ИБ-аутсорсинг – задачка с "живыми" условиями

Владимир Дрюков
Руководитель направления аутсорсинга
ИБ Центра информационной безопасности
компании “Инфосистемы Джет"

Дано: кому, когда и для чего это нужно?

Представим ситуацию: компания построила распределенную систему мониторинга и защиты баз данных. Однако в процессе эксплуатации руководитель подразделения ИБ столкнулся с "суровой реальностью" – задачи поддержания работоспособности и актуального состояния этой системы (и это не включая расследование выявляемых системой инцидентов) отнимают примерно половину рабочего времени как минимум одного из его сотрудников. В итоге он оказывается перед непростым выбором. С одной стороны, можно согласовать дополнительную штатную единицу для подразделения ИБ, найти соответствующего человека, обучить его и управлять его рабочими процессами и загрузками файлов. При всем этом гарантированный результат будет получен не ранее чем через полгода. Другой вариант – подписать контракт на расширенное обслуживание системы, делегировав все трудоемкие и рутинные задачи по работе с системой внешнему сервис-провайдеру с многолетним опытом. На практике оба варианта вполне сопоставимы.

Другой пример. Банк планирует реализовать защищенную аутентификацию на своем интернет-портале. Уже определены потребности, выбрано решение, разработаны технические требования и архитектура. Но бизнес-подразделения требуют от технических служб гарантированных параметров доступности системы не ниже 99,5% в режиме 24х7х365. Способно ли подразделение информационной безопасности из 5 человек, работающее в режиме 8х5, гарантировать такие показатели? Очевидно, что нет. Готово ли IТ-подразделение, имеющее полноценную круглосуточную дежурную смену, взять на себя ответственность за такие показатели (при том, что приложение им совершенно не знакомо)? Логично, что тоже нет. При этом деятельность внешнего подрядчика с собственным штатом сотрудников и глубоким изучением продукта, напротив, оказывается успешной по обоим пунктам.

Не меньшее влияние на потребности во внешних услугах оказывают и регуляторы. Недавние изменения в стандарте PCI DSS коснулись одной из самых "горячих" ИБ-тематик последних лет – сбора событий и выявления инцидентов информационной безопасности. И если старая версия стандарта позволяла сертифицируемой компании закрыть требование банальной установкой syslog-сервера, то теперь требования в части автоматизированной обработки событий и круглосуточного мониторинга инцидентов вынуждают компании возвращаться к вопросам выделения бюджетов под SIEM или Log Management решения Enterprise-уровня. Из-за существенной стартовой стоимости платформы многие банки начали рассматривать варианты по получению лицензий в арендной схеме или организации такого сервиса в облачной модели.

А иногда случается, что и SIEM-платформа в компании уже есть, и настроена она согласно текущим задачам, однако возникший инцидент ИБ не только не удается предотвратить, но даже расследовать "по горячим следам". Это случается по самым различным причинам: инцидент произошел в ночное время, первая линия мониторинга IТ-служб не смогла соответственно классифицировать и приоритезировать возникшие события или используемых ранее аналитических инструментов просто не хватило для оперативного расследования. В результате компании нередко задумываются об организации полноценного SOC на базе своего SIEM. Это требует набора и обучения круглосуточной дежурной смены в рамках подразделения ИБ, выстраивания процесса эскалации проблем, создания и регламентирования работы CIRT (Critical Incident Response Team/группы расследования инцидентов), масштабирования и постоянного развития системы.

Решение: уравнение с коммерческим SOC`ом

Опыт реализации нашей собственной услуги JSOC, запущенной как раз для решения описанных задач наших клиентов, показывает, что, помимо финансовой сложности построения SOC, немаловажную роль играет еще и текучка персонала. Состав круглосуточной первой линии в течение года может обновляться до 20%. При этом вхождение нового сотрудника в коллектив (обучение, адаптация, передача знаний) занимает не менее 4–5 месяцев. В итоге для компании, планирующей ресурсы "без запаса" или не уделившей должного внимания процедуре обучения сотрудника, процесс обновления штата связан с существенным снижением эффективности работы сервиса.

Приведенные примеры позволяют считать, что ни одной современной компании не чужды проблемы, являющиеся своего рода "катализаторами" выбора аутсорсинговых услуг, и аутсорсинг ИБ – это реально существующая потребность текущего российского рынка.

Постоянный коэффициент: на что обратить внимание, выбирая сервис-провайдера?

В первую очередь – на реальную возможность выполнять обязательства, которые на него планируется возложить. В частности, следует обратить внимание на наличие круглосуточной смены специалистов, возможность их оперативной замены, выстроенные процессы обучения и подготовки персонала и, несомненно, наличие экспертизы в требуемой области. Крупный сервис-провайдер обычно готов продемонстрировать свой персонал и подтвердить свои компетенции.

Во-вторых, важно понимать, какие меры принимает сервис-провайдер для того, чтобы обеспечить безопасность оказываемых услуг. Причем речь идет не только о защите соединения и правильных парольных политиках. Это и комплекс средств защиты, которые позволяют защитить критичную информацию от третьих лиц, и тщательно проработанная техническая схема взаимодействия, позволяющая исключить или ограничить доступ сервис-провайдера к ней, и набор организационных мероприятий по соответствующему обучению сотрудников.

Нельзя не упомянуть про "горячую" сейчас тему контроля администраторов. Мы, например, организуем полноценное журналирование и протоколирование действий всех администраторов и операторов оказываемых услуг, а также явное разделение доступа сотрудников к системам компаний, подключенных к JSOC, в зависимости от их роли, квалификации и обязанностей. Для управления данным комплексом защитных сред выделена отдельная группа сотрудников для соблюдения непредвзятого контроля работ.

В-третьих, безусловно, правильным будет уделить внимание уровню доверия к сервис-провайдеру со стороны его клиентов и готовности строить с ним долгосрочные отношения. При отсутствии взаимного желания преодолевать трудности и совместно выстраивать процессы оказания аутсорсинговых услуг вероятность успеха снижается многократно.