sla для ИБ аутсорсинга: что можно посчитать, а что нельзя
DESCRIPTION
ИБ на аутсорсинге. Первый центр мониторинга инцидентов безопасности.TRANSCRIPT
Владимир Дрюков,
Руководитель направления аутсорсинга ИБ
Центр Информационной Безопасности
SLA для ИБ аутсорсинга что
можно посчитать, а что
нельзя
4 июня 2014 г.
© 2014 Инфосистемы Джет Больше чем безопасность
2
Здесь могла бы быть чья-то диссертация
Можно рассказать о:
• Расчете доступности
• Определении критичности
• Вычислении штрафных санкций
• Расчете KPI сотрудников и подразделения
• Защите от аутсорсера
И реакция на доклад, скорее всего,
была бы вот такой…
© 2014 Инфосистемы Джет Больше чем безопасность
3
Заказчик X
Что мы делали: • Администрирование DAM
• Выполнение SLA – 99,5%
• Доступность – 100%
Контракт не продлен после 1 года
Аргументация клиента: • Не понимаю, что происходит
• Все время разные люди
© 2014 Инфосистемы Джет Больше чем безопасность
4
Заказчик Y
Что мы делали: • Обслуживание антивирусного ПО
• Выполнение SLA – 87%
• Периодические проблемы в работе
• Аутстаффинг (1 выделенный специалист)
Контракт продолжается уже 4 года
Аргументы заказчика: • Ну это же Вася….
• Относится к системе как к своей
© 2014 Инфосистемы Джет Больше чем безопасность
5
Требования к аутсорсингу
• Прозрачность – понимать, что
происходит
• Автономность – не дергать по
пустякам
• Единое окно – человек, к
которому обратиться
• Посмотреть в глаза
ответственному за систему
© 2014 Инфосистемы Джет Больше чем безопасность
6
Типовые проблемы аутсорсинга
• Много людей – нет
персональной
ответственности
• Много заказчиков – работа
строго по SLA
• Много работ – сложно
хранить контекст системы
© 2014 Инфосистемы Джет Больше чем безопасность
7
Кто отвечает за эксплуатацию
Группа разбора инцидентов
Руководитель JSOC
Группа администрирования
Группа развития JSOC
(архитектор, ведущий
аналитик)
Инженеры реагирования и
противодействия – 11*5
(Москва, 2 человека)
Инженеры мониторинга – 24*7
(Нижний Новгород, 7 человек)
2-ая линия
администрирования – 11*5
(Москва, 3 человека)
1-ая линия
администрирования – 24*7
(Нижний Новгород, 8 человек)
Выделенные аналитики
(Москва, 3 человека)
Группа управления качеством
(сервис-менеджеры,
4 человека)
Администраторы ИБ
(Москва, 2 человека)
© 2014 Инфосистемы Джет Больше чем безопасность
8
Администратор ИБ
• Хранит весь технический
контекст
• Эксперт по продукту
• Отвечает за доступность
системы
© 2014 Инфосистемы Джет Больше чем безопасность
9
Сервис-менеджер
• Контролирует все работы
• Согласовывает изменения
• Отвечает за SLA
• Отвечает за удовлетворенность
© 2014 Инфосистемы Джет Больше чем безопасность
10
JSOC – дилемма нового сервиса
Что лучше:
• Инцидентов: много или мало?
• Информировать ночью:
быстрее или точнее?
• Некритичные инциденты:
по факту или отчет?
© 2014 Инфосистемы Джет Больше чем безопасность
11
Действительно важно
• Не пропустить критичный инцидент
• Быстро проанализировать
• Минимизировать ущерб
© 2014 Инфосистемы Джет Больше чем безопасность
12
Кто отвечает за JSOC
Группа разбора инцидентов
Руководитель JSOC
Группа администрирования
Группа развития JSOC
(архитектор, ведущий
аналитик)
Инженеры реагирования и
противодействия – 11*5
(Москва, 2 человека)
Инженеры мониторинга – 24*7
(Нижний Новгород, 7 человек)
2-ая линия
администрирования – 11*5
(Москва, 3 человека)
1-ая линия
администрирования – 24*7
(Нижний Новгород, 8 человек)
Выделенные аналитики
(Москва, 3 человека)
Группа управления качеством
(сервис-менеджеры,
4 человека)
Администраторы ИБ
(Москва, 2 человека)
© 2014 Инфосистемы Джет Больше чем безопасность
13
Выделенный аналитик
• Знает всю инфраструктуру заказчика
• Следит за изменениями в бизнес-процессах
• «Живет» жизнью заказчика
• Отвечает за полезность услуги
• Отвечает за то, что не взломают
© 2014 Инфосистемы Джет Больше чем безопасность
14
Правила жизни аутсорсинга ЦИБ
Доверие
Персональная
ответственность
Индивидуальный подход
SLA
