Компания Axenix представила новую услугу для локализации ИБ-инфраструктуры в соответствии с особыми требованиями к информационной безопасности субъектов КИИ, системообразующих и системно значимых предприятий.
Axenix выводит на рынок услугу по локализации ИБ-инфраструктуры, которая включает в себя комплекс мер по организации и трансформации ИБ-ландшафта компаний и организаций, являющихся субъектами КИИ, системообразующими или системно значимыми (в соответствии с президентским указом № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» от 01.05.2022).
Услуга включает в себя оценку рисков и разработку/актуализацию стратегий ИБ и ИТ, в том числе анализ текущего состояния, разработку целевого состояния, gap-анализ, формирование дорожных карт, перечня инициатив, оценку сроков, стоимости, экономического эффекта и других аспектов пересборки ИБ-ландшафта.
Кроме того, специалисты Axenix будут сопровождать клиентов в реализации стратегий, проводить оценку рисков и их влияния на бизнес, займутся разработкой и внедрением операционной модели, процессов и модели сорсинга функции ИБ.
Также консультантами будет разрабатываться целевая архитектура ИТ и ИБ, проводиться выбор производителей/поставщиков решений, внедрение и интеграция соответствующих требованиям законодательства средств защиты информации и инфраструктурных компонентов в ландшафт заказчика. На завершающей стадии специалисты проведут анализ защищенности, поиск уязвимостей и Red Team тестирование (имитация внешней кибератаки) обновленного ландшафта.
Указ Президента РФ от 01.05.2022 № 250 предполагает, что уже с января 2025 года российские компании обязаны прекратить использование любых ИБ-инструментов и ресурсов из текущей версии официального списка недружественных иностранных государств (49 стран, включая США, Великобританию и членов ЕС).
Под действие указа подпадают государственные организации и органы власти, стратегические предприятия и госкорпорации, относящиеся к критической информационной инфраструктуре (КИИ), системообразующие и системно значимые предприятия.
Те компании, на которых распространяется действие указа № 250, обязаны предпринять ряд мер: назначить заместителя директора по ИБ с профильным образованием и создать отдельное ИБ-подразделение. Для защиты данных такие организации должны привлекать только тех подрядчиков, кто имеет лицензию ФСТЭК на осуществление технической деятельности по защите конфиденциальной информации, работать с ГосСОПКА (государственными системными центрами обнаружения, предупреждения и ликвидации последствий кибератак), а также предоставлять ФСБ неограниченный доступ к ИТ-инфраструктуре по запросу для мониторинга безопасности.
«Исходя из нашей практики и наблюдений за рынком, оптимальный выбор заключается в подготовке к цифровой независимости, а не в резком переходе в новую реальность. При таком сценарии закладываются основы для дальнейшего развития по сценариям carve out или замещения продуктов из недружественных стран. При этом оцениваются все риски, затраты на ПО, оборудование и работы, в том числе на реализацию решений и их последующее сопровождение. Проводится отбор подходящих вендоров, подсчитывается экономическая эффективность предстоящих шагов», — отметил Николай Ульрих, директор практики инфраструктурного консалтинга и ИБ Axenix.
Решение Axenix предназначено для подбора оптимальных сценариев перехода на продукты и решения под запросы конкретной организации, оценки рисков и выбора оптимальных программных и аппаратных компонентов для новой ИБ-инфраструктуры.
«Такой взвешенный подход позволяет выбрать действительно качественные и надежные решения, взвесить плюсы и минусы разных продуктов, оптимизировать бюджет и сделать переход на новый ландшафт плавным и постепенным. При этом времени на реализацию требований указа осталось не так много», — прокомментировал Николай Ульрих.