Универсальная методика выбора защитного продукта или решения была впервые использована в крупномасштабном сравнении SIEM-систем, проведенном информационно-аналитическим центром Anti-Malware.ru. Индивидуальная специфика каждого конкретного класса аппаратных или программных разработок не играет в ней определяющей роли: достаточно сформулировать ключевые критерии и оценить их значимость. В силу этого методику можно рекомендовать для любого сценария, когда перед организацией стоит выбор между несколькими схожими средствами защиты информации. Расставьте приоритеты, вооружитесь калькулятором и узнайте, что подходит вам лучше всего.
Введение
Для того чтобы применить нашу методику, нужно составить список основополагающих критериев, а для этого, в свою очередь, следует четко представлять себе потребности компании в целом или ее подразделения, которое вы будете оснащать новым продуктом. Например, нужды сервисного оперативного центра безопасности (Security Operations Center, SOC), продающего свои услуги другим организациям, разительно отличаются от потребностей инфраструктурного внутреннего SOC. Для первого важно подключить «из коробки» максимальное количество источников и иметь возможность гибкого управления данными, поступающими от них, а для второго большим приоритетом может стать удобный пользовательский интерфейс и минимальная стоимость владения решением.
И если особенности заказчика формируют потребности, то функциональность продуктов определяет их возможности. Это может быть, например, ориентировка на интеграцию внутри собственной экосистемы или направленность на взаимодействие со сторонними решениями. Или, допустим, подходы к визуализации и навигации в консоли каждой из выбираемых разработок соответствуют определенной логике, которую не всегда можно оценить четкими критериями, но зато можно эмпирически принять при живой демонстрации. Всё это, очевидно, требует внимания.
Заметим к слову, что в ряде случаев критерии могут оказаться многочисленны. Тогда помимо их выделения понадобится еще и тематическая группировка, потому что иначе с ними тяжело будет работать. Мы рекомендуем группировать критерии на основе влияющих на компанию-потребитель базовых направлений, диктуемых временем: степень автоматизации, стратегия развития (в том числе устойчивость на рынке), эластичность архитектуры и т.п. Приведем далее примеры такого обобщения.
Критерии и их группировка
В результате категоризации выбранных параметров может возникнуть следующая структура.
- Архитектура решения — форм-фактор, масштабируемость, методы работы с данными и схема лицензирования — важный параметр для Enterprise-установок, где необходимо подсчитать конечную стоимость владения решением, учитывая трудоемкость обслуживания, возможность и эффективность реализации в распределенных сетях.
- Общая информация — будет полезна при презентации руководству или организации референс-визитов, соответствия основных показателей ИТ- и ИБ-стратегии компании. По этим показателям можно судить о зрелости решения и его положении на рынке.
- Функциональные особенности — наличие и состав индивидуально настраиваемых параметров, гибкость настройки позволят оценить применимость решения к принятой парадигме развития процессов обеспечения ИБ (аутсорсинг, централизованное, распределенное использование) компании. В свою очередь, качество и количество предустановленных «из коробки» элементов, среднее время запуска дадут представление о сроках внедрения до получения первых показателей эффективности.
- Интеграционные возможности — наличие развитых встроенных и интегрируемых подсистем позволит в начальном периоде эксплуатации ограничиться использованием одного продукта, без увеличения количества используемых интерфейсов, а интеграция со сторонними решениями укажет на открытую позицию компании на рынке, умение находить общий язык с другими игроками, даст информацию о направлениях развития продукта.
- Дополнительные критерии — параметры, которые подвержены влиянию внешней среды. Это — и отчетность, и удобство, и глубина погружения при навигации в рамках интерфейса системы. Все названное влияет на оперативность работы и позволяет примериться к существующим внутри компании KPI. Дорожные карты развития, наличие озвученных планов по разработке коннекторов-парсеров, количество внедрений и поддержка со стороны производителя, а также живость сообщества говорит о заинтересованности в продукте как заказчиков, так и разработчиков.
- Соответствие направлению импортозамещения — позволит оценить, можно ли использовать решение в рамках государственных инициатив по поддержке отечественного производителя и борьбе с санкциями.
Очевидно, что у каждой отдельной компании-потребителя сложится свой список критериев и категорий. Приведенный выше набор взят из нашего сравнения SIEM-систем и служит для иллюстрации.
Ранжирование и оценка
Далее представлена краткая инструкция по проведению индивидуальной экспертной оценки средств защиты информации собственными силами, которая поможет оценить применимость сравниваемых решений к вашим задачам. Она основана на известной методике «домик качества».
Мы приводим здесь краткий вариант, но вполне возможно по указанному методу развернуть все критерии, выделенные на предыдущем этапе, и оценить их соответствие вашим потребностям.
1-й шаг — определение списка потребностей (ниже даны возможные варианты для примера), в отсортированном по приоритетности порядке. В соответствии с этим порядком проставляем индекс значимости (1-9):
- Простота установки — 9
- Импортозамещение — 7
- Простота использования — 5
- Оперативность реагирования — 3
- Стоимость закупки и эксплуатации — 1
Индекс проставляется в соответствии с вашей экспертной оценкой, при наличии достаточных обосновывающих факторов.
2-й шаг — определение технических характеристик. Мы для упрощения берем группы критериев, приведенные в предыдущем разделе. Для подсчета в более достоверном варианте можно начать с критериев и подгрупп, при переходе на уровень выше определяя среднее значение. Предлагается, ориентируясь на доступные сведения о каждом продукте или решении, заполнить поля весовыми «значениями» от 0 до 9, а затем по итогам этой работы выставить среднее значение для каждой группы критериев (таблица 1).
Таблица 1. Оценка средств защиты информации (СЗИ) по группам критериев
Критерий \ Решение | СЗИ №1 | СЗИ №2 | СЗИ №3 |
Архитектура решения | 4 | 3 | 4 |
Функциональные особенности | 3 | 4 | 4 |
Соответствие направлению импортозамещения | 4 | 4 | 3 |
Интеграционные возможности | 4 | 4 | 4 |
Дополнительные критерии | 4 | 4 | 4 |
Для нас основным показателем будет связь критерия и потребности:
- Сильная связь — умножаем значение критерия на индекс значимости, разделенный на 100.
- Средняя связь — умножаем значение критерия на индекс значимости, разделенный на 200.
- При отсутствии связи между критерием и потребностью — проставляется 0.
Попробуем соотнести полученные значения критериев (Таблица 1) с нашими потребностями, определенными выше:
Таблица 2. Корреляция потребностей и критериев для СЗИ №1
Критерий \ потребность | Простота установки (0,9) |
Импорто-замещение (0,7) |
Простота использования (0,5) |
Оперативность реагирования (0,3) |
Стоимость закупки и эксплуатации (0,1) |
Архитектура решения | 3,6 | 0 | 2 | 0 | 0,4 |
Функциональные особенности | 0 | 0 | 1,5 | 0,9 | 0,3 |
Соответствие направлению импортозамещения | 0 | 2,8 | 0 | 0 | 0 |
Интеграционные возможности | 3,6 | 2,8 | 2 | 1,2 | 0 |
Дополнительные критерии | 3,6 | 2,8 | 0 | 0 | 0,4 |
ИТОГО | 10,8 | 8,4 | 5,5 | 2,1 | 1,1 |
При таком расчете можно определить предпочтительное решение простой подстановкой значений из таблицы 1 в таблицу 2. При этом, если показатели систем различаются незначительно (как в рассматриваемом случае), то итоговое значение будет наглядным. Поэкспериментировав на наших умозрительных данных, получаем таблицу 3.
Таблица 3
СЗИ №1 | СЗИ №2 | СЗИ №3 |
27,9 | 27,3 | 28,1 |
Таким образом, учитывая определенные нами цели, стратегию компании и оценку критичности влияющих факторов, можно отдать предпочтение наиболее подходящему нам продукту — СЗИ №3.
Выводы
Предложенная методика оценки средств защиты информации универсальна и облегчит выбор между несколькими вариантами похожих продуктов или решений независимо от их классовой специфики. Определение приоритетов и потребностей компании, формирование списка критериев выбора с их последующей категоризацией, установление связей между критериями и потребностями - вот всё, что нужно для несложного математического расчета, который наглядно покажет, какое из средств защиты информации набрало высший балл.