пр Актуальность аутсорсинга ИБ в России 2015 12-10
TRANSCRIPT
ПОЧЕМУ АУТСОРСИНГ ИБ СТАНОВИТСЯ ВСЕ БОЛЕЕ ВОСТРЕБОВАННЫМ В РОССИИ?Прозоров Андрей, CISMРуководитель экспертного направления, Solar Security
Мой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave
solarsecurity.ru +7 (499) 750-07-70 2
Outsoursing -‐ A formal agreement with a third partyto perform Information systems or other businessfunctions for an enterprise.Аутсорсинг – формальное соглашение с третьей стороной на
предоставление ИС или других бизнес-‐функций для предприятия.
ISACA
solarsecurity.ru +7 (499) 750-07-70 3
Managed Security Services (MSS) are network securityservices that have been outsourced to a serviceprovider. A company providing such a service is aManaged Security Service Provider (MSSP)
Управляемые сервисы безопасности -‐ это такие сервисы сетевойбезопасности, которые переданы на аутсорсинг сервис-‐провайдеру
WiKi
solarsecurity.ru +7 (499) 750-07-70 4
Managed Security Services (MSS) -‐ the remotemonitoring or management of IT security functionsdelivered via shared services from remote securityoperations centers (SOCs), not through personnel on-‐site." Therefore, MSSs do not include staffaugmentation, or any consulting or development andintegration services.
Gartner
solarsecurity.ru +7 (499) 750-07-70 5
Перечень базовых сервисов (MSS)
v Monitored or managed firewalls or intrusion prevention systems (IPSs)
v Monitored or managed intrusion detection systems (IDSs)
v Monitored or managed multifunction firewalls, or unified threat management (UTM) technology
v Managed or monitored security gateways for messaging or Web traffic
v Security analysis and reporting of events collected from IT infrastructure logs
v Reporting associated with monitored/managed devices and incident response
v Managed vulnerability scanning of networks, servers, databases or applications
v Distributed denial of service (DDoS) protection
v Monitoring or management of customer-‐deployed securityinformation and event management (SIEM) technologies
v … Gartner
solarsecurity.ru +7 (499) 750-07-70 6
Прогноз Gartner про рынок ИБ
Forecast Analysis: Information Security, Worldwide (2015-‐09-‐08)«The information security market will grow at a CAGR of 7.4% through 2019. Securitytesting, outsourcing and identity access management are the biggest growth opportunities.Government initiatives, increased legislation and several high-‐profile data breaches aredriving security spending.»
Рынок ИБ будет ежегодно расти на 7,4% до 2019 года.Наибольшие возможности для роста будут у следующих областей:v Проверка ИБ (security testing)v Аутсорсинг ИБv Управление идентификацией и доступом (IAM)
solarsecurity.ru +7 (499) 750-07-70 7
Ничего не передают на аутсорсинг ИБ лишь
20% компаний (Мир)
EnY
solarsecurity.ru +7 (499) 750-07-70 8
А что в России?
solarsecurity.ru +7 (499) 750-07-70 9
Аутсорсинг в РФ (услуги JSOC)
4%
7%
7%
7%
16%
13%
46%
0% 10% 20% 30% 40% 50%
Анти-‐DDoS
Анализ кода приложений
Защита web-‐приложений
Контроль защищенности
Защита от киберпреступности
Администрирование систем безопасности
Мониторинг инцидентов
solarsecurity.ru +7 (499) 750-07-70 10
Обычно на аутсорсинг в РФ отдают важные процессы ИБ, которые уже пытались внедрить самостоятельно, но «не взлетело»…
solarsecurity.ru +7 (499) 750-07-70 11
Почему используют аутсорсинг ИБ в РФ?
32%
22%
18%
12%
10%
6%
НЕХВАТКА ПЕРСОНАЛА
ОРГАНИЗАЦИЯСЕРВИСОВ 24*7
НЕОБХОДИМОСТЬ БЫСТРОГО СТАРТА СЕРВИСОВ
НЕОБХОДИМОСТЬРАЗНОПЛАНОВОЙ ЭКСПЕРТИЗЫ
СНИЖЕНИЕ ЗАВИСИМОСТИ ОТ СВОИХ СПЕЦИАЛИСТОВ
СОКРАЩЕНИЕ УПРАВЛЕНЧЕСКИХ ЗАТРАТ
solarsecurity.ru +7 (499) 750-07-70 12
Безопасности 8*5 уже не достаточно
Solar JSOC Q2 2015
solarsecurity.ru +7 (499) 750-07-70 13
Solar JSOC Q2 2015
За Q2 2015 выявлено 47 876 событий с подозрением на инцидент. Их них критичных инцидентов – 7,9%
solarsecurity.ru +7 (499) 750-07-70 14
Чем выявляются атаки?
Solar JSOC Q2 2015
41,4%58,6%
События ИБ, выявленные с использованием сложной аналитики (SIEM, DLP, TI, PC и пр.)
События ИБ, выявленные базовыми СЗИ (МЭ, IPS, сетевое оборудование и пр.)
solarsecurity.ru +7 (499) 750-07-70 15
solarsecurity.ru +7 (499) 750-07-70 16
Внутренний SIEM Аутсорсинг
Время до старта 6-‐9 месяцев 5-‐7 недели
Уровень компетенций персонала
Средний Высокий
Форма затрат CapEx и OpEx OpEx
Предсказуемость затрат Средняя Высокая
Источник методологии Заказчик/Консультант Провайдер услуг
Режим работы Обычно 8х5 или 12х5 Обычно 24х7
Хранение событий ИБ Локально За пределами организации
Зависимость от сложившейся «плохой» практики
Высокая Низкая
Возможности по реагированию Полные Формальные, в рамках SLA
solarsecurity.ru +7 (499) 750-07-70 17
Что еще развивает аутсорсинг ИБ в России?
v ГосСОПКА + ФЗ о КИИ, FinCERT
v Рост конкуренции российских MSSP
v Наличие сложных мер ИБ в ПриказахФСТЭК России №17/21/31
solarsecurity.ru +7 (499) 750-07-70 18
Указ Президента №31с
2. Определить основными задачами государственной системыобнаружения, предупреждения и ликвидации последствийкомпьютерных атак на информационные ресурсы РФ:
а) прогнозирование ситуации в области обеспечения информационной безопасности РФ;б) обеспечение взаимодействия владельцев информационных ресурсов РФ, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;в) осуществление контроля степени защищенности критической информационной инфраструктуры РФ от компьютерных атак;г) установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов РФ.
solarsecurity.ru +7 (499) 750-07-70 19
ФСТЭК России про услуги ИБ
Приказ 17 (ГосИС)
«Для проведения работ по защите информации в ходе создания и эксплуатацииинформационной системы обладателем информации (заказчиком) и оператором всоответствии с законодательством РФ при необходимости привлекаются организации,имеющие лицензию на деятельность по технической защите конфиденциальнойинформации.»
Приказ 21 (ПДн)
«Для выполнения работ по обеспечению безопасности ПДн при их обработке винформационной системе в соответствии с законодательством РФ могут привлекаться надоговорной основе юридическое лицо или индивидуальный предприниматель, имеющиелицензию на деятельность по технической защите конфиденциальной информации.»
solarsecurity.ru +7 (499) 750-07-70 20
Сложные меры из Приказов 17/21/31
V. Регистрация событий безопасности (РСБ)
VII. Обнаружение вторжений (СОВ)
XIV. Обеспечение безопасной разработки
прикладного (специального) ПО разработчиком (ОБР)
XX. Выявление инцидентов и реагирование на них
(ИНЦ)
XXI. Управление конфигурацией
автоматизированной системы управления и ее системы защиты (УКФ)
VIII. Контроль (анализ) защищенности
информации (АНЗ)
solarsecurity.ru +7 (499) 750-07-70 21
Есть ощущение, что аутсорсинг ИБ в России будет стабильно развиваться…
solarsecurity.ru +7 (499) 750-07-70 22
Кстати, наш аутсорсинг выглядит так
СПАСИБО ЗА ВНИМАНИЕ!
Прозоров Андрей, CISM
Моя почта: [email protected]Мой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave