1. Нові виклики інформаційної безпеки
2. Ринок аутсорсингу інформаційної безпеки
3. Принципи аутсорсингу інформаційної безпеки
4. Сучасні тенденції в аутсорсингу інформаційної безпеки

У статті розповідається про стан і тенденції ринку аутсорсингу інформаційної безпеки в Росії і в світі. Наводяться основні гравці ринку і перелік послуг, які можуть, або навпаки, не повинні віддаватися на аутсорсинг. Додатково в статті розповідається про механізм надання такого роду послуг.

1. Нові виклики інформаційної безпеки

2. Ринок аутсорсингу інформаційної безпеки

3. Принципи аутсорсингу інформаційної безпеки

4. Сучасні тенденції в аутсорсингу інформаційної безпеки

Нові виклики інформаційної безпеки

Відповідно до щорічного звіту корпорації Symantec про загрози інтернет-безпеки Internet Security Threat Report 2014 сучасні кібер-атаки стають все більш таргетовану, а їх проведення помітно спрощується і не призначає означений час зловмисників високої кваліфікації.

Корпорація IBM в своєму звіті Cyber ​​Security Intelligence Index 2014 зазначає, що кількість інцидентів інформаційної безпеки з кожним роком неухильно зростає. У 2013 році у різних компаній по всьому світу було викрадено понад 500 млн записів з конфіденційною інформацією клієнтів, включаючи адреси електронної пошти, номери банківських карт і паролі.

Практично всі великі організації з числом співробітників від 1000 до 5000 осіб багаторазово стикаються із загрозами безпеці протягом року. За статистикою IBM середня кількість подій (security events) для кожної компанії за рік перевищує 91 млн, що виливається в середньому в 110 інцидентів інформаційної безпеки .

Ринок аутсорсингу інформаційної безпеки

Виходячи з існуючого рівня загроз, сучасні системи ІБ реалізують принцип defense-in-depth, або «многоешелонірованной» захисту. Вони включають підсистеми мережевої безпеки (часто гетерогенні з позицій використовуваного обладнання), антивірусні підсистеми, підсистеми суворої аутентифікації, резервного копіювання, моніторингу та ін. Їх створення і підтримка вимагають придбання досить дорогих програмно-апаратних комплексів та залучення висококваліфікованих фахівців.

У великих компаніях, що мають великий штат ІТ-департаменту, проблема підбору висококласних фахівців не стоїть так гостро, як в організаціях середнього та малого бізнесу. Однак велика інертність великого бізнесу не дозволяють швидко реагувати на нові загрози і наймати потрібних фахівців. У Росії ситуація ускладнюється ще й тим, що знайти на ринку недорогий висококваліфікований персонал в принципі дуже важко.

Аутсорсинг (від англ. Outsourcing: (outer-source-using) використання зовнішнього джерела / ресурсу) - передача організацією, на підставі договору, певних бізнес-процесів або виробничих функцій на обслуговування іншій компанії, що спеціалізується у відповідній області. На відміну від послуг сервісу і підтримки, що мають разовий, епізодичний, випадковий характер і обмежених початком і кінцем, на аутсорсинг передаються зазвичай функції по професійній підтримці безперебійної працездатності окремих систем і інфраструктури на основі тривалого контракту (не менше 1 року).

Наявність бізнес-процесу є відмінною рисою аутсорсинга від різних інших форм надання послуг і абонентського обслуговування. Метою цього огляду є визначення, що є аутсорсинг взагалі і системи інформаційної безпеки (ІБ) зокрема, затребуваний чи подібний сервіс на російському ринку, які додаткові ризики вносить така модель підтримки системи ІБ підприємства.

Базове перевага аутсорсингу для діяльності організації полягає в тому, що аутсорсинг оптимізує цю діяльність за рахунок того, що дозволяє зосередити функціонування на основному, першочерговому напрямку. За рахунок такої практичної цінності аутсорсинг швидко і успішно прижився в бізнес-сфері як технологія, яка допомагає вирішити проблему скорочення прихованих витрат, збільшення адаптації до мінливих умов зовнішнього середовища, поліпшення якості продукції, що випускається і послуг, кваліфікованого управління ризиками.

У провідних світових країнах вже давно існують компанії, які спеціалізуються тільки на надання послуг з аутсорсингу ІБ. Такі компанії називаються Managed Security Service Providers (MSSP) і надають послуги аутсорсингу всіх підсистем ІБ, наприклад:

• управління міжмережевими екранами;
• управління системами виявлення та запобігання вторгнень (IPS / IDS);
• управління системами захисту від DDoS;
• управління системами контентної фільтрації електронної пошти та веб-трафіку;
• аналіз вразливостей і тестування системи (включаючи проведення тестів на проникнення);
• управління антивірусними системами;
• управління системами система збору та обробки інформації про інциденти (SIEM);
• управління системами аутентифікації і авторизації;
• управління криптографічними системами, включаючи побудова віртуальних приватних мереж (VPN) та інфраструктури відкритих ключів (PKI).

Необхідно пам'ятати, що сервіс-провайдер управляє інфраструктурою ІБ, її сегментами або деякими процесами системи управління ІБ, але не несе відповідальності за розробку корпоративної політики ІБ або вимог до системи ІБ, хоча зобов'язаний їх дотримуватися.

Зокрема при використанні аутсорсингу ІБ рекомендується дотримуватися наступних правил:

1. Не можна передавати на аутсорсинг завдання без метрик результативності та без розуміння чіткого результату.
2. Не можна передавати на аутсорсинг завдання, розмір якої не відповідає розміру бізнесу сервіс-провайдера.
3. Не можна передавати сервіс-провайдеру функцію «прийняття ризиків».

При виконанні цих трьох умов проекти з аутсорсингу інформаційної безпеки не повинні викликати проблем на стороні клієнта.

Що стосується самих сервіс-провайдерів, то вже сформована досить велика група компаній, які надають подібні послуги на міжнародному рівні. згідно зі звітом Gartner Magic Quadrant for Global MSSPs 2014 до лідерів цього ринку можна віднести такі компанії як: IBM, Dell SecureWorks, Symantec, HP, CSC, Trustwave, Qualys, Verizon, AT & T, BT, Orange Bussiness Services і інші (див. Малюнок 1).

Малюнок 1. Gartner Magic Quadrant for Global MSSPs 2014

У Росії ринок послуг MSSP також розвивається, хоча і не такими швидкими темпами, як в Європі і США. Це пов'язано з рядом цілком очевидних факторів, наприклад, «віддати на відкуп» тільки систему інформаційної безпеки часто досить складно - вона тісно інтегрована з самої ІТ-системою підприємства. Тому на аутсорсинг нерідко передається котрась із підсистем ІБ, наприклад антивірусна або система мережевої безпеки. Іншим варіантом може виступати розширена технічна підтримка рішень на стороні замовника, яка виконується зовнішніми фахівцями.

Світова статистика щодо залучення сторонніх організацій для виконання послуг з аутсорсингу ІБ свідчить, що такого роду послугами користуються все більше число компаній і темпи зростання цього ринку дуже високі. Так аналітичне агентство Frost & Sullivan в своєму звіті Global Managed Security Service Providers Market оцінило глобальний ринок послуг MSSP в 2011 році в $ 6.6 млрд. Очікується, що до 2016 року цей ринок виросте до $ 15.63 млрд. Таким чином, протягом п'яти років ринок буде рости в середньому на 27% щорічно.

Російський ринок традиційно відстає. На ньому сьогодні більш затребувана послуга аутстаффінгу, або розширеної технічної підтримки з мінімальним часом реакції. Найчастіше ці послуги так чи інакше пов'язані з Big Data, SaaS, розробкою ПЗ або дата-центрами. Однак в останні кілька років на російський ринок зі своїми послугами активно приходять західні компанії, а російські гравці вистоюють власні центри реагування на інциденти. Але про все по порядку, спочатку розглянемо саму механіку, принципи надання такого роду послуг.

Принципи аутсорсингу інформаційної безпеки

Отже, якими принципами необхідно керуватися, на що варто звернути увагу? Відповіді можна знайти в стандартах з управління ІБ, наприклад, в ISO 27001 діє до: 2013; ISO 13335-3; NIST SP800-35 Guide to Information Technology Security Services або в Cobit 4.0 і 5.0. У контрактах з аутсорсингу необхідно звернути увагу в першу чергу на наступні питання.

1. Юридичні аспекти, відповідність національним законодавчим вимогам та вимогам внутрішніх регуляторів. Наприклад, забезпечення схоронності персональних даних (особливо актуально для бізнесу e-commerce), збереження і цілісність даних клієнтів банків (вимоги Банку Росії) і т.д.
2. Розподіл відповідальності, в тому числі на субпідрядників сервіс-провайдера.
3. Забезпечення сервіс-провайдером конфіденційності, цілісності і доступності оброблюваної, що зберігається і переданої інформації (в тому числі необхідно однозначно визначити і погодити, які логічні, програмно-технічні та фізичні засоби контролю і контрзаходи будуть застосовані).
4. Сервіси і заходи, які будуть підтримуватися в разі виникнення надзвичайних ситуацій, наприклад катастрофи (визначення участі в планах DCP і DRP в частині підтримки цих планів і рівня відповідальності сторін).
5. Можливість проведення незалежного аудиту системи ІБ третьою стороною (наприклад, відповідно до стандарту SAS 70, PCI DSS і т.д.).
6. Рівень наданої сервіс-провайдером послуги, закріплений документально (SLA).
7. Можливість делегування ризиків сервіс-провайдеру в разі виникнення критичних ситуацій.

На останніх двох пунктах варто зупинитися детальніше.

SLA або Угода про рівень надання послуги (англ. Service Level Agreement (SLA)) - термін методології ITIL, що позначає формальний договір між замовником (в рекомендаціях ITIL замовник і споживач - різні поняття) послуги та її постачальником, що містить опис послуги, права та обов'язки сторін і, найголовніше, погоджений рівень якості надання даної послуги. У такій угоді може міститися детальний опис сервісу, в тому числі перелік параметрів якості, методів і засобів їх контролю, часу відгуку постачальника на запит від споживача, а також штрафні санкції за порушення цієї угоди. Для того, щоб дотримати SLA оператор мережі в свою чергу укладає операційне угоду про рівень послуг (OLA) з іншими внутрішніми підрозділами від яких залежить якість надання послуг. В ідеалі SLA визначається як особливий сервіс. Це дозволяє конфігурувати апаратне і програмне забезпечення для максимізації здатності задовольняти SLA. Параметри якості послуги, зазначені в SLA, повинні бути вимірюваними, тобто подати у вигляді числових метрик. Наприклад, для послуги доступу в Інтернет це може бути максимальний час недоступності, максимальну сумарну час недоступності за період (наприклад, за місяць). Швидкість доступу при цьому є поганим параметром, оскільки залежить не тільки від оператора, але і від інших операторів, від завантаженості сервера сайту і т. П., На що, як правило, постачальник вплинути не може.

На жаль, розвиненою практики складання SLA і контролю його виконання в країнах СНД поки немає, а використання KPI в цьому випадку часто викликає нерозуміння.

Під час укладання договору на аутсорсинг слід також визначити, яким чином можна буде комбінувати ризики і стратегії управління ІБ двох різних організацій - Замовника і Виконавця.

Топ-менеджери компаній - потенційних замовників традиційно очікують, що всі критичні інциденти інформаційної безпеки будуть виявлятися в цілодобовому режимі і тривалість реакції на них складе хвилини, але ніяк не години або дні. Поряд з цим в рамках підрозділу ІБ практично ніколи не створюється повноцінна чергова зміна, яка функціонує в режимі 24х7 і готова витримувати високий рівень сервісів з аналізу інцидентів.

У свою чергу, розширення підрозділу, необхідне для створення подібної зміни, практично не вдається обґрунтувати перед керівництвом, так як інциденти, що відбуваються поза стандартних меж робочого часу, не дуже часті, а витрати на персонал, навпаки, дуже істотні. Аргументом виступає фраза: «У нас є хелп-деск, це його завдання».

Сучасні тенденції в аутсорсингу інформаційної безпеки

Одним з найважливіших сегментів, для яких питання безпеки є архіважливими, є банківський сектор, а також рітейл і критично-важливі об'єкти інфраструктури. Так інформаційної безпеки в банківській сфері має приділятися максимум уваги, а значить, і коштів. Але ситуація, що склалася в Росії, викликає подив. На підтримку і розвиток ІБ банки виділяють недостатньо коштів, вважаючи це непродуктивними витратами, а боротьба з основним джерелом інформаційних втрат - інсайдерами - практично не ведеться. Ситуація докорінно почала змінюватися лише в останні 2-3 роки, коли атаки стали таргінг і захист інтелектуальної власності та іміджу компанії стала злободенною темою.

Захист інформації залишається для банків самої критичною проблемою - будь-який витік даних може привести як до прямих матеріальних втрат, так і до погіршення репутації на довгострокову перспективу. У зв'язку з цим банківський сектор вважається головним споживачем систем інформаційної безпеки, а бюджет, що виділяється на них в кредитних організаціях, значно перевищує ІБ-бюджети компаній нефінансового сектора.

Російським банкам потрібен Державний центр реагування на комп'ютерні інциденти, вважає виконавчий директор Асоціації російських банків (АРБ) Валерій Шипілов. Про плани створення такого центру він розповів на VI Уральському форумі «Інформаційна безпека банків» в Магнітогорську.

По всій видимості, такий Центр в Росії буде створено: цю ідею підтримали перший заступник голови ЦБ РФ Георгій Лунтовський, начальник Головного управління безпеки і захисту інформації ЦБ РФ Олег Крилов і представники Департаменту національної платіжної системи ЦБ РФ.

Виходячи з офіційного повідомлення АРБ, Центр реагування повинен допомогти оперативній взаємодії та обміну інформацією між кредитними організаціями, регуляторами, банківськими асоціаціями та правоохоронними органами. Створення незалежного органу реакції на інциденти ІБ дозволить реально оцінювати загрози і ризики банківського сектора без приховування «небажаної інформації в іміджевих цілях». У зв'язку з цим з'явилася явна тенденція передачі частини функцій ІБ - обробки інцидентів і аналізу ризиків хоча б в одному з найважливіших сегментів, який може стати двигуном розвитку аутсорсингу.

Другим важливим аспектом, який надасть, безумовно, вплив на цей ринок - створення зовнішніх центрів реагування на інциденти ІБ, так звані Security Operation Center (далі SOC). І, якщо на Заході цей сегмент досить добре представлений (наприклад, колишній ЦОД Bunker, який перетворився в добре оснащений SOC і одним з перших отримав сертифікат PCI DSS), то в нашій країні «перші паростки» у вигляді SOC стали з'являтися тільки зараз.

Першим стартапом в цій області є JSOC (Jet Security Operation Center), що належить компанії «Інфосистеми Джет» - одному з найбільших російських системних інтеграторів. Він став першим в Росії комерційним Центром моніторингу та реагування на інциденти ІБ. Зараз він обробляє мільярди подій, виявляє з них тисячі підозрілих активностей, ідентифікує сотні атак, чергові зміни в цілодобовому режимі їх розбирають, розслідують, виробляють сценарії реагування і відображають їх. Розподілена архітектура як ЦОД, так і офісів (фахівці JSOC базуються не тільки в Москві, але і в Нижньому Новгороді) дозволяють клієнтам отримати безперервні і безперебійні сервіси ІБ. Послуги надаються на підставі підписки без необхідності капітальних стартових вкладень. Для організацій, націлених на забезпечення цілодобового моніторингу інцидентів, передача цього завдання на аутсорсинг в JSOC дозволить істотно знизити прямі витрати на створення і впровадження інфраструктурних рішень, в тому числі відповідних вимогам стандарту PCI DSS, - і що найскладніше - забезпечити виконання відповідних процедур.

Які ще Преимущества может дати робота з подібним сервіс-провайдером? У Першу Черга, - прозорість и керованість витрат на забезпечення послуги. У разі Підписання сервісного контракту всі питання підбору персоналу, его адаптації та навчання, контролю ефектівності роботи и поиска замін на годину хвороб або Відпусток перестають буті завдання компании-замовника. Сервіс-провайдер відповідає за Певна якість послуг, в тому чіслі матеріально и репутаційно. У тій же година SOC зовнішнього сервіс-провайдера вікорістовує и враховує Накопичення досвід відразу декількох проектів, что підвіщує ефективність Виявлення та обробка інцідентів, підвіщує якість РІШЕНЬ по їх ескалації. Зокрема, в разі атаки на одну з захищаються їм компаній сервіс-провайдер докладе всіх зусиль для того, щоб бути готовим до аналогічних атак на інших своїх замовників і протидіяти їм з максимальною ефективністю.

Подібна сервісна модель істотно знижує ризики, пов'язані з простим розміщенням обладнання в ЦОД (обслуговування своїми силами породжує ризики, пов'язані з відмовами обладнання - як фізичними, так і логічними, низьким часом реакції на інциденти ІБ, а це ключові параметри якості!), Тому великим організаціям потрібно дуже серйозно оцінити цю нову послугу. Це в дусі приписів міжнародних стандартів безпеки, які вимагають, щоб організація визначала зовнішні і внутрішні аспекти, які мають відношення до її мети і впливають на її здатність до досягнення очікуваних результатів від системи менеджменту інформаційної безпеки.

Як показує практика, якщо у компанії немає стійкого неприйняття ідеї використання зовнішніх підрядників в питаннях забезпечення інформаційної безпеки, то зазначений варіант є одним з оптимальних шляхів по запуску Security Operation Center і переходу до оперативного та ефективного управління інцидентами інформаційної безпеки, як цього сьогодні вимагає навколишнє оточення .