当交付成为一项管理任务
当公司保护个人数据、政府信息系统、关键信息基础设施、银行环境、工业网络、零售平台、企业周边或拥有大量用户的内部服务时,网络安全工具的供应变得至关重要。在这种情况下,仅仅询问价格并选择熟悉的品牌是不够的:您需要了解涵盖哪些风险、适用哪些要求、解决方案将如何适应架构以及发布后谁将负责运营。
此页面对于 CISO、CIO、架构师、采购团队、系统所有者、合规律师和项目经理非常有用。它可以帮助您将交付视为安全环境的一部分,而不是单独的许可证购买。
为什么价格和证书本身不能解决问题
证书、注册表中的产品注册、知名供应商和有吸引力的价格都很重要,但它们并不能回答主要问题:安全产品能否在您的环境中工作。在大型企业架构中,解决方案必须支持所需的操作系统、网络区域、用户目录、事件日志、监控、冗余、分支机构、云、工业领域、性能限制和变更过程。
RESTART 将交付与调查、顶层设计、详细设计、实验室验证、实施和维护联系起来。这种方式降低了产品购买但未集成、未向监控中心提供必要事件、与业务应用冲突或付款后需要返工等情况的风险。
关键术语说明
| 学期 | 解码 | 为什么这在分娩过程中很重要? |
|---|---|---|
| 是 | 网络安全。 | 保护数据、系统、用户和业务流程免遭机密性、完整性和可用性侵犯的组织和技术措施。 |
| 深圳国际 | 网络安全工具。 | 涵盖特定风险的软件、硬件或软硬件产品:访问、网络、数据、作业、应用程序、安全事件。 |
| CIPF | 加密信息保护的一种手段。 | 适用于加密、电子签名、安全通道、加密身份验证和其他任务的解决方案,其中俄罗斯联邦安全局的要求和关键信息的正确使用非常重要。 |
| FSTEC | 联邦技术和出口管制局。 | 技术网络安全领域的主要监管机构之一,对 GIS、ISPDn、CII 的保护要求以及某些类别的网络安全认证。 |
| 前端总线 | 联邦安全局。 | 监管循环对于密码学、CIPF、安全通信通道以及适用密码安全要求的问题非常重要。 |
| KIII | 关键信息基础设施。 | 对国家、工业、交通、通信、金融等行业具有重要意义的系统,其保护手段的选择与187-FZ和附则的要求相关。 |
| ISPD | 个人数据信息系统。 | 处理员工、客户、患者、用户或承包商的个人数据并应用 152-FZ 要求的环境。 |
| 地理信息系统 | 国家信息系统。 | 用于州或市政目的的系统,在构建保护时考虑了安全级别、威胁模型、组织和技术措施。 |
| HLD / LLD | 高层设计和详细技术设计。 | 将购买转化为架构解决方案的文档:我们购买什么、我们把它放在哪里、我们如何连接它、我们如何接受它以及我们如何支持它。 |
我们提供哪些类别的解决方案并与该项目相关?
周边和网络
下一代防火墙、Web 应用程序保护、分布式拒绝服务攻击保护、安全通道、网络访问、分段和监控日志。
加密保护
CIPF、安全虚拟专用网络、加密网关、公钥基础设施、硬件安全模块和受监管通信通道的解决方案。
工作站和服务器
端点保护、事件检测和响应、设备控制、可信启动、服务器安全和代理架构。
访问权限和特权
帐户管理、特权访问控制、多重身份验证、权限生命周期管理和目录集成。
数据和泄露
数据泄露预防、数据库控制、脱敏、去个性化、文件存储保护和下载控制。
监测和响应
安全事件收集、响应自动化、风险和合规性管理、漏洞管理、沙箱和威胁分析。
应用安全
静态和动态代码分析、软件构成分析、Web 和移动应用程序保护、软件接口测试和安全开发工具。
可调环境
适用于文件、证书和验收非常重要的 ISPD、CII、GIS、银行、工业、政府和分布式企业系统的解决方案。
RESTART 如何实现
要求
我们解决业务问题、风险、法规、当前系统、运营限制、预算框架和验收标准。
建筑学
我们将网络安全和加密网络安全类别与设计、网络区域、访问、日志、集成、冗余和维护程序相关联。
选择
我们创建一个简短的解决方案列表,检查兼容性、证书、许可、交付时间、支持条件和特定版本的限制。
飞行员
我们在实验室或有限环境上检查关键场景:事件、策略、负载、异常、管理和故障情况。
供应
我们准备规范,就许可证和设备的组成达成一致,与供应商和分销商合作,控制支持的完整性和条件。
执行
我们配置、集成、记录、进行验收、培训管理员并将解决方案转移到商业运营。
俄罗斯监管环境
在俄罗斯,防护设备的供应通常与特定的法律制度相关:个人数据和 152-FZ、关键信息基础设施和 187-FZ、政府信息系统、银行要求、商业秘密、行业法规和集团公司的内部政策。因此,在项目中,提前了解是否需要经过认证的产品、适用什么类别的解决方案、谁将管理系统、如何编译日志、威胁模型、操作文档和验收测试非常重要。
RESTART 不会取代监管机构,也不会将项目简化为与证书的正式链接。我们帮助将 FSTEC、FSB、内部网络安全标准和客户的实际基础设施的要求联系起来:组织措施足够的地方、需要特定类别的网络安全的地方、需要加密网络安全系统的地方、以及没有架构的采购会带来更多风险而不是收益的地方。
实用指南: 俄罗斯联邦科技经济合作委员会, FSTEC 网络安全威胁数据库, 法律信息官方互联网门户.
世界实践及现实意义
在成熟的网络安全系统中,交付不是从产品目录开始,而是从风险、控制和可验证的结果开始。作为管理框架,您可以使用 NIST Cybersecurity Framework 2.0:它有助于将网络风险与管理、保护、检测、响应和恢复联系起来。 CIS Controls 作为优先措施和可验证控制措施的实用清单,以及 MITRE ATT&CK 提供了一种用于评估攻击技术覆盖范围的通用语言。
对于 Web 应用程序和 API,适合依赖 OWASP Web Security Testing Guide,对于工作站和服务器 - 受保护的配置和变更控制,对于监控中心 - 事件和响应场景的质量。从应用意义上来说,这有助于不必购买一组不同的产品,而是有助于组装一个环境,其中每个保护措施都有一个所有者、场景、指标和运行位置。
人工智能如何帮助网络安全的选择和维护
人工智能不应独立选择安全措施、批准风险或更换网络安全架构师。但它可以成为日常分析的有用助手:将监管要求与内部政策进行比较,查找规范中的不一致之处,比较供应商文档,为试点准备问题,解析测试报告,对操作评论进行分组以及维护已交付解决方案的知识库。
对于 RESTART 来说,这是网络安全实践的自然延伸:企业搜索源、安全人工智能助手、文档访问控制、请求记录和闭环工作可帮助采购、网络安全、IT 和运营部门快速就解决方案达成一致,并在项目完成后减少知识损失。
企业得到什么?
| 结果 | 实际好处 |
|---|---|
| 明智的解决方案选择 | 采购基于风险、需求、架构和验证,而不仅仅是价格和演示。 |
| 降低不兼容的风险 | 版本、代理、网络设计、日志、性能、访问和操作限制在交付前经过测试。 |
| 明确的规格 | 交付内容包括许可证、设备、支持、证书、角色、集成和其他工作。 |
| 审批速度更快 | 网络安全、IT、采购、律师和系统所有者看到相同的选择逻辑,并且较少争论责任边界。 |
| 总拥有成本控制 | 实施、维护、培训、更新、基础设施、改进和未来的变化都被考虑在内。 |
| 过渡到运营 | 该解决方案并不停留在交付级别:出现法规、文档、控制点和开发计划。 |
交付成果
- 业务挑战、风险、监管要求和当前限制的地图;
- 网络安全和加密信息保护类别矩阵,并解释每个类别涵盖的风险;
- 按功能、认证、兼容性、拥有成本和支持列出的解决方案候选名单和比较表;
- 架构、基础设施、日志记录、访问、备份和维护的要求;
- 关键场景的实验室或试点方案;
- 交付规范:许可证、设备、支持、续订条件、限制和依赖性;
- 计划实施、验收、管理人员培训以及转入商业运营。
RESTART 的价值所在
当交付必须与架构、控制和操作相关时,RESTART 非常有用。我们不是作为产品目录,而是作为网络安全工程团队:我们可以进行调查、准备项目文档、组建试点、通过合作伙伴生态系统协调交付、实施解决方案并在发布后提供支持。
第一步实践
合理的做法是,不要从请求商业提案开始,而是从简短的诊断开始:我们保护哪些系统、适用哪些要求、已有哪些产品、许可证在哪里过期、哪些风险未涵盖以及真正需要购买哪些解决方案。然后,您可以毫不费力地继续进行试点、规范和交付。
常见问题
交付与实施有何不同?
供应方负责选择、配置、许可证、设备、证书、支持条件以及法律和采购部分。实施负责配置、集成、策略、验收、文档和移交。在大型项目中,最好将这些部分一起设计。
购买前什么时候需要试点?
如果解决方案影响网络、工作站、服务器、事件日志、访问、性能、受监管数据或关键业务流程,则需要进行试点。它有助于公司在购买工业套件之前检查兼容性。
是否可以只提供许可证而不提供项目?
是的,如果客户清楚地了解其组成、版本、架构和操作流程。但如果有监管机构、多个系统、分支机构、监控中心或复杂的集成,那么将交付与架构验证联系起来会更安全。
谁检查网络安全体系的证书和适用性?
RESTART 帮助收集和验证交付文档、解决方案类适用性、版本限制、基础设施要求和支持条款。有关监管适用性的最终决定必须得到客户负责人的同意。
如果已经购买了部分网络安全怎么办?
您可以从清单开始:哪些许可证正在使用、哪些许可证闲置、哪些许可证存在重复、哪些版本已过时、哪些事件不受监控以及哪些保护措施需要调整。
您与分销商和供应商合作吗?
是的。交付可以通过合作伙伴和分销生态系统进行。同时,RESTART负责选择的工程逻辑:需求、架构、试点、规范、实施和维护。
让我们讨论一下您的环境
描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。
