ПОЧЕМУ АУТСОРСИНГ ИБ СТАНОВИТСЯ ВСЕ БОЛЕЕ ВОСТРЕБОВАННЫМ В РОССИИ?Прозоров Андрей, CISMРуководитель экспертного направления, Solar Security

Мой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave

solarsecurity.ru +7 (499) 750-07-70 2

Outsoursing -­‐ A formal agreement with a third partyto perform Information systems or other businessfunctions for an enterprise.Аутсорсинг – формальное соглашение с третьей стороной на

предоставление ИС или других бизнес-­‐функций для предприятия.

ISACA

solarsecurity.ru +7 (499) 750-07-70 3

Managed Security Services (MSS) are network securityservices that have been outsourced to a serviceprovider. A company providing such a service is aManaged Security Service Provider (MSSP)

Управляемые сервисы безопасности -­‐ это такие сервисы сетевойбезопасности, которые переданы на аутсорсинг сервис-­‐провайдеру

WiKi

solarsecurity.ru +7 (499) 750-07-70 4

Managed Security Services (MSS) -­‐ the remotemonitoring or management of IT security functionsdelivered via shared services from remote securityoperations centers (SOCs), not through personnel on-­‐site." Therefore, MSSs do not include staffaugmentation, or any consulting or development andintegration services.

Gartner

solarsecurity.ru +7 (499) 750-07-70 5

Перечень базовых сервисов (MSS)

v Monitored  or  managed  firewalls  or  intrusion  prevention  systems   (IPSs)

v Monitored  or  managed  intrusion  detection  systems   (IDSs)  

v Monitored  or  managed  multifunction   firewalls,  or  unified   threat  management  (UTM)  technology  

v Managed  or  monitored   security  gateways  for  messaging  or  Web   traffic  

v Security  analysis   and  reporting  of  events  collected  from  IT  infrastructure  logs  

v Reporting  associated  with  monitored/managed  devices   and  incident   response  

v Managed  vulnerability   scanning  of  networks,  servers,   databases  or  applications  

v Distributed  denial  of  service  (DDoS)  protection  

v Monitoring  or  management  of  customer-­‐deployed   securityinformation  and  event  management  (SIEM)  technologies

v … Gartner

solarsecurity.ru +7 (499) 750-07-70 6

Прогноз Gartner про рынок ИБ

Forecast  Analysis:  Information  Security,  Worldwide (2015-­‐09-­‐08)«The information security market will grow at a CAGR of 7.4% through 2019. Securitytesting, outsourcing and identity access management are the biggest growth opportunities.Government initiatives, increased legislation and several high-­‐profile data breaches aredriving security spending.»

Рынок  ИБ  будет  ежегодно  расти  на  7,4%  до  2019  года.Наибольшие  возможности  для  роста  будут  у  следующих  областей:v Проверка  ИБ  (security  testing)v Аутсорсинг  ИБv Управление  идентификацией  и  доступом   (IAM)

solarsecurity.ru +7 (499) 750-07-70 7

Ничего  не  передают на  аутсорсинг  ИБ  лишь

20% компаний  (Мир)

EnY

solarsecurity.ru +7 (499) 750-07-70 8

А  что  в  России?

solarsecurity.ru +7 (499) 750-07-70 9

Аутсорсинг в РФ (услуги JSOC)

4%

7%

7%

7%

16%

13%

46%

0% 10% 20% 30% 40% 50%

Анти-­‐DDoS

Анализ  кода  приложений

Защита  web-­‐приложений

Контроль  защищенности

Защита  от киберпреступности

Администрирование  систем  безопасности

Мониторинг  инцидентов

solarsecurity.ru +7 (499) 750-07-70 10

Обычно  на  аутсорсинг  в  РФ  отдают  важные процессы  ИБ,  которые  уже  пытались  внедрить самостоятельно,  но  «не  взлетело»…  

solarsecurity.ru +7 (499) 750-07-70 11

Почему используют аутсорсинг ИБ в РФ?

32%

22%

18%

12%

10%

6%

НЕХВАТКА  ПЕРСОНАЛА

ОРГАНИЗАЦИЯСЕРВИСОВ  24*7

НЕОБХОДИМОСТЬ  БЫСТРОГО  СТАРТА  СЕРВИСОВ

НЕОБХОДИМОСТЬРАЗНОПЛАНОВОЙ  ЭКСПЕРТИЗЫ

СНИЖЕНИЕ  ЗАВИСИМОСТИ  ОТ  СВОИХ  СПЕЦИАЛИСТОВ

СОКРАЩЕНИЕ  УПРАВЛЕНЧЕСКИХ  ЗАТРАТ

solarsecurity.ru +7 (499) 750-07-70 12

Безопасности 8*5 уже не достаточно

Solar  JSOC Q2  2015

solarsecurity.ru +7 (499) 750-07-70 13

Solar  JSOC Q2  2015

За  Q2  2015  выявлено  47  876  событий  с  подозрением  на  инцидент.  Их  них  критичных  инцидентов  – 7,9%

solarsecurity.ru +7 (499) 750-07-70 14

Чем выявляются атаки?

Solar  JSOC Q2  2015

41,4%58,6%

События  ИБ,  выявленные  с  использованием  сложной  аналитики  (SIEM,  DLP,  TI,  PC  и  пр.)

События  ИБ,  выявленные  базовыми  СЗИ  (МЭ,  IPS,  сетевое  оборудование  и  пр.)

solarsecurity.ru +7 (499) 750-07-70 15

solarsecurity.ru +7 (499) 750-07-70 16

Внутренний  SIEM Аутсорсинг

Время  до  старта 6-­‐9  месяцев 5-­‐7 недели

Уровень компетенций  персонала

Средний Высокий

Форма  затрат CapEx и  OpEx OpEx

Предсказуемость затрат Средняя Высокая

Источник методологии Заказчик/Консультант Провайдер услуг

Режим  работы Обычно 8х5  или  12х5 Обычно  24х7

Хранение  событий  ИБ Локально За  пределами организации

Зависимость  от  сложившейся  «плохой»  практики

Высокая Низкая

Возможности по  реагированию Полные Формальные,  в  рамках  SLA

solarsecurity.ru +7 (499) 750-07-70 17

Что еще развивает аутсорсинг ИБ в России?

v ГосСОПКА +  ФЗ  о  КИИ,  FinCERT

v Рост  конкуренции  российских  MSSP

v Наличие  сложных  мер  ИБ  в  ПриказахФСТЭК  России  №17/21/31

solarsecurity.ru +7 (499) 750-07-70 18

Указ Президента №31с

2. Определить основными задачами государственной системыобнаружения, предупреждения и ликвидации последствийкомпьютерных атак на информационные ресурсы РФ:

а) прогнозирование ситуации в области обеспечения информационной безопасности РФ;б) обеспечение взаимодействия владельцев информационных ресурсов РФ, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;в) осуществление контроля степени защищенности критической информационной инфраструктуры РФ от компьютерных атак;г) установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов РФ.

solarsecurity.ru +7 (499) 750-07-70 19

ФСТЭК России про услуги ИБ

Приказ  17  (ГосИС)

«Для проведения работ по защите информации в ходе создания и эксплуатацииинформационной системы обладателем информации (заказчиком) и оператором всоответствии с законодательством РФ при необходимости привлекаются организации,имеющие лицензию на деятельность по технической защите конфиденциальнойинформации.»

Приказ  21  (ПДн)

«Для выполнения работ по обеспечению безопасности ПДн при их обработке винформационной системе в соответствии с законодательством РФ могут привлекаться надоговорной основе юридическое лицо или индивидуальный предприниматель, имеющиелицензию на деятельность по технической защите конфиденциальной информации.»

solarsecurity.ru +7 (499) 750-07-70 20

Сложные меры из Приказов 17/21/31

V.  Регистрация  событий  безопасности  (РСБ)

VII.  Обнаружение  вторжений  (СОВ)

XIV.  Обеспечение  безопасной  разработки  

прикладного  (специального)  ПО  разработчиком  (ОБР)

XX.  Выявление  инцидентов  и  реагирование  на  них  

(ИНЦ)

XXI.  Управление  конфигурацией  

автоматизированной  системы  управления  и  ее  системы  защиты  (УКФ)

VIII.  Контроль  (анализ)  защищенности  

информации  (АНЗ)

solarsecurity.ru +7 (499) 750-07-70 21

Есть  ощущение,  что  аутсорсинг  ИБ  в  России  будет  стабильно  развиваться…

solarsecurity.ru +7 (499) 750-07-70 22

Кстати, наш аутсорсинг выглядит так

СПАСИБО ЗА ВНИМАНИЕ!

Прозоров Андрей, CISM

Моя почта: a.prozorov@solarsecurity.ruМой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave