Етапи робіт, орієнтовні терміни, що потрібно від замовника на старті, та як проходить експертиза Держспецзв'язку. Без обіцянок «3 тижні до запуску» — реальні цифри для систем критичної інфраструктури.
Для захищених систем важлива не швидкість окремого спринту, а передбачуваність маршруту: вимоги, архітектура, розробка, документи, експертиза, дослідна та промислова експлуатація.
Фіксуємо предметну область, дані, ролі, контури доступу, інтеграції та нормативні обмеження до початку розробки.
Технічні рішення одразу пов'язуються з документацією, моделлю загроз, журналюванням і процедурними вимогами.
Команда супроводжує перевірку, усунення зауважень, дослідну експлуатацію та перехід системи в штатний режим.
UnityBaseDefense — не shrink-wrap продукт. Кожне впровадження — інженерний проект, де платформа становить фундамент, а прикладне рішення проектується під конкретні вимоги замовника, регуляторний режим та інфраструктурний контекст.
Жодна інформаційна система класу АС-2 чи АС-3 не запускається у промислову експлуатацію за 2-3 місяці. Реальний цикл — від 9 до 24 місяців залежно від обсягу та складності. Якщо вам обіцяють інше — це або не та категорія системи, або не та регуляторний фреймворк.
Стандартна послідовність фаз для проекту на UBD. Деякі фази йдуть послідовно (наприклад, ТЗ перед розробкою), деякі — паралельно (підготовка КСЗІ паралельно з розробкою).
Початковий етап — це не «збір вимог» у IT-смислі. Це аналіз бізнес-процесів, регуляторного режиму, інфраструктурного контексту замовника. Інженер з нашої команди працює на місці замовника, спілкується з кінцевими користувачами, аналізує існуючі системи, документообіг, режим обмеженого доступу.
Результат — технічне завдання (ТЗ) у вигляді документа, який підписується обома сторонами. ТЗ містить функціональні вимоги, нефункціональні вимоги (продуктивність, доступність, безпека), модель загроз, mapping на регуляторні норми.
На основі ТЗ розробляється архітектурний дизайн — конкретна конфігурація платформи UBD під цей проект. Описується: модель прав, схема даних, інтеграції, інфраструктурні вимоги, профіль захисту.
Паралельно — підготовка комплексної системи захисту інформації (КСЗІ) за НД ТЗІ 3.7-003-2005. Це окремий пакет документів: політика безпеки, ролі та повноваження, реагування на інциденти, плани безперервності, фізична безпека приміщень.
Найдовший етап. Команда розробляє прикладне рішення на платформі UBD: форми, бізнес-логіку, інтеграції з зовнішніми системами, кастомні звіти. Поетапна демонстрація замовнику кожні 2-4 тижні.
Цей етап може йти паралельно з міграцією даних з існуючих систем замовника, якщо такі є. Міграція — окремий під-проект з власною технічною документацією.
Інсталяція платформи на інфраструктурі замовника: сервери застосувань, СУБД у HA-конфігурації, NAS, інтеграція з LDAP/AD, налаштування ЦСК для ЕЦП, мережева сегментація. Налаштування моніторингу та резервного копіювання.
Якщо проект потрапляє у регуляторну зону (АС-2/АС-3, КІІ, обробка службової інформації або державної таємниці) — обов'язкова експертиза захищеності прикладної системи у Адміністрації Держспецзв'язку.
Це не та сама експертиза, що має платформа UBD. У платформи є експертний висновок Г-3 на її функції безпеки. Прикладна система має пройти окрему експертизу — як конкретна реалізація з конкретними даними, конкретними користувачами, конкретною моделлю прав.
Команда супроводжує клієнта у цьому процесі: готує проектні документи, відповідає на запити експертів, проводить тестування за їх програмою. Це звичайна частина проекту, не окрема послуга.
Система запускається з обмеженим колом користувачів, реальними даними, але з можливістю rollback у разі критичних проблем. Збираються метрики, виявляються edge-cases у моделі прав, ловляться інтеграційні проблеми.
Перехід у штатний режим з цільовою доступністю до 24×7×365: повне коло користувачів, повноцінний інцидент-менеджмент, регламент оновлень і резервування. Технічна підтримка від нашої команди — за окремою угодою.
Загальна тривалість проекту залежить від класу системи та обсягу. Цифри нижче — медіанні значення з нашого досвіду; конкретний проект може відрізнятися як в один бік, так і в інший.
| Клас проекту | Користувачів | Загальна тривалість |
|---|---|---|
| Документообіг ЦОВВ | 500-2000 | 9-15 місяців |
| Реєстр КІІ | 50-500 | 12-18 місяців |
| Кадрова система охоронної компанії | 1000-10000 | 15-24 місяці |
| Cross-domain gateway | — | 18-36 місяців |
Якщо ваш проект потребує більш ранніх термінів — варто обговорити поетапне впровадження: спочатку запускається ядро з мінімальною функціональністю, потім додаються модулі. Це може скоротити time-to-first-value до 6-9 місяців.
Щоб проект просувався без затримок, на старті від замовника знадобиться:
Експертиза прикладної системи у Адміністрації Держспецзв'язку — окремий процес, з власними процедурами. Коротко:
Замовник (як власник системи) подає заявку до Адміністрації з пакетом документів: ТЗ, архітектурний опис, опис функцій безпеки, перелік засобів захисту, програма випробувань.
Адміністрація призначає експертну організацію зі свого реєстру. Експерти проводять аналіз документів, обстеження системи, тестування за затвердженою програмою.
На цьому етапі експерти можуть видавати зауваження — як до документації, так і до реалізації. Замовник (за нашою участю) виправляє, повторно подає на перевірку.
Після всіх перевірок — видача експертного висновку з рівнем гарантій (Г-1, Г-2, Г-3). На цей висновок ваша система може посилатися у регуляторній звітності, у проведенні відомчих перевірок, у тендерах.
Орієнтовна тривалість — 3-9 місяців з моменту подання заявки. Залежить від класу системи, поточної завантаженості експертних організацій, кількості ітерацій із зауваженнями.
Прямі контракти між замовником і ТОВ «Софтлайн ІТ». Робота з державними установами — через відповідні тендерні процедури або прямі договори за процедурами Закону «Про публічні закупівлі».
Платежі — переважно прив'язані до досягнення milestones: підписання ТЗ, готовність архітектури, готовність першої версії, передача в дослідну експлуатацію, видача експертного висновку, перехід у промислову експлуатацію. Це захищає обидві сторони.
Після переходу у промислову експлуатацію — окрема угода на технічну підтримку. Формат може передбачати 24×7×365 з SLA на критичні інциденти. Підтримка включає: моніторинг, реагування на інциденти, регулярні оновлення (з повторною експертизою якщо необхідно), розвиток функціональності за окремими ТЗ.
Хочете обговорити проект? Опишіть задачу — повернемося протягом робочого дня. Контакти →