Контакты
Подписка
МЕНЮ
Контакты
Подписка

ИБ-аутсорсинг – задачка с "живыми" условиями

ИБ-аутсорсинг – задачка с "живыми" условиями

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

ИБ-аутсорсинг – задачка с "живыми" условиями

За пару последних лет немало копий сломано о тему ИБ-аутсорсинга. Как делегировать ответственность и разделить полномочия и возможно ли это вообще? Каковы “рецепты" правильной проработки SLA и жизнеспособность концепции аутсорсинга ИБ в российских реалиях? Это лишь часть тех вопросов, которые сегодня активно обсуждаются в профессиональной среде. Будучи сервис-провайдером, мы накопили опыт оказания услуг аутсорсинга ИБ, а также экспертную статистику по основному спектру проблем, которые побуждают отечественный бизнес задуматься об аутсорсинге в сфере информационной безопасности.
Владимир Дрюков
Руководитель направления аутсорсинга
ИБ Центра информационной безопасности
компании “Инфосистемы Джет"

Дано: кому, когда и для чего это нужно?

Представим ситуацию: компания построила распределенную систему мониторинга и защиты баз данных. Однако в процессе эксплуатации руководитель подразделения ИБ столкнулся с "суровой реальностью" – задачи поддержания работоспособности и актуального состояния этой системы (и это не включая расследование выявляемых системой инцидентов) отнимают примерно половину рабочего времени как минимум одного из его сотрудников. В итоге он оказывается перед непростым выбором. С одной стороны, можно согласовать дополнительную штатную единицу для подразделения ИБ, найти соответствующего человека, обучить его и управлять его рабочими процессами и загрузками файлов. При всем этом гарантированный результат будет получен не ранее чем через полгода. Другой вариант – подписать контракт на расширенное обслуживание системы, делегировав все трудоемкие и рутинные задачи по работе с системой внешнему сервис-провайдеру с многолетним опытом. На практике оба варианта вполне сопоставимы.

Другой пример. Банк планирует реализовать защищенную аутентификацию на своем интернет-портале. Уже определены потребности, выбрано решение, разработаны технические требования и архитектура. Но бизнес-подразделения требуют от технических служб гарантированных параметров доступности системы не ниже 99,5% в режиме 24х7х365. Способно ли подразделение информационной безопасности из 5 человек, работающее в режиме 8х5, гарантировать такие показатели? Очевидно, что нет. Готово ли IТ-подразделение, имеющее полноценную круглосуточную дежурную смену, взять на себя ответственность за такие показатели (при том, что приложение им совершенно не знакомо)? Логично, что тоже нет. При этом деятельность внешнего подрядчика с собственным штатом сотрудников и глубоким изучением продукта, напротив, оказывается успешной по обоим пунктам.


Не меньшее влияние на потребности во внешних услугах оказывают и регуляторы. Недавние изменения в стандарте PCI DSS коснулись одной из самых "горячих" ИБ-тематик последних лет – сбора событий и выявления инцидентов информационной безопасности. И если старая версия стандарта позволяла сертифицируемой компании закрыть требование банальной установкой syslog-сервера, то теперь требования в части автоматизированной обработки событий и круглосуточного мониторинга инцидентов вынуждают компании возвращаться к вопросам выделения бюджетов под SIEM или Log Management решения Enterprise-уровня. Из-за существенной стартовой стоимости платформы многие банки начали рассматривать варианты по получению лицензий в арендной схеме или организации такого сервиса в облачной модели.

JSOC (Jet Security Operation Center) – первый в России коммерческий Центр мониторинга и реагирования на инциденты ИБ. Сейчас он обрабатывает миллиарды событий, выявляет из них тысячи подозрительных активностей, идентифицирует сотни атак, дежурные смены в круглосуточном режиме их разбирают, расследуют, вырабатывают сценарии реагирования и отражают их. Распределенная архитектура как ЦОД, так и офисов (специалисты JSOC базируются не только в Москве, но и в Нижнем Новгороде) позволяет клиентам получить непрерывные и бесперебойные сервисы ИБ. Услуги оказываются на основании подписки без необходимости капитальных стартовых вложений.

А иногда случается, что и SIEM-платформа в компании уже есть, и настроена она согласно текущим задачам, однако возникший инцидент ИБ не только не удается предотвратить, но даже расследовать "по горячим следам". Это случается по самым различным причинам: инцидент произошел в ночное время, первая линия мониторинга IТ-служб не смогла соответственно классифицировать и приоритезировать возникшие события или используемых ранее аналитических инструментов просто не хватило для оперативного расследования. В результате компании нередко задумываются об организации полноценного SOC на базе своего SIEM. Это требует набора и обучения круглосуточной дежурной смены в рамках подразделения ИБ, выстраивания процесса эскалации проблем, создания и регламентирования работы CIRT (Critical Incident Response Team/группы расследования инцидентов), масштабирования и постоянного развития системы.

Решение: уравнение с коммерческим SOC`ом

Опыт реализации нашей собственной услуги JSOC, запущенной как раз для решения описанных задач наших клиентов, показывает, что, помимо финансовой сложности построения SOC, немаловажную роль играет еще и текучка персонала. Состав круглосуточной первой линии в течение года может обновляться до 20%. При этом вхождение нового сотрудника в коллектив (обучение, адаптация, передача знаний) занимает не менее 4–5 месяцев. В итоге для компании, планирующей ресурсы "без запаса" или не уделившей должного внимания процедуре обучения сотрудника, процесс обновления штата связан с существенным снижением эффективности работы сервиса.

Приведенные примеры позволяют считать, что ни одной современной компании не чужды проблемы, являющиеся своего рода "катализаторами" выбора аутсорсинговых услуг, и аутсорсинг ИБ – это реально существующая потребность текущего российского рынка.

Постоянный коэффициент: на что обратить внимание, выбирая сервис-провайдера?

В первую очередь – на реальную возможность выполнять обязательства, которые на него планируется возложить. В частности, следует обратить внимание на наличие круглосуточной смены специалистов, возможность их оперативной замены, выстроенные процессы обучения и подготовки персонала и, несомненно, наличие экспертизы в требуемой области. Крупный сервис-провайдер обычно готов продемонстрировать свой персонал и подтвердить свои компетенции.

Сервис/аутсорсинг систем информационной безопасности от компании "Инфосистемы Джет" это:

  • 20 лет на рынке сервисных услуг;
  • выделенная группа в Центре информационной безопасности, работающая в круглосуточном режиме;
  • собственный коммерческий центр мониторинга и реагирования на инциденты (JSOC);
  • возможность полной поддержки системы с уровня "железа";
  • экспертиза по большинству систем ИБ, представленных на рынке.

Во-вторых, важно понимать, какие меры принимает сервис-провайдер для того, чтобы обеспечить безопасность оказываемых услуг. Причем речь идет не только о защите соединения и правильных парольных политиках. Это и комплекс средств защиты, которые позволяют защитить критичную информацию от третьих лиц, и тщательно проработанная техническая схема взаимодействия, позволяющая исключить или ограничить доступ сервис-провайдера к ней, и набор организационных мероприятий по соответствующему обучению сотрудников.

Нельзя не упомянуть про "горячую" сейчас тему контроля администраторов. Мы, например, организуем полноценное журналирование и протоколирование действий всех администраторов и операторов оказываемых услуг, а также явное разделение доступа сотрудников к системам компаний, подключенных к JSOC, в зависимости от их роли, квалификации и обязанностей. Для управления данным комплексом защитных сред выделена отдельная группа сотрудников для соблюдения непредвзятого контроля работ.

В-третьих, безусловно, правильным будет уделить внимание уровню доверия к сервис-провайдеру со стороны его клиентов и готовности строить с ним долгосрочные отношения. При отсутствии взаимного желания преодолевать трудности и совместно выстраивать процессы оказания аутсорсинговых услуг вероятность успеха снижается многократно.

ИНФОСИСТЕМЫ ДЖЕТ, КОМПАНИЯ
127015 Москва,
ул. Большая Новодмитровская, 14, стр. 1
Тел.: (495) 411-7601, 411-7603
Факс: (495) 411-7602
E-mail: info@jet.msk.su
www.jet.msk.su

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2014
Посещений: 6085

Приобрести этот номер или подписаться
  Автор

Владимир Дрюков

Владимир Дрюков

Руководитель направления аутсорсинга ИБ
Центра информационной безопасности компании
“Инфосистемы Джет"

Всего статей:  2

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций