Аутсорсинг информационной

безопасности: взгляд интегратора

Директор Отделения

информационной безопасности

Романченко Дмитрий

2

Аутсорсинг ИБ в Компании?

• Высокая безопасность сервиса

• Полный контроль

• Доверенные сотрудники

• Контролируемый результат

• Снижение стоимости сервиса

• Возможность штрафа за нарушение

SLA

• Возможность смены провайдера при

неудовлетворительном результате

Служба ИБ Компании Бизнес Компании

3

Ожидаемые Заказчиком преимущества

передачи ИБ на аутсорсинг

Финансовая эффективность

Снижение OPEX обеспечения ИБ

Снижение CAPEX обеспечения ИБ

Оптимизация штата ИБ Компании

Высокое качество услуг аутсорсинг-провайдера

Соблюдение SLA

Доступность специалистов провайдера

Выделение специалистов провайдера с требуемой квалификацией

Комплексное решение проблем ИБ в Компании

Соблюдение требований регуляторов по защите информации

4

Что отдавать на аутсорсинг?

Комплексная система

обеспечения ИБ

Технологии Процессы

управления ИБ по

классам

Общие

инфраструктурные

сервисы ИБ

ИБ прикладных

информационных

систем Контроль

Планирование

Внедрение Оценка

Поддержка

5

Предпосылки изменений подходов к защите

информации, влияющие на возможность

аутсорсинг

Экспоненциальный

рост числа

инцидентов ИБ

“Растворение”

понятия

информационного

периметра

Рост числа

медленных атак

с фатальным

результатом

Массовые кражи

критической

информации

Информационный

терроризм

Широкий спектр

воздействий

инцидентов: политика,

экономика,

общественная жизнь,

финансы, спорт, …

Активная

вовлеченность

государств

Международный

информационный

криминальный

интернационал

Активная

“виртуальная”

жизнь сотрудников

Неразрывность

бизнеса и открытой

информационной

среды

Невозможность

классического

цикла создания ПО

с эффективным

тестированием

Неразрывность

внутренних и

внешних угроз

Оценки

криминального ИБ-

бизнеса от $270 до

$400 мдрд в год

6

Изменение подходов к защите информации,

влияющие на возможность аутсорсинга

• Защита периметра Тотальная защита

• Формальное соблюдение

требований Защита от реальных угроз

• Разделение задач создания

ИС и их защиты

Безопасная разработка ПО

Интегрированная безопасность

Безопасный код

• Защита от известных угроз Защита от неизвестных угроз

• Работа по сигнатурам Оценка поведения

• Классические методы

защиты не эффективны

Новые методы защиты

противостоят современным

угрозам

7

Риски передачи ИБ на аутсорсинг

Отсутствие у провайдера ИБ-услуг

комплексного взгляда на проблемы

функционирования защищенных ИТ

и ответственности за их

функционирование

Нестыковка SLA в контрактах ИТ и

ИБ сервис-провайдеров

Усложнение управления

изменениями в ИТ при наличии

аутсоргинга ИБ

Влияние качества услуг внешнего

ИБ-провайдера на KPI команды ИТ

Сложность или невозможность контроля специалистов провайдера

Получение специалистами провайдера доступа в защищенный периметр Компании

Раскрытие архитектуры систем защиты для внешней компании

Сложность подтверждения compliance при аутсорсинговой модели ИБ

Влияние качества сервиса провайдера на KPI команды ИБ

Отсутствие развитого рынка страхования рисков ИБ в России

ИТ риски ИБ риски

8

Уровни аутсорсинга ИБ

АС в защищенном исполнении

Процессы ИБ

Системы ИБ

Операции ИБ

Риски ИБ

Низкие

Средние

Высокие

9

Пример услуг аутсорсинга. Операции

№ п/п Услуга Риск заказчика (экспертно)

1 Конфигурирование, сервисное обслуживание

средств защиты (МЭ, антивирус, IDS/IPS, СЗИ

НСД)

Средний

2 Ведение ролевой модели IDM-системы Низкий

3 Настройка антиспам-системы Низкий

4 Выпуск сертификатов на удостоверяющем

центре электронной подписи

Низкий

6 Контроль резервного копирования

конфигураций средств защиты

Низкий

И т.п.

10

Пример услуг аутсорсинга. Системы

№ п/п Услуга Риск заказчика (экспертно)

1 Контроль функционирования систем защиты

Заказчика (МЭ, антивирус, IDS/IPS, СЗИ НСД,

SIEM, IDM, антифрод и пр.)

Средний / Высокий

2 Предоставление в аутсорсинг систем

безопасности (antiDDoS, WAF, SIEM и пр.)

Средний

3 Обеспечение функционирования

удостоверяющего центра электронной подписи

Высокий

4 Предоставление систем анализа вредоносного

ПО (“песочницы”)

Низкий

И т.п.

11

Каталог услуг аутсорсинга. Процессы

№ п/п Услуга Риск заказчика (экспертно)

1 Обеспечение функционирования цикла

безопасной разработки ПО в Компании

Высокий

2 Поддержка функционирования процессов

управления доступом к информационным

ресурсам в Компании

Высокий

3 Мониторинг событий и расследование

инцидентов ИБ

Высокий

4 Аудит ИБ в Компании Средний / Высокий

5 Инструментальный аудит защищенности ИТ-

инфраструктуры и информационных систем

Высокий

6 Сервис CERT Высокий

И т.п.

12

Текущие проблемы аутсорсинга ИБ

Крупные Заказчики готовы отдавать на коммерческий аутсорсинг лишь некоторые системы и процессы:

Администрирование систем защиты на уровне сети

Защита от сетевых атак (antiDDoS, антиспам)

Аудит ИБ, включая инструментальный

Расследование тяжелых инцидентов ИБ

Провайдеры не готовы всегда брать на себя финансовую ответственность в случае инцидентов ИБ

Страхование рисков ИБ не развито, что препятствует расширению рынка аутсорсинга ИБ

Массово применяемый крупными Заказчиками инсорсинг с использованием дочерних структур фрагментирует рынок и не способствует повышению качества сервиса

Решение об аутсорсинге ИБ – каждый раз очень индивидуальная история

13

Оценки Gartner мирового рынка аутсорсинга ИБ

Managed Security Service Providers (MSSP)

Имеются оценки, что по результатам 2016 г мировой рынок MSSP

превысит $16 млрд.

Gartner не разделяет уровни аутсорсинга

ИБ, давая агрегированную оценку по

макрорегионам

Выбор и организация взаимодействия

с провайдером аутсорсинга ИБ

15

Организация аутсорсинга ИБ в Компании

Текущее

состояние

СОИБ

Процессы ИБ

Риски

аутсорсинга

Финансовая

целесообр-ть

Решение об

использовании

аутсорсинга

Формирование

критериев

Формирование

SLA

Финансовая

модель

Анализ

предложений

Контрактация

Техническое сопряжение

Сопряжение процессов ИБ

Регламент взаимодействия

Пилотное тестирование

Корректировка

Выход в продуктив

Соблюдения

SLA

Качества

сервиса

Рисков

Корректировка

отклонений

вплоть до

прекращения

контракта

Анализ Выбор

провайдера Переход Контроль

16

Требования к провайдеру услуг аутсорсинга

ИБ

Провайдер

аутсорсинга

ИБ

Лицензии

Специа-

листы

Своя

инфр-ра

Процессы

Опыт

17

Выводы: стимулы развития рынка

аутсорсинга ИБ

Инициативы регуляторов:

Банк России – FinCERT

ФСТЭК – база уязвимостей, выстраивание процессов устранения уязвимостей в

сертифицированных СЗИ

ФСБ - ГосСОПКА

Инициативы коммерческих организаций:

Лаборатория Касперского – KL ISC CERT для систем АСУ ТП

Дальнейшее развитие нормативно-методической базы

Появление страховых продуктов, обеспечивающих адекватное покрытие

рисков ИБ

Формирование профессионального сообщества, которое бы

способствовало стандартизации услуг ИБ, предлагаемых по

аутсорсинговой модели

Технологическое

лидерство

Практика эффективных

внедрений

Экспертиза

Россия, 127434, Москва,

Дмитровское шоссе, 9Б

тел.: +7 (495) 967-8080

факс: +7 (495) 967-8081

ibs@ibs.ru

www.ibs.ru

www.facebook.com/IBS.ru

www.twitter.com/ibs_ru