BIS Journal №4(39)/2020

22 декабря, 2020

«Мы держим руку на пульсе времени»

Компания «Индид» создаёт экосистему продуктов для организаций финансовой сферы.

 

— Компания «Индид» работает на рынке средств защиты информации более 10 лет и имеет весомый опыт разработки и внедрения своих продуктов. Как вы оцениваете текущие потребности заказчиков в вопросах информационной безопасности?

— Действительно, мы наблюдаем тенденцию изменения задач заказчиков с течением времени. И эти изменения отражаются на наших продуктах. Компания «Индид» выходила на рынок с одним продуктом, предназначенным для усиленной аутентификации сотрудников, который закрывал текущие потребности заказчиков, но потребности менялись. Мы подстраивали своё ПО под них, расширяя функциональные возможности продукта. Анализируя накопленный опыт, мы поняли, что заказчикам нужно решать ещё и задачи по управлению цифровыми сертификатами. В ответ на запрос рынка мы разработали второй продукт: для автоматизации работы с инфраструктурой открытых ключей. В последнее время, исходя из нашего опыта и актуальных тенденций, мы сами можем прогнозировать будущие потребности заказчиков и формировать свои задачи на разработку. Несколько лет назад выпустили платформу для управления доступом привилегированных пользователей. А в ближайшем будущем выпустим ещё один продукт. Работаем на опережение!

Отмечу, что наблюдается рост интереса к использованию IT-экосистем. Информационная безопасность не исключение: компании стремятся использовать ПО одного разработчика, способное закрыть их потребности в защите информации сразу по нескольким направлениям. Есть несколько причин использования «экосистемы»продуктов: получение высокоуровневого сервиса, более высокого статуса среди других пользователей этой же системы, экономия времени и средств сотрудников и многие другие. Мы стремимся выпускать продукты, позволяющие любому бизнесу автоматизировать свои процессы в ИБ. Именно такую линейку продуктов и разрабатывает компания «Индид»: это наша «экосистема»решений для информационной безопасности заказчиков, используя которую они закрывают все свои задачи по контролю и управлению доступом линейных и привилегированных сотрудников, управлению жизненным циклом цифровых сертификатов и ключевых носителей.

Ещё одним аспектом, объясняющим тенденции к росту внедрений IT-экосистем, является переполненность рынка коробочными решениями, которые ограничены в своей функциональности. То есть разработчики ПО очень редко кастомизируют свои продукты под потребности того или иного заказчика. Компания «Индид» одна из немногих, кто предлагает сервис доработки своих программных комплексов. У нас были случаи, когда приходилось кастомизировать компоненты платформ даже на этапе тестового внедрения. Для заказчика это означает, что мы готовы закрывать его потребности, даже когда речь идёт о поддержке узкоспециализированных продуктов или реализации нестандартных сценариев. Эти и другие доработки будут доступны и последующим заказчикам — все они входят в состав технических релизов, которые мы выпускаем 3–4 раза в год, дополняя функциональность каждого продукта.

— Расскажите об опыте решения задач технической защиты информации в организациях финансовой отрасли.

— У нас действительно большой опыт в этом направлении. Среди наших заказчиков Банк «Санкт-Петербург», «СДМ-Банк», «Абсолют банк», банк ArmSwissBank, «Беларусбанк», Альфа-Банк, и это только открытые кейсы. Расскажу несколько интересных.

В одном крупном банке была поставлена задача реализации двухфакторной аутентификации сотрудников при удалённом доступе к корпоративным ресурсам по каналам VPN. Рассматривались разные варианты, но в итоге выбрали усиленную аутентификацию сотрудников по отпечатку пальца, как наиболее подходящую в этом случае. В результате внедрения Indeed Access Manager была создана централизованная система беспарольной аутентификации с использованием биометрии в ОС Windows и корпоративных приложениях.

В другой финансовой организации была реализована многофакторная аутентификация сотрудников при доступе в ОС по используемым RFID-картам. Для этого провели интеграцию наших платформ Indeed AM и Indeed CM со СКУД заказчика. В результате сотрудники используют одну карту для доступа в помещения банка и для аутентификации на рабочих местах.

Ещё один интересный кейс связан с внедрением системы управления доступом привилегированных пользователей. Требовалось реализовать контроль за действиями внутренних сотрудников с расширенными правами в ИС банка. Решили задачу с помощью внедрения Indeed PAM для контроля и записи действий внутренних администраторов при работе с внутренними компонентами ИТ-инфраструктуры.

В целом у нас более 50 успешных проектов, реализованных в финансовой отрасли — банках, страховых компаниях и прочих.

— Помогает ли ПО «Индид» заказчикам в выполнении требований стандартов и других нормативно-правовых актов, предъявляемых к компаниям финансового сектора?

— Не секрет, что работу финансовых организаций регулирует множество требований, описанных в НПА. Законодательство всесторонне регламентирует работу банков, МФО, страховых и подобных кампаний: от организации внутренней работы до вопросов защиты информации клиентов этих компаний. Основные требования перечислены в Приказах ФСТЭК № 21 и 239, ГОСТ 57580, PCI DSS, ISO 27001. Мы понимаем, какие требования отражены в этих документах и какой объём работы нужно провести в организации, чтобы эти требования выполнить.

У организаций финансовой отрасли есть несколько сложных задач в части организации ИБ, чтобы их деятельность соответствовала регламентирующим документам. Первая связана с сопоставлением своих информационных систем с наборами требований, описанных в каждом НПА и составлением общего перечня требований к защите информации во всей ИТ-инфраструктуре. Вторая задача тоже ресурсоёмкая, она вытекает из первой, связана с проектированием комплексной системы информационной безопасности, учитывающей все требования, предъявляемые к ИТ-инфраструктуре организации. Поэтому сотрудникам департаментов ИБ приходится своими силами перерабатывать огромный объём информации о ПО, чтобы выбрать такое, которое поможет организации соответствовать требованиям.

Могут ли финансовые организации как-то облегчить себе выполнение этих задач? Конечно! Но, к сожалению, отечественные разработчики редко уделяют внимание разработке оценки выполнения требований НПА, которые можно реализовать с использованием их ПО. Чаще они просто заявляют, что выполняют эти требования, но не поясняют, какие именно требования помогут выполнить их продукты и каким образом.

Мы, понимая это, облегчаем процесс приведения системы защиты информации в соответствие с требованиями НПА. Для всех документов, о которых я говорила, нами подготовлены детализированные оценки выполнения требований НПА с помощью программных комплексов «Индид».

— Вы замечаете изменения в подходах к защите информации среди заказчиков финансового сектора?

— Любая компания — это прежде всего бизнес. Мы организовали свои внутренние процессы таким образом, что при разработке стратегии развития продуктов мы всегда отталкиваемся от потребностей заказчика в решении вопросов информационной безопасности и рассматриваем эти вопросы через призму бизнеса. Соответственно, мы “держим руку на пульсе”, наблюдая за тем, как эволюционируют потребности наших заказчиков, и оперативно реагируем на все изменения. Ещё недавно акцент защиты информации был смещён в сторону решения разрозненных технических задач, а комплексный подход отсутствовал. Теперь заказчики рассматривают информационную безопасность как полноценный бизнес-процесс.

При этом информационная безопасность как бизнес-процесс не сводится к применению только технических инструментов. Важными составляющими стали документационное обеспечение и персонал. Исходя из этого, наш подход тоже эволюционирует. Сейчас мы делаем большой акцент на то, как наши продукты выполняют требования законодательства, насколько их легко эксплуатировать и использовать для оперативного реагирования на различные инциденты.

К сожалению, в современном законодательстве отсутствует ряд требований, направленных на повышение эффективности и удобство эксплуатации системы защиты информации. Например, нет требований, предъявляемых к централизованному управлению доступом в корпоративные системы, и заказчикам приходится использовать несколько разных инструментов для закрытия этих задач. А это, в свою очередь, влечёт дополнительные расходы финансовых, временных и трудовых ресурсов.

Мы – за комплексный подход! И поэтому предлагаем комплексные решения — ту самую “экосистему” продуктов, о которой я говорила.

— Расскажите, пожалуйста, об актуальных направлениях развития компании «Индид».

— Как я уже говорила, потребности наших заказчиков эволюционируют. Развиваются технологии, появляются новые задачи, новые концептуальные направления. Например, за последние 5 лет резко возросло использование облачных сервисов, а корпоративная мобильность развивается семимильными шагами почти 10 лет. Каждый из таких примеров — вызов для разработчиков. И мы должны не просто замечать их и пассивно реагировать, а использовать свои ресурсы и знания для прогнозирования будущих потребностей рынка.

Например, простым управлением доступом сотрудников в ОС уже никого не удивить. Сегодня заказчики хотят получить инструменты анализа действий сотрудников и единого мониторинга событий этого доступа. Причём не в виде сложного для восприятия текста, а в виде красивых графиков, скриншотов и даже видеозаписи того, что видел этот сотрудник на своём мониторе. Это удобно и позволяет экономить ресурсы специалистов, осуществляющих контроль за другими сотрудниками.

Мы делаем большой упор на развитие собственных сервисов, оказываемых заказчикам, и создаём собственную “экосистему” продуктов, которые берут на себя автоматизацию рутинных операций. Такой подход к ИБ даёт специалистам по безопасности рычаги для оперативного управления ситуациями и удобные панели мониторинга, благодаря которым можно сэкономить финансовые и временные ресурсы, повысить производительность труда, не говоря уже о повышении общего уровня информационной безопасности.

Мы стремимся выпускать лучшее ПО и предоставлять лучший сервис на рынке. Внедрение наших платформ приносит свои выгоды каждому участнику в цепочке разработчик — партнёр — заказчик.

 

Комментарий заказчика

«Мы доверились компании «Индид»

Анатолий Скородумов, начальник управления по обеспечению информационной безопасности, Банк «Санкт-Петербург»

 

Нас объединяет многолетнее сотрудничество. Банк начал использовать продукты компании «Индид» в 2012 году с внедрения аутентификации сотрудников по отпечатку пальца. С течением времени наши компании развивались: продуктовая линейка «Индид» расширялась в ответ на рост потребностей и задач. Иногда нам даже казалось, что они выполняют наш спецзаказ, хотя аналогичные задачи были и у других представителей финансовой сферы.

Когда видишь отклик на свои запросы, взаимодействие выходит на новый уровень. Мы доверились компании «Индид» и внедрили ещё два их продукта. Теперь используем все возможности, которые предоставляют эти программные комплексы: они дополняют функциидруг друга и отлично интегрируются.

Получился эффективный комплексный подход к решению наших задач, связанных с автоматизацией ряда процессов в информационной безопасности. Продукты компании «Индид» настолько вжились в наши бизнес-процессы, что мы уже не представляем себе, как эффективно и оперативно решать рабочие вопросы без использования этих платформ. Замечу, что на всех этапах внедрения и эксплуатации продуктов мы получаем поддержку от разработчика. При этом нам приятно сознавать, что наши пожелания и идеи всегда рассматриваются всерьёз для будущего развития продуктов. Мы с гордостью рассказываем о том, что сейчас используем у себя три программных комплекса «Индид».

 

Комментарий заказчика

«У них есть уникальный бонус…»

Владимир Солонин, директор по информационной безопасности, СДМ-Банк

 

Мы очень часто взаимодействуем с командой поддержки «Индид», так как банк развивается и наши потребности растут. Во-первых, периодически требуется поддержка какого-либо нового оборудования. Во-вторых, мы постоянно улучшаем свой продукт, используем новые инструменты, а это значит, что наши бизнес-процессы тоже меняются и, как следствие, требуется доработка используемых продуктов.

При каждом обращении в «Индид» мы получаем неизменно высокий уровень поддержки, который включает в себя не только отработку заявок, но и консультации по вопросам более эффективного использования продуктов «Индид». Саму поддержку мы получаем в разных форматах. Чаще нам хватает онлайн-консультаций, но бывает, требуется и выезд специалистов. И всегда мы остаёмся довольны результатом. Что нам нравится больше всего? Оперативность! Команда «Индид» использует современный инструментарий, например, можно оставить заявку на портале или сразу задать вопрос в онлайн-чате. Консультант всегда на месте!

Неоспоримым преимуществом «Индид» я бы назвал уникальный бонус, который, я так думаю, получает каждый заказчик. Это включение в сервис технической поддержки небольших доработок продуктов «Индид» под наши потребности. Мы запрашивали даже масштабные доработки (не нарушающие концепцию продуктов компании) и получили их в рамках дополнительного соглашения. Конечно, долгосрочные проекты требуют отдельной проработки и обсуждения, но «Индид» всегда идёт навстречу.


 

Комментарий партнёра

«100% российской разработки»

Александр Самуткин, руководитель направления информационной безопасности, SoftwareONE Company

 

К выбору партнёра мы всегда подходим очень щепетильно, так как значение имеют много разных аспектов. Сотрудничество с компанией «Индид» соответствует всем нашим требованиям и ожиданиям. Больше всего нас заинтересовало в этой компании то, что она разрабатывает продукты сама, то есть 100% российской разработки. Это значит, что её продукты не просто будут востребованы на рынке и закроют актуальные задачи наших заказчиков, но и круг потенциальных потребителей будет значительно шире по сравнению с зарубежными аналогами.

Компания «Индид» предоставляет возможности для обучения наших технических специалистов, в процессе которого максимально полно показываются и описываются нюансы внедрения и эксплуатации продуктов. Если такого обучения ещё не произошло, то вендор готов предоставить всеобъемлющую помощь своим партнёрам в вопросах поддержки внедрённого ПО. То есть, если интегратор на начальном этапе развития партнёрских отношений не может оказывать первую и вторую линию технической поддержки своим заказчикам, то компания «Индид» возьмёт решение этой задачи на себя.

Если говорить о таких продуктах «Индид», как решения по управлению доступом, то у них есть одна особенность — это необходимость их глубокой интеграции в ИТ-инфраструктуру заказчика. Такие решения нельзя назвать коробочными, они всегда требуют грамотного внедрения для обеспечения всех заявленных функциональных возможностей. В этом вопросе технические специалисты «Индид» всегда готовы проконсультировать нас либо подключиться самостоятельно.

Коллеги готовы обсуждать индивидуальные условия взаимодействия, всегда стараются погрузиться в нашу проблематику и специфику. В особенности это актуально для региональных проектов. Такой подход позволяет нам вести совместные сделки с разным уровнем участия, в зависимости от масштабов или других факторов. Наше эффективное взаимодействие помогает успешно реализовывать любые проекты.

Смотрите также