Д.Романченко, ibs. Аутсорсинг информационной...
TRANSCRIPT
Аутсорсинг информационной
безопасности: взгляд интегратора
Директор Отделения
информационной безопасности
Романченко Дмитрий
2
Аутсорсинг ИБ в Компании?
• Высокая безопасность сервиса
• Полный контроль
• Доверенные сотрудники
• Контролируемый результат
• Снижение стоимости сервиса
• Возможность штрафа за нарушение
SLA
• Возможность смены провайдера при
неудовлетворительном результате
Служба ИБ Компании Бизнес Компании
3
Ожидаемые Заказчиком преимущества
передачи ИБ на аутсорсинг
Финансовая эффективность
Снижение OPEX обеспечения ИБ
Снижение CAPEX обеспечения ИБ
Оптимизация штата ИБ Компании
Высокое качество услуг аутсорсинг-провайдера
Соблюдение SLA
Доступность специалистов провайдера
Выделение специалистов провайдера с требуемой квалификацией
Комплексное решение проблем ИБ в Компании
Соблюдение требований регуляторов по защите информации
4
Что отдавать на аутсорсинг?
Комплексная система
обеспечения ИБ
Технологии Процессы
управления ИБ по
классам
Общие
инфраструктурные
сервисы ИБ
ИБ прикладных
информационных
систем Контроль
Планирование
Внедрение Оценка
Поддержка
5
Предпосылки изменений подходов к защите
информации, влияющие на возможность
аутсорсинг
Экспоненциальный
рост числа
инцидентов ИБ
“Растворение”
понятия
информационного
периметра
Рост числа
медленных атак
с фатальным
результатом
Массовые кражи
критической
информации
Информационный
терроризм
Широкий спектр
воздействий
инцидентов: политика,
экономика,
общественная жизнь,
финансы, спорт, …
Активная
вовлеченность
государств
Международный
информационный
криминальный
интернационал
Активная
“виртуальная”
жизнь сотрудников
Неразрывность
бизнеса и открытой
информационной
среды
Невозможность
классического
цикла создания ПО
с эффективным
тестированием
Неразрывность
внутренних и
внешних угроз
Оценки
криминального ИБ-
бизнеса от $270 до
$400 мдрд в год
6
Изменение подходов к защите информации,
влияющие на возможность аутсорсинга
• Защита периметра Тотальная защита
• Формальное соблюдение
требований Защита от реальных угроз
• Разделение задач создания
ИС и их защиты
Безопасная разработка ПО
Интегрированная безопасность
Безопасный код
• Защита от известных угроз Защита от неизвестных угроз
• Работа по сигнатурам Оценка поведения
• Классические методы
защиты не эффективны
Новые методы защиты
противостоят современным
угрозам
7
Риски передачи ИБ на аутсорсинг
Отсутствие у провайдера ИБ-услуг
комплексного взгляда на проблемы
функционирования защищенных ИТ
и ответственности за их
функционирование
Нестыковка SLA в контрактах ИТ и
ИБ сервис-провайдеров
Усложнение управления
изменениями в ИТ при наличии
аутсоргинга ИБ
Влияние качества услуг внешнего
ИБ-провайдера на KPI команды ИТ
Сложность или невозможность контроля специалистов провайдера
Получение специалистами провайдера доступа в защищенный периметр Компании
Раскрытие архитектуры систем защиты для внешней компании
Сложность подтверждения compliance при аутсорсинговой модели ИБ
Влияние качества сервиса провайдера на KPI команды ИБ
Отсутствие развитого рынка страхования рисков ИБ в России
ИТ риски ИБ риски
8
Уровни аутсорсинга ИБ
АС в защищенном исполнении
Процессы ИБ
Системы ИБ
Операции ИБ
Риски ИБ
Низкие
Средние
Высокие
9
Пример услуг аутсорсинга. Операции
№ п/п Услуга Риск заказчика (экспертно)
1 Конфигурирование, сервисное обслуживание
средств защиты (МЭ, антивирус, IDS/IPS, СЗИ
НСД)
Средний
2 Ведение ролевой модели IDM-системы Низкий
3 Настройка антиспам-системы Низкий
4 Выпуск сертификатов на удостоверяющем
центре электронной подписи
Низкий
6 Контроль резервного копирования
конфигураций средств защиты
Низкий
И т.п.
10
Пример услуг аутсорсинга. Системы
№ п/п Услуга Риск заказчика (экспертно)
1 Контроль функционирования систем защиты
Заказчика (МЭ, антивирус, IDS/IPS, СЗИ НСД,
SIEM, IDM, антифрод и пр.)
Средний / Высокий
2 Предоставление в аутсорсинг систем
безопасности (antiDDoS, WAF, SIEM и пр.)
Средний
3 Обеспечение функционирования
удостоверяющего центра электронной подписи
Высокий
4 Предоставление систем анализа вредоносного
ПО (“песочницы”)
Низкий
И т.п.
11
Каталог услуг аутсорсинга. Процессы
№ п/п Услуга Риск заказчика (экспертно)
1 Обеспечение функционирования цикла
безопасной разработки ПО в Компании
Высокий
2 Поддержка функционирования процессов
управления доступом к информационным
ресурсам в Компании
Высокий
3 Мониторинг событий и расследование
инцидентов ИБ
Высокий
4 Аудит ИБ в Компании Средний / Высокий
5 Инструментальный аудит защищенности ИТ-
инфраструктуры и информационных систем
Высокий
6 Сервис CERT Высокий
И т.п.
12
Текущие проблемы аутсорсинга ИБ
Крупные Заказчики готовы отдавать на коммерческий аутсорсинг лишь некоторые системы и процессы:
Администрирование систем защиты на уровне сети
Защита от сетевых атак (antiDDoS, антиспам)
Аудит ИБ, включая инструментальный
Расследование тяжелых инцидентов ИБ
Провайдеры не готовы всегда брать на себя финансовую ответственность в случае инцидентов ИБ
Страхование рисков ИБ не развито, что препятствует расширению рынка аутсорсинга ИБ
Массово применяемый крупными Заказчиками инсорсинг с использованием дочерних структур фрагментирует рынок и не способствует повышению качества сервиса
Решение об аутсорсинге ИБ – каждый раз очень индивидуальная история
13
Оценки Gartner мирового рынка аутсорсинга ИБ
Managed Security Service Providers (MSSP)
Имеются оценки, что по результатам 2016 г мировой рынок MSSP
превысит $16 млрд.
Gartner не разделяет уровни аутсорсинга
ИБ, давая агрегированную оценку по
макрорегионам
15
Организация аутсорсинга ИБ в Компании
Текущее
состояние
СОИБ
Процессы ИБ
Риски
аутсорсинга
Финансовая
целесообр-ть
Решение об
использовании
аутсорсинга
Формирование
критериев
Формирование
SLA
Финансовая
модель
Анализ
предложений
Контрактация
Техническое сопряжение
Сопряжение процессов ИБ
Регламент взаимодействия
Пилотное тестирование
Корректировка
Выход в продуктив
Соблюдения
SLA
Качества
сервиса
Рисков
Корректировка
отклонений
вплоть до
прекращения
контракта
Анализ Выбор
провайдера Переход Контроль
16
Требования к провайдеру услуг аутсорсинга
ИБ
Провайдер
аутсорсинга
ИБ
Лицензии
Специа-
листы
Своя
инфр-ра
Процессы
Опыт
17
Выводы: стимулы развития рынка
аутсорсинга ИБ
Инициативы регуляторов:
Банк России – FinCERT
ФСТЭК – база уязвимостей, выстраивание процессов устранения уязвимостей в
сертифицированных СЗИ
ФСБ - ГосСОПКА
Инициативы коммерческих организаций:
Лаборатория Касперского – KL ISC CERT для систем АСУ ТП
Дальнейшее развитие нормативно-методической базы
Появление страховых продуктов, обеспечивающих адекватное покрытие
рисков ИБ
Формирование профессионального сообщества, которое бы
способствовало стандартизации услуг ИБ, предлагаемых по
аутсорсинговой модели
Технологическое
лидерство
Практика эффективных
внедрений
Экспертиза
Россия, 127434, Москва,
Дмитровское шоссе, 9Б
тел.: +7 (495) 967-8080
факс: +7 (495) 967-8081
www.ibs.ru
www.facebook.com/IBS.ru
www.twitter.com/ibs_ru