«Зачастую решение об отказе от внешнего подрядчика воспринимается как чисто управленческое и финансовое. На деле это техническое решение, требующее декомпозиции закрываемых функций, поиска их аналогов во встроенных или штатных инструментах и проведения миграции с минимальным простоем. Этот процесс, особенно в контексте регуляторных требований, может стать инструментом для повышения собственной экспертизы и усиления контроля над инфраструктурой.»
Почему возникает вопрос об отказе
Решение не появляется на пустом месте. Обычно ему предшествует одна или несколько причин, которые накапливаются со временем. Финансовая составляющая — самая очевидная: стоимость услуг подрядчика растёт, а бюджет на безопасность остаётся прежним или сокращается. Техническая причина — разочарование в качестве сервиса: медленная реакция на инциденты, обновление правил обнаружения с задержкой, неспособность адаптироваться под специфичные внутренние процессы компании.
Но есть и менее очевидный триггер — регуляторный. При проверке по 152-ФЗ или требованиям ФСТЭК факт передачи функций защиты информации третьей стороне всегда требует дополнительного обоснования. Необходимо подтвердить, что подрядчик сам соответствует требованиям, имеет необходимые аттестаты, а договор включает все обязательные пункты о защите данных. Иногда проще и надёжее доказать соответствие требованиям регулятора для своих, встроенных средств, чем для внешнего сервиса, внутреннюю кухню которого вы не контролируете.
Декомпозиция: что именно делает подрядчик
Прежде чем что-то заменять, нужно точно понять, что заменять. Услуги подрядчика в сфере ИБ редко бывают монолитными. Обычно это набор функций. Ваша задача — разбить их на атомарные компоненты.
- Мониторинг и СОД (Система обнаружения вторжений): анализ сетевого трафика, журналов событий (Windows Event Log, журналы марш рутизаторов, межсетевых экранов), выявление аномалий и известных атак.
- Анализ уязвимостей: регулярное сканирование сети, хостов, веб-приложений на наличие известных уязвимостей (CVE). Формирование отчётов и рекомендаций по устранению.
- Управление инцидентами (SIEM): агрегация событий из разных источников, корреляция, расследование инцидентов, ведение тикетов.
- Антивирусная защита и предотвращение вторжений на конечных точках (EDR/XDR): контроль запускаемых процессов, анализ поведения, изоляция заражённых узлов.
- Анализ защищённости конфигураций: проверка настроек операционных систем, баз данных, сетевого оборудования на соответствие базовым профилям безопасности (например, CIS Benchmarks).
Составьте таблицу, где в одной колонке — функция подрядчика, во второй — конкретные выполняемые им задачи, а в третьей — критичность этой функции для вашего бизнеса и соответствия 152-ФЗ.
Поиск аналогов во встроенных средствах
После декомпозиции начинается инвентаризация. В большинстве корпоративных сред уже есть инструменты, способные взять на себя часть функций. Их часто недооценивают или не используют на полную мощность.
Операционные системы
Современные серверные и клиентские ОС содержат мощные встроенные средства безопасности. Windows Server с Advanced Audit Policy, Windows Defender ATP (теперь Microsoft Defender для конечных точек) предоставляет не просто антивирус, а полноценные возможности EDR. Механизмы AppLocker или WDAC (Защитник приложений Windows) позволяют реализовать политики контроля приложений. В мире Linux это подсистема аудита auditd, средства mandatory access control вроде SELinux или AppArmor, встроенные брандмауэры (iptables, nftables, firewalld).
Пример: вместо покупки отдельного решения для контроля целостности файлов (FIM) можно использовать встроенные возможности auditd в Linux для мониторинга критичных каталогов или PowerShell/WMI на Windows для периодического снятия хэшей.
Сетевое оборудование и межсетевые экраны
Корпоративные межсетевые экраны давно перестали быть просто фильтрами пакетов. Функции IPS (предотвращение вторжений), анализа трафика, фильтрации URL, контроля приложений — всё это есть в современных моделях. Часто эти лицензии уже приобретены, но не активированы или не настроены. Глубокий анализ возможностей вашего Cisco ASA, Check Point, FortiGate или отечественного «Инфотекс» может выявить готовые замены для внешнего сервиса мониторинга сетевых атак.
Средства виртуализации и облачные платформы
Платформы вроде VMware vSphere, Microsoft Hyper-V или российских облачных решений имеют встроенные средства для мониторинга производительности и безопасности. VMware vSphere имеет Distributed Firewall, возможность тегирования ВМ и применения политик безопасности на основе тегов. Многие забывают, что эти функции позволяют сегментировать трафик внутри ЦОД на уровне гипервизора, что часто входит в требования регуляторов.
Бесплатные и open-source инструменты
Этот слой — ключевой для заполнения пробелов. Комбинация нескольких специализированных инструментов может заменить целый коммерческий продукт.
- Для мониторинга и сбора логов: Elastic Stack (Elasticsearch, Logstash, Kibana) или Graylog. Позволяют агрегировать логи со всех систем, производить по ним поиск и строить дашборды.
- Для анализа уязвимостей: OpenVAS (ныне Greenbone Vulnerability Manager) — мощный сканер с регулярно обновляемой базой уязвимостей.
- Для обнаружения сетевых вторжений (NIDS): Suricata или Zeek (ранее Bro). Анализируют сетевой трафик в реальном времени, выявляя аномалии и сигнатуры атак.
- Для управления инцидентами: TheHive или отдельно взятый Cortex для автоматизации реагирования.
Сборка пазла и миграция
На этом этапе вы не выбираете один инструмент, а проектируете систему. Важно определить, как данные будут передаваться между компонентами. Например, журналы с серверов собираются в Graylog, события от Suricata и результаты сканирования OpenVAS также отправляются туда. В Graylog настраиваются правила корреляции, которые при срабатывании создают тикет в Redmine или Битрикс24 (которые уже есть в компании) или отправляют оповещение в чат.
Ключевой принцип миграции — параллельная работа. Нельзя в один день отключить подрядчика и включить новую систему. Нужен период двойного логирования, когда события идут и туда, и сюда. Это позволяет сверить результаты, настроить тонкие параметры обнаружения и убедиться, что новая система не пропускает критичные угрозы.
Особое внимание — настройке оповещений. Внешний подрядчик часто предоставляет красивый портал. Вам нужно создать не хуже: сводный дашборд в Kibana/Grafana, который показывает ключевые метрики безопасности, и надёжный канал оповещения для реакции на инциденты.
Регуляторный аспект и аттестация
Это главное преимущество перехода на встроенные средства. При использовании внешнего подрядчика вам необходимо:
- Иметь с ним договор, включающий обязательные положения 152-ФЗ об охране персональных1 данных.
- Убедиться, что его инфраструктура и процессы соответствуют требованиям регулятора (например, ФСТЭК), что сложно проверить.
- Ежегодно предоставлять регулятору обоснование выбора именно этого оператора.
Используя собственные или open-source средства, развёрнутые на своей инфраструктуре, вы снимаете эти вопросы. Вся инфраструктура подпадает под вашу зону ответственности и уже должна быть приведена в соответствие с требованиями. Для аттестации ИСПДн или ГИС теперь необходимо показать конфигурацию и настройки именно ваших систем, что проще, чем доказывать безопасность чужого «чёрного ящика».
Стоит помнить: некоторые open-source решения могут требовать дополнительной проверки в рамках аттестационных мероприятий, если они являются ядром системы защиты. Однако процедура их анализа зачастую прозрачнее, чем анализ облачного сервиса.
Оценка результата: что выигрываете и с чем сталкиваетесь
Отказ от подрядчика, это не просто экономия бюджета. Это приобретение глубокой экспертизы. Ваша команда начинает досконально понимать, как работают системы защиты, откуда берутся события и как они коррелируют. Это повышает скорость и качество реакции на инциденты.
Вы получаете полный контроль. Вы сами решаете, какие правила детектирования актуальны, как часто сканировать на уязвимости и какие логировать события. Система на 100% адаптирована под вашу среду.
Однако появляются и новые затраты:
- Временные: период настройки, интеграции и обучения команды.
- Кадровые: требуется команда или хотя бы один специалист, способный поддерживать эту экосистему: администрировать Elastic Stack, обновлять правила Suricata, анализировать отчёты OpenVAS.
- Операционные: ответственность за бесперебойную работу и своевременное обновление всех компонентов теперь лежит на вас.
Решение об отказе от подрядчика ради встроенных средств, это стратегический выбор в пользу суверенитета и глубины. Оно оправдано не всегда, но когда оправдано — приводит не только к сокращению издержек, но и к качественному усилению команды и позиции компании перед лицом регулятора. Это шаг от роли потребителя услуг к роли архитектора собственной безопасности.