28 октября, 2013, BIS Journal №4(11)/2013

SOC в банке: математический этюд


Бурдело Иван

Председатель правления (ЗАО «Практика Безопасности»)

SOC'y в банке «да», да не всегда. Главное, как и в любом деле, вдумчивый подход и решение задач по всем правилам логики и здравого смысла

В настоящее время в среднестатистическом банке используется большое число разнотипных программных и аппаратных средств защиты информации. Сократить их количество до двух-трёх не представляется возможным по разным причинам – историческая наследственность, требования реалий, закона и регулирующих органов. Оставить этот внушительный арсенал без должного внимания тоже нельзя – иначе придётся с сожалением признать, что все старания защитить такие ценные активы, как коммерческая информация и вклады клиентов, будут умножены на ноль. Но, как гласит народная мудрость, даже если вас съели, у вас есть два выхода.

Варианты решения задачи по управлению парком ИБ-систем условно подразделяются на две категории. Банк может увеличить число специалистов, отвечающих за этот важный и неотъемлемый элемент финансовой организации...

Или внедрить решение, которое позволяет в автоматическом режиме вести оперативный мониторинг работы ИБ-систем, фиксировать и классифицировать инциденты, получать сводки и отчёты, а также оценивать эффективность деятельности специалистов по ИБ. Решения такого класса получили название центра оперативного управления процессами обеспечения информационной безопасности.

Если с плюсами и минусами первого подхода все более или менее понятно, то на второй вариант решения этой задачи мы как люди, причастные к миру высоких технологий, предлагаем взглянуть более пристально.

ИТАК, ДАНО...

  1. Банк, который в обязательном порядке дорожит своими клиентами, репутацией и другими не менее ценными активами.
  2. Десятки сложных и распределённых автоматизированных информационных и банковских систем. В этих системах содержится самое ценное, чем владеет банк, – данные клиентов, сведения о финансовых операциях и многие другие цифры и факты.
  3. Необходимость эффективно защищать все эти системы – как от сбоев, так и от неправомерного доступа к информации, которая в них хранится и обрабатывается. Для этого внедряются специализированные решения по защите информации – программные и технические средства, образующие многоэшелонированную защиту. Очевидно, что для обеспечения качественной работы каждого такого решения ему требуется пристальное внимание на протяжении всего жизненного цикла – от внедрения до вывода из эксплуатации.
    По мере развития банка, а также ужесточения законодательной базы, регулирующей деятельность кредитно-финансовых организаций в России, число таких систем довольно быстро растет. Рано или поздно в любом банке наступает день «Ж», когда средства, казалось бы, созданные специально для повышения производительности труда специалистов по ИБ, начинают сами требовать привлечения немалых человеческих ресурсов. И это несмотря на то, что настройкой и эксплуатацией средств обеспечения информационной безопасности часто занимаются сотрудники ИТ-подразделений.
    Всё дело в том, что специалистам службы информационной безопасности в любом случае приходится проверять соответствие результатов работы своих коллег действующим нормам компании и требованиям регуляторов, техническим регламентам и методическим рекомендациям, а также решать множество других оперативных задач.
  4. Если речь идет о крупном банке с большим количеством распределённых по стране филиалов и офисов обслуживания, то условия задачи усложняются ещё больше. Головному офису, где, как правило, расположены подразделения информационной безопасности, приходится решать все профильные задачи и в региональных подразделениях. Необходимо оперативно получать информацию с мест, проверять правильность настроек технических средств в удалённых офисах и филиалах, контролировать работу оборудования и деятельность локальных специалистов, разрабатывать меры по повышению эффективности проводимых мероприятий.

РЕШЕНИЕ

Для решения задачи управления процессами обеспечения информационной безопасности банка предлагается пойти по пути нового поколения автоматизации, а именно внедрения центра оперативного управления процессами обеспечения информационной безопасности. Более известна в широких кругах английская версия названия этого инструмента – SOC, или Security Operations Center.

SOC представляет собой взаимосвязанную совокупность процессов управления ИБ (мониторинг, управление инцидентами ИБ, управление уязвимостями, инвентаризация активов, управление изменениями, контроль политик безопасности, показатели KPI) и их автоматизацию с использованием соответствующих программно-технических средств.

SOC методологически и технически объединяет все действующие системы обеспечения информационной безопасности банка, оптимизирует процесс их эксплуатации, а также автоматизирует повседневные функции, выполняемые сотрудниками ИБ-подразделений.

По сути, SOC выступает средством автоматизации деятельности сотрудников ИБ-подразделений.

Характеристики решения

На первом этапе SOC позволяет в автоматизированном режиме провести инвентаризацию и категорирование защищаемых ресурсов банка, проанализировать риски ИБ, оценить конфигурацию программно-технических средств защиты. В дальнейшем SOC будет вести учёт всего парка систем ИБ, контролировать изменения и настройки, в случае необходимости пересматривать риски и, соответственно, конфигурацию программно-технической инфраструктуры информационной безопасности банка.

На SOC возлагается реализация именно комплексного подхода: в его задачи входит сбор, анализ (корреляция) и аудит событий ИБ (в том числе всех действий пользователей), поступающих от различных средств и решений по ИБ. Системный подход позволяет в режиме реального времени идентифицировать события, связанные с ИБ, получать реальные данные для анализа и оценки рисков и, следовательно, принимать обоснованные, адекватные имеющимся рискам решения по обеспечению ИБ. Также инструментальные средства SOC позволяют получать данные по имеющимся уязвимостям используемых ИБ-решений и бизнес-приложений (в том числе в режиме реального времени), отслеживать динамику их устранения, контролировать производимые изменения. Поиск уязвимостей проводится на постоянной основе в соответствии с регламентами.

Работа автоматизированных систем банка сопряжена с возникновением множества разноплановых инцидентов в области ИБ. От того, насколько быстро и грамотно ИБ-подразделения отреагируют и разрешат каждый из них, зависит размер ущерба, наносимого банку. Именно поэтому важными задачами являются регистрация, реагирование, учёт и эффективное разрешение инцидентов ИБ. SOC, как правило, реализует полный цикл работ и в этом направлении. Автоматизируются функции планирования, определения ответственных лиц, разграничения обязанностей и разработки планов по разрешению инцидентов, а также регистрации инцидентов ИБ и реагирования на них с последующим разрешением и детальным анализом. После комплекса аналитических мероприятий SOC корректирует текущие и принимает проактивные меры защиты.

Руководителям ИТ- и ИБ-подразделений банка необходимо четко понимать, находятся ли эксплуатируемые автоматизированные системы и применяемый комплекс мер по ИБ в нормативно-правовом русле регуляторов и принятых в банке стандартов в области ИБ. SOC позволяет выполнять регулярные технологические проверки автоматизированных систем на соответствие внутренним политикам безопасности банка, техническим стандартам, требованиям регуляторов и международным практикам.

Эксплуатация ИБ-подразделениями внушительного парка ИБ-решений требует проведения мероприятий по контролю эффективности мер эксплуатации. Эта задача также может быть возложена на SOC, который, при должном подходе, в состоянии дать ответ на вопрос, грамотно ли работают ИБ-подразделения на местах, и насколько правильно и эффективно они используют дорогостоящие ИБ-решения.

И, наконец, работа любого подразделения, а тем более профильных ИБ-подразделений, сопряжена с необходимостью отчитываться о результатах своей работы. SOC призван помочь в формировании необходимых для ИБ-подразделений аналитических и отчетных материалов. Данная возможность может оказаться крайне полезной, особенно если брать во внимание обязанность кредитно-финансовых организаций предоставлять Банку России отчетность об инцидентах информационной безопасности согласно федеральному закону ФЗ-161 «О национальной платежной системе». Пока нормативные документы не предписывают, как именно должна готовиться информация об инцидентах, предоставляемая банками, и что является критерием её достоверности, но в дальнейшем такая конкретизация может появиться. SOC же позволяет задать, в том числе, и ту форму отчётности, которую требует для предоставления Банк России.

Таким образом, SOC является многофункциональным средством автоматизации деятельности ИБ-подразделений банка.

Архитектура решения

Сейчас на российском рынке предлагаются различные варианты построения центров оперативного управления процессами обеспечения информационной безопасности. Они представляют собой разработки на основе базовых коммерческих продуктов класса Security Information and Event Management – SIEM.

Это класс крупных промышленных решений от таких производителей, как Symantec, HP ArcSight, McAfee, Cisco и других. Решения собирают информацию от различных первичных поставщиков информации (как правило, устройств – межсетевых экранов, систем обнаружения вторжений и т.п.), обрабатывают её и затем представляют в виде отчетов, схем, диаграмм и графиков.

Большинство ИБ-интеграторов на российском рынке предлагают центры оперативного управления процессами обеспечения информационной безопасности в формате решений класса SIEM. Другое дело, что на их внедрении большинство из интеграторов и останавливается.

Подход, которого придерживается «Практика Безопасности», предполагает более широкое понимание назначения и функциональных возможностей такого центра. Мы строим методологически увязанное решение по управлению ИБ с трёхзвенной архитектурой.

На первом, нижнем, уровне функционируют классические промышленные ИБ-решения по различным направлениям – разграничение доступа и контроль полномочий, антивирусная защита, безопасное межсетевое взаимодействие, обнаружение и предотвращение вторжений, контроль утечек конфиденциальной информации, анализ защищённости и т.п. Принципы работы ИБ-решений первого уровня определяются соответственно потребностям банка и особенностям его бизнес-процессов. Базовые функции и задачи при этом можно расширять и дополнять.

На втором, среднем, уровне функционируют классические промышленные SIEM-решения, осуществляющие сбор, анализ и корреляцию событий ИБ, поступающих от различных средств и решений по ИБ нижнего уровня.

Третий, верхний, уровень представляет собой инструментальное средство собственной разработки. Его задача – аккумуляция и предоставление аналитической информации об инцидентах, параметрах и характеристиках информационной безопасности, а также предоставление информации о работоспособности элементов систем, функционирующих на нижнем уровне SOC, в целом. Данный уровень может быть максимально адаптирован под задачи конкретного банка, но в целом его функционал сводится к решению таких задач, как оценка KPI всех подразделений и планирование развития банка, контроль всех систем защиты информации с одной консоли, предоставление информации о работе ИБ-подразделения в виде, понятном для топ-руководства и акционеров.

Мы понимаем, что понятие «типичный» банк – слишком усреднённое. На деле же невозможно найти и двух банков с одинаковым набором информационных систем. Именно поэтому центр оперативного управления информационной безопасностью разработан «Практикой Безопасности» по принципу конструктора и может существенно отличаться в зависимости от задач каждого конкретного банка.

Мы всегда начинаем проект с анализа бизнес-процессов, внутренних систем и процессов обеспечения общей безопасности. На основе данных анализа производится проектирование, выстраивается методология исполнения, осуществляется конфигурирование и внедрение решения. Индивидуальный подход позволяет заказчику задать собственный перечень контролируемых параметров и показателей оценки эффективности. Настройка может выполняться на всех уровнях решения и нивелировать недостатки, которые иногда присущи обычным техническим системам информационной безопасности.

 

ЛЕММЫ О SOCе

1. Ограничения

Трёхуровневый SOC можно назвать вершиной, квинтэссенцией всей системы информационной безопасности банка. К его внедрению следует приступать лишь зрелым кредитно-финансовым организациям, которые уже используют ИБ-решения по всем или почти по всем направлениям обеспечения информационной безопасности: анализ защищенности, контроль конфиденциальной информации, обнаружение вторжений, безопасное межсетевое взаимодействие, антивирусная защита и др.

Чем более передовые, качественные решения в сфере защиты информации внедрены, тем выше эффект от внедрения центра оперативного управления. Тем банкам, которые ещё не выстрои¬ли комплексное обеспечение информационной безопасности, к его созданию приступать преж¬девременно.

2. Перспективы аутсорсинга

Кем востребованы центры оперативного управления информационной безопасностью? В первую очередь – крупными компаниями, то есть банками и операторами электронных платежей, имеющими разветвлённую региональную структуру. Такими, например, как ОАО «Сбербанк России» или другие банки из списка ТОП-10, а также операторы мобильной связи, которые, оперируя средствами клиентов на абонентских счетах, тоже подпадают под действие федерального закона 161-ФЗ «О национальной платёжной системе» и государствен¬ное регулирование со стороны Банка России.

Ранее для операторов мобильной связи актуальными были только такие аспекты информационной безопасности, как устойчивая и бесперебойная работа автоматизированных систем, а также защита от несанкционированного доступа к информации. В последнее время добавилась еще и задача защиты средств клиентов от покушений недобросовестных поставщиков мобильного контента. Т.е. задача, тесно связанная с антифродом и обеспечением экономической безопасности. Центр оперативного управления информационной безопасностью помогает такую задачу эффективно решать.

По сути, SOC нужен любой компании, оперирующей, как минимум, двухзначным числом автоматизированных систем информационной безопасности. Среди таких могут оказаться и представители среднего, и даже малого бизнеса. Но это довольно дорогостоящее решение, хотя и на порядок дешевле, скажем, промышленных систем антифрода. «Что делать?» – спросят любопытные. Ответим.

Общение специалистов «Практики Безопасности» с зарубежными коллегами показало, что в странах Западной Европы и в США уже несколько лет пользуются спросом SOC на условиях аутсорсинга. Получается очень удобно: компания не покупает программное обеспечение, не содержит свой персонал, не тратит ресурсы на его обучение, но минимизирует риски информационной безопасности за умеренную «абонентскую плату». Мы решили перенять успешный опыт из-за рубежа и разработали аналогичное решение для российских компаний.

Однако следует отметить, что аутсорсинг SOC на отечественном рынке – лишь перспектива, и для этого есть свои причины. В России пока не принято говорить об инцидентах информационной безопасности в собственной компании до тех пор, пока о них не стало известно общественности. Так же, как нет и традиции передавать внешнему исполнителю задачи по обеспечению информационной безопасности.

Причина – низкий уровень доверия. Тем более, если речь идет о безопасности финансовых сервисов банка.

Вместе с тем мы уверены, что те интеграторы, которые готовят сани летом, станут лидерами, когда на рынок аутсорсинга ИБ наконец придет зима.

ОТВЕТ:

SOC'y в банке ? «да», да не всегда. Главное, как и в любом деле,   вдумчивый подход и решение задач по всем правилам логики и здравого смысла.

 

Смотрите также

Подпишись на новости!
Подписаться