагирования.

CNews: Какую роль SECURITM SGRC играет в построении зрелой и согласованной архитектуры информационной безопасности? Помогает ли он в достижении целевого уровня зрелости, заданного методикой оценки?

Константин Липаткин: Хочу уточнить — SECURITM сам по себе не формирует зрелость системы ИБ — это результат работы людей и процессов. Однако платформа существенно упрощает демонстрацию достигнутого уровня зрелости, особенно в контексте аудитов и проверок соответствия.

Мы систематически загружаем в SECURITM необходимые артефакты, фиксируем выполнение требований и актуализируем статус контрольных мероприятий в течение года. Благодаря этому к моменту аудита все документы уже структурированы и доступны в единой системе.

Ранее подготовка занимала около двух недель напряженной работы. Сегодня мы можем собрать полный пакет за два дня — а при необходимости и за один. Это позволяет избегать авральной нагрузки, сохранять стабильность текущих процессов и сосредоточиться на развитии системы безопасности, а не на ее «доказывании».

CNews: Возникает ли у вас необходимость адаптировать ИБ-решения под внутренние процессы компании, не выходя за рамки нормативов? И как часто приходится искать компромисс между удобством и соответствием?

Константин Липаткин: Многие требования в рамках используемых методик оценки носят рекомендательный характер, что позволяет учитывать специфику бизнеса при построении процессов информационной безопасности. Мы стараемся выстраивать ИБ-подходы так, чтобы они соответствовали как регуляторным ожиданиям, так и внутренней логике работы компании.

В тех случаях, где нормативы допускают гибкость, мы адаптируем контрольные мероприятия под реальные процессы — например, учитывая масштаб, архитектуру или особенности разработки. Отклонения возникают редко, только при наличии обоснованной потребности и в пределах допустимого риска. При этом все адаптации фиксируются и согласовываются в установленном порядке.

Такой подход позволяет находить баланс между эффективностью безопасности, удобством для бизнеса и устойчивым соответствием требованиям.

CNews: Как изменилась работа службы информационной безопасности после внедрения SECURITM — единой системы управления всеми процессами? Какие процессы стали проще или прозрачнее?

Константин Липаткин: Внедрение SECURITM кардинально повысило прозрачность и оперативность работы службы ИБ. Благодаря интеграциям с ключевыми системами мы получили единое информационное пространство, в котором данные о состоянии инфраструктуры обновляются в режиме реального времени.

Сейчас в режиме онлайн отслеживаем такие критические метрики, как уровень покрытия антивирусными агентами, работоспособность решений EDR, применение двухфакторной аутентификации, состояние учетных записей, а также охват устройств агентами MDM и DLP. Ранее сбор этих данных был ручным, фрагментарным и занимал значительное время. Сегодня — это часть повседневного мониторинга.

При выявлении отклонений, например, низкого охвата EDR или отключенных агентов защиты, мы оперативно локализуем проблему и взаимодействуем с ИТ-подразделением, опираясь на конкретные данные. Это сокращает время реагирования, исключает субъективные оценки и повышает эффективность координации между командами.

«EDR, DLP, MDM — теперь мы видим не только наличие агентов, но и их реальную эффективность»

CNews: Что бы вы порекомендовали компаниям, которые только начинают рассматривать возможность внедрения единой системы управления процессами информационной безопасности? На что стоит обратить особое внимание?

Константин Липаткин: Прежде чем выбирать платформу, важно четко понять, какие задачи вы хотите решить. Начинать с подбора системы — ошибка. Сначала стоит проанализировать внутренние потребности: для кого-то ключевая цель — сокращение времени на подготовку к аудитам, для других — управление рисками, соответствие стандартам или автоматизация контроля за активами.

Рекомендую сначала выстроить процессы хотя бы в простых инструментах — например, в таблицах. Это поможет понять логику работы, выявить узкие места и сформировать требования к системе. Только после этого стоит переходить к выбору решения.

При отборе платформы обращайте внимание на рисковую модель. Решения, построенные на простом списке требований с галочками, дают иллюзию контроля. Важно, чтобы система поддерживала оценку и приоритизацию рисков — это основа эффективного управления ИБ.

Выбор сегодня в значительной степени ограничен рамками импортозамещения. Акцент стоит делать на отечественных решениях, которые поддерживают актуальную нормативную базу — включая ГОСТы, профильные постановления и отраслевые методики оценки зрелости. Критически важна гибкость системы: возможность загружать собственные стандарты, настраивать контрольные мероприятия и адаптировать процессы под специфику бизнеса. Например, мы смогли интегрировать в платформу методику, которая на тот момент еще не была общедоступной, — это стало важным преимуществом.

Не бойтесь пилотных внедрений. Они позволяют протестировать систему в реальных условиях, оценить удобство работы и соответствие ожиданиям. Мы не искали «самое топовое» решение, а выбрали то, что наилучшим образом закрыло наши задачи на текущем этапе.

И главное — вовлекайте команду с самого начала. Система должна стать единым рабочим инструментом для всей службы ИБ. Чем раньше сотрудники начнут в ней работать, обмениваться данными и опытом, тем выше будет вовлеченность и тем проще пройдет масштабирование.

Поделиться

Подписаться на новости Короткая ссылка