У большинства компаний постоянно появляются новые идеи и проекты, и от подразделений ИТ и ИБ как от инструментов бизнеса ожидается всецелая их поддержка. Если инициатива по-настоящему серьёзна и имеет большую важность для компании, на её реализацию могут быть выделены огромные средства, часть от которых, безусловно, идёт и на выполнение требований информационной безопасности.

Как это часто бывает, большие и серьёзные проекты нужно закончить «ещё вчера», и руководство готово к серьёзным затратам, чтобы это «вчера» наступило как можно быстрее: выделяются деньги на железо, софт, новую команду (или подрядчика), призванных обеспечить должный уровень проектирования и внедрения. Порой в результате подобных грандиозных усилий получается создать действительно неплохую ИT-систему. Что же может пойти не так?

К сожалению, очень часто «что-то не так» оказывается с поддержкой. Астрономические бюджеты без проблем тратятся на начальные стадии проекта, а после внедрения его просто кидают на плечи существующих ИТ- и ИБ-команд по принципу «Ну, мы тут внедрили, а вы там как-нибудь разбирайтесь». Практика показывает, что «как-то разбираться» в лучшем случае получается с трудом, а в худшем — не получается вообще.

При этом нужно отдавать себе отчёт в том, что поддержка — «удовольствие» весьма дорогое и продолжительное по времени. Нельзя просто выкопать большой пруд, засадить его лилиями и ожидать, что он всегда будет опрятным и цветущим: без регулярного обслуживания очень скоро цвести в нём будут только малоприятного вида водоросли. Точно так же и ИT-системы без регулярной поддержки довольно быстро превращаются в болото. И задачи ИБ не исключение.

При планировании проекта часто учитываются расходы на поддержку оборудования и приложений у сторонних вендоров, гораздо реже — затраты собственных ИT-подразделений на обслуживание дополнительной инфраструктуры, и почти никогда — затраты подразделений ИБ на обеспечение требований безопасности. А между тем каждый новый источник данных и каждое новое правило в SIEM, каждый новый хост в сканере уязвимостей, каждый новый подключённый к средствам защиты информации элемент сети требует регулярной проверки и, при необходимости, исправления обнаруженных проблем. И если проверка часто довольно хорошо поддаётся автоматизации, то вот анализ и исправление выявленных проблем обычно требуют человеческого вмешательства и могут занимать ощутимое время. А взять эти человеко-часы (а то и человеко-дни!) негде, потому что при планировании проекта эти затраты нигде не были учтены.

Вот и получается, что в проектных документах у нас нарисован красивый пруд, который спустя полгода после внедрения превращается в яму с водой, а спустя один-два года — в цветущую лужу с характерным болотным запахом. И как же так получилось? Удивительный вопрос — настоящая загадка, которая так и будет переходить из проекта в проект, пока затраты на поддержку и ИТ, и ИБ его составляющих не начнут учитываться на этапе планирования его бюджета. И затраты эти, к слову, весьма немаленькие: их оценивают от 5 до 20 (а то и больше!) процентов в год от изначальной стоимости внедрения.