Почему переход на новый стек занимает 18–24 месяца

от

«Переход с одного технического стека на другой или внедрение новых регуляторных требований, это не только про технологии, но и про системное управление рисками и ресурсами. За 18-24 месяца можно пройти путь от анализа до промышленной эксплуатации, если двигаться не рывками, а циклами, где каждый этап закладывает фундамент для следующего.»

Почему именно 18–24 месяца?

Два года, это не случайный срок. Он взят из практики реализации сложных технологических и организационных проектов в условиях российских регуляторных требований. Меньший период (6–12 месяцев) часто приводит к «перескочиванию» через ключевые этапы аудита, тестирования и адаптации, что в итоге выливается в нестабильность решения и штрафы при проверках ФСТЭК. Больший срок (свыше 2 лет) чреват «расползанием» проекта, потерей актуальности изначальных требований и демотивацией команды.

18–24 месяца, это баланс между необходимой глубиной проработки и управляемыми темпами. Этого достаточно, чтобы провести полноценный анализ текущего состояния, спроектировать архитектуру, поэтапно внедрить её, интегрировать со смежными системами и, что критически важно, отработать все процедуры в рамках пилотной зоны и масштабирования.

Этап 1: Формирование рабочей группы и постановка целей (0–2 месяца)

Любой переход начинается не с технологий, а с людей и договорённостей. Первый шаг — создать межфункциональную группу, в которую войдут представители ИТ-безопасности, архитектурного отдела, разработки, эксплуатации и, обязательно, бизнес-заказчиков. Задача группы — сформулировать не размытые «повысить безопасность», а конкретные, измеримые цели (SMART): например, «достичь соответствия 95% требований пунктов 8–15 приказа ФСТЭК России № 17 в части системы контроля доступа к сетевым ресурсам к концу проекта».

На этом же этапе определяются границы проекта (будет ли это только новый ЦОД или ещё и филиалы?), утверждается бюджет и первичный календарный план на основе предварительной оценки.

Этап 2: Детальный аудит существующей инфраструктуры и процессов (2–5 месяц)

Прежде чем строить новое, нужно досконально изучить старое. Аудит должен ответить на ключевые вопросы:

  • Архитектура и технологии: Какое оборудование и ПО используются сейчас? Какова топология сети? Где находятся узкие места и точки отказа?
  • Регуляторный статус: По каким требованиям 152-ФЗ и ФСТЭК аттестованы текущие системы? Какие акты проверок есть в наличии и какие замечания были?
  • Процессы: Как организовано управление инцидентами, обновлениями, резервным копированием? Существуют ли регламенты и соблюдаются ли они?

Итогом этапа становится подробная модель угроз для текущей инфраструктуры и матрица соответствия, где наглядно видны разрывы между «как есть» и целевым состоянием по регуляторным нормам.

Этап 3: Проектирование целевой архитектуры (5–8 месяц)

На основе данных аудита проектируется новая архитектура. Здесь важно избежать двух крайностей: слепого копирования «идеальных» схем из документации вендоров и попытки механически «прикрутить» новые средства защиты к старой неупорядоченной инфраструктуре.

Архитектура должна быть модульной и предусматривать поэтапное внедрение. Например, сначала выделяется сегмент для критичных систем, куда переносятся ключевые сервисы, затем строится система мониторинга и управления, и только потом идёт работа с периферийными узлами.

Результат этапа — комплект проектной документации: схемы сетей, спецификации оборудования и ПО, требования к интеграциям, план миграции данных. Эта документация становится основой для технического задания и последующей аттестации.

Этап 4: Выбор технологий и вендоров, подготовка инфраструктуры (8–11 месяц)

На этом шаге происходит конкретизация. Проводятся тестовые внедрения и пилоты для ключевых компонентов (например, систем мониторинга, СКУД или DLP). Выбор вендора сегодня, это не только вопрос функциональности, но и доступности техподдержки, локализации и наличия необходимых сертификатов ФСТЭК.

Параллельно начинается подготовка «железа»: закупка серверов, систем хранения данных, сетевого оборудования. Если переход предполагает использование облачной инфраструктуры, то на этом этапе заключаются соглашения, настраиваются каналы связи и политики безопасности.

Этап 5: Разработка и адаптация ПО (11–14 месяц)

Даже при использовании готовых решений почти всегда требуется адаптация. Это может быть:

  • Доработка интерфейсов для интеграции новой СКУД с существующими HR-системами.
  • Написание скриптов автоматизации для переноса конфигураций.
  • Разработка модулей сбора и нормализации логов для централизованной системы SIEM.

Весь код должен разрабатываться с учётом требований безопасной разработки (SDL) и проходить статический и динамический анализ.

Этап 6: Развёртывание в пилотной зоне (14–17 месяц)

Первый реальный запуск новой инфраструктуры происходит не на всём предприятии, а в изолированной пилотной зоне. Часто для этого выбирают один из отделов или новый, не критичный проект. Цели пилота:

  • Проверить работу всех компонентов в комплексе.
  • Выявить скрытые проблемы интеграции и производительности.
  • Отработать на реальной нагрузке процедуры эксплуатации и реагирования на инциденты.
  • Обучить первую группу администраторов и пользователей.

Пилот должен работать достаточно долго, чтобы проявились не только «дневные», но и «ночные» процессы, такие как резервное копирование и техобслуживание.

Этап 7: Сбор обратной связи, доработка и подготовка к масштабированию (17–19 месяц)

На основе данных, полученных в пилоте, вносятся необходимые корректировки в конфигурацию, документацию и процессы. Это последняя возможность внести существенные изменения без высоких рисков. Также на этом этапе формируются итоговые инструкции для пользователей и регламенты для службы эксплуатации.

Параллельно готовится план масштабирования: как, в какой последовательности и с какими ресурсами новая архитектура будет разворачиваться на остальные сегменты компании.

Этап 8: Поэтапное масштабирование и миграция (19–22 месяц)

Основной объём работ. Миграция проводится волнами, от менее критичных систем к более важным. Для каждой волны проводится:

  1. Подготовка: резервное копирование, уведомление пользователей.
  2. Перенос: часто в технологические окна (ночью или в выходные).
  3. Верификация: проверка работоспособности всех сервисов после переноса.
  4. Откат на старую среду (если запланирован): на случай неудачи.

Критически важные системы могут мигрироваться по схеме «parallel run», когда новая и старая системы работают одновременно некоторое время для сверки результатов.

Этап 9: Полномасштабная эксплуатация и внутренний аудит (22–23 месяц)

После завершения миграции вся инфраструктура переходит в режим промышленной эксплуатации. Проводится полный внутренний аудит на соответствие целевым показателям и проектным требованиям. Тестируются сценарии отказоустойчивости и восстановления.

На этом этапе часто выявляются «узкие места», которые не проявлялись при частичной нагрузке, — их необходимо оперативно устранить.

Этап 10: Подготовка и прохождение аттестации (23–24 месяц)

Финальный аккорд — официальная аттестация. Вся накопленная за проект документация (технический проект, отчёты по аудитам, политики безопасности, регламенты) систематизируется и подаётся в аттестующий орган вместе с заявкой.

Поскольку фундаментальная работа была проделана на предыдущих этапах, аттестация становится формальным подтверждением факта, а не авральным «приведением в соответствие». Комиссия проверяет не только документацию, но и практическое функционирование систем, поэтому важно, чтобы к её приходу все процессы уже были отлажены.

Этап 11: Закрытие проекта и передача в регулярную эксплуатацию (24 месяц)

Проектная команда оформляет акт приёмки, передаёт всю документацию и ноу-хау команде постоянной эксплуатации. Важно формально закрепить ответственность за поддержку и развитие новой инфраструктуры, чтобы избежать ситуации, когда после ухода проектировщиков система начинает деградировать.

Проводится итоговый анализ: какие цели были достигнуты, где возникли отклонения, какие уроки можно извлечь для будущих проектов. Этот отчёт становится ценным активом для организации.

Ключевые факторы успеха

Следование плану не гарантирует результат само по себе. Успех зависит от нескольких неочевидных факторов:

  • Постоянная коммуникация: Регулярные встречи рабочей группы (раз в неделю) и прозрачные отчёты о статусе для руководства (раз в месяц) предотвращают накопление проблем.
  • Управление рисками: Вместо того чтобы бояться рисков, их нужно заранее идентифицировать, оценить и назначить ответственных за их мониторинг и реагирование. Риском может быть не только срыв сроков поставки оборудования, но и уход ключевого специалиста.
  • Гибкость в рамках этапов: План, это карта, а не рельсы. В рамках каждого этапа должна быть возможность скорректировать подход, основываясь на полученных данных, не «срывая» общий график.
  • Фокус на процессах, а не только на технологиях: Самая совершенная система не будет эффективной, если для неё не написаны регламенты, а персонал не обучен с ней работать.

18-месячный план, это не просто список задач. Это система управления сложностью, которая позволяет перейти из одного устойчивого состояния в другое, минимизируя операционные и регуляторные риски. Главный итог такого перехода — не просто новая инфраструктура, а зрелые, документированные и отлаженные процессы, которые остаются в компании на долгие годы.

Оставьте комментарий