Варианты решения задачи по управлению парком ИБ-систем условно подразделяются на две категории. Банк может увеличить число специалистов, отвечающих за этот важный и неотъемлемый элемент финансовой организации...
Или внедрить решение, которое позволяет в автоматическом режиме вести оперативный мониторинг работы ИБ-систем, фиксировать и классифицировать инциденты, получать сводки и отчёты, а также оценивать эффективность деятельности специалистов по ИБ. Решения такого класса получили название центра оперативного управления процессами обеспечения информационной безопасности.
Если с плюсами и минусами первого подхода все более или менее понятно, то на второй вариант решения этой задачи мы как люди, причастные к миру высоких технологий, предлагаем взглянуть более пристально.
ИТАК, ДАНО...
РЕШЕНИЕ
Для решения задачи управления процессами обеспечения информационной безопасности банка предлагается пойти по пути нового поколения автоматизации, а именно внедрения центра оперативного управления процессами обеспечения информационной безопасности. Более известна в широких кругах английская версия названия этого инструмента – SOC, или Security Operations Center.
SOC представляет собой взаимосвязанную совокупность процессов управления ИБ (мониторинг, управление инцидентами ИБ, управление уязвимостями, инвентаризация активов, управление изменениями, контроль политик безопасности, показатели KPI) и их автоматизацию с использованием соответствующих программно-технических средств.
SOC методологически и технически объединяет все действующие системы обеспечения информационной безопасности банка, оптимизирует процесс их эксплуатации, а также автоматизирует повседневные функции, выполняемые сотрудниками ИБ-подразделений.
По сути, SOC выступает средством автоматизации деятельности сотрудников ИБ-подразделений.
Характеристики решения
На первом этапе SOC позволяет в автоматизированном режиме провести инвентаризацию и категорирование защищаемых ресурсов банка, проанализировать риски ИБ, оценить конфигурацию программно-технических средств защиты. В дальнейшем SOC будет вести учёт всего парка систем ИБ, контролировать изменения и настройки, в случае необходимости пересматривать риски и, соответственно, конфигурацию программно-технической инфраструктуры информационной безопасности банка.
На SOC возлагается реализация именно комплексного подхода: в его задачи входит сбор, анализ (корреляция) и аудит событий ИБ (в том числе всех действий пользователей), поступающих от различных средств и решений по ИБ. Системный подход позволяет в режиме реального времени идентифицировать события, связанные с ИБ, получать реальные данные для анализа и оценки рисков и, следовательно, принимать обоснованные, адекватные имеющимся рискам решения по обеспечению ИБ. Также инструментальные средства SOC позволяют получать данные по имеющимся уязвимостям используемых ИБ-решений и бизнес-приложений (в том числе в режиме реального времени), отслеживать динамику их устранения, контролировать производимые изменения. Поиск уязвимостей проводится на постоянной основе в соответствии с регламентами.
Работа автоматизированных систем банка сопряжена с возникновением множества разноплановых инцидентов в области ИБ. От того, насколько быстро и грамотно ИБ-подразделения отреагируют и разрешат каждый из них, зависит размер ущерба, наносимого банку. Именно поэтому важными задачами являются регистрация, реагирование, учёт и эффективное разрешение инцидентов ИБ. SOC, как правило, реализует полный цикл работ и в этом направлении. Автоматизируются функции планирования, определения ответственных лиц, разграничения обязанностей и разработки планов по разрешению инцидентов, а также регистрации инцидентов ИБ и реагирования на них с последующим разрешением и детальным анализом. После комплекса аналитических мероприятий SOC корректирует текущие и принимает проактивные меры защиты.
Руководителям ИТ- и ИБ-подразделений банка необходимо четко понимать, находятся ли эксплуатируемые автоматизированные системы и применяемый комплекс мер по ИБ в нормативно-правовом русле регуляторов и принятых в банке стандартов в области ИБ. SOC позволяет выполнять регулярные технологические проверки автоматизированных систем на соответствие внутренним политикам безопасности банка, техническим стандартам, требованиям регуляторов и международным практикам.
Эксплуатация ИБ-подразделениями внушительного парка ИБ-решений требует проведения мероприятий по контролю эффективности мер эксплуатации. Эта задача также может быть возложена на SOC, который, при должном подходе, в состоянии дать ответ на вопрос, грамотно ли работают ИБ-подразделения на местах, и насколько правильно и эффективно они используют дорогостоящие ИБ-решения.
И, наконец, работа любого подразделения, а тем более профильных ИБ-подразделений, сопряжена с необходимостью отчитываться о результатах своей работы. SOC призван помочь в формировании необходимых для ИБ-подразделений аналитических и отчетных материалов. Данная возможность может оказаться крайне полезной, особенно если брать во внимание обязанность кредитно-финансовых организаций предоставлять Банку России отчетность об инцидентах информационной безопасности согласно федеральному закону ФЗ-161 «О национальной платежной системе». Пока нормативные документы не предписывают, как именно должна готовиться информация об инцидентах, предоставляемая банками, и что является критерием её достоверности, но в дальнейшем такая конкретизация может появиться. SOC же позволяет задать, в том числе, и ту форму отчётности, которую требует для предоставления Банк России.
Таким образом, SOC является многофункциональным средством автоматизации деятельности ИБ-подразделений банка.
Архитектура решения
Сейчас на российском рынке предлагаются различные варианты построения центров оперативного управления процессами обеспечения информационной безопасности. Они представляют собой разработки на основе базовых коммерческих продуктов класса Security Information and Event Management – SIEM.
Это класс крупных промышленных решений от таких производителей, как Symantec, HP ArcSight, McAfee, Cisco и других. Решения собирают информацию от различных первичных поставщиков информации (как правило, устройств – межсетевых экранов, систем обнаружения вторжений и т.п.), обрабатывают её и затем представляют в виде отчетов, схем, диаграмм и графиков.
Большинство ИБ-интеграторов на российском рынке предлагают центры оперативного управления процессами обеспечения информационной безопасности в формате решений класса SIEM. Другое дело, что на их внедрении большинство из интеграторов и останавливается.
Подход, которого придерживается «Практика Безопасности», предполагает более широкое понимание назначения и функциональных возможностей такого центра. Мы строим методологически увязанное решение по управлению ИБ с трёхзвенной архитектурой.
На первом, нижнем, уровне функционируют классические промышленные ИБ-решения по различным направлениям – разграничение доступа и контроль полномочий, антивирусная защита, безопасное межсетевое взаимодействие, обнаружение и предотвращение вторжений, контроль утечек конфиденциальной информации, анализ защищённости и т.п. Принципы работы ИБ-решений первого уровня определяются соответственно потребностям банка и особенностям его бизнес-процессов. Базовые функции и задачи при этом можно расширять и дополнять.
На втором, среднем, уровне функционируют классические промышленные SIEM-решения, осуществляющие сбор, анализ и корреляцию событий ИБ, поступающих от различных средств и решений по ИБ нижнего уровня.
Третий, верхний, уровень представляет собой инструментальное средство собственной разработки. Его задача – аккумуляция и предоставление аналитической информации об инцидентах, параметрах и характеристиках информационной безопасности, а также предоставление информации о работоспособности элементов систем, функционирующих на нижнем уровне SOC, в целом. Данный уровень может быть максимально адаптирован под задачи конкретного банка, но в целом его функционал сводится к решению таких задач, как оценка KPI всех подразделений и планирование развития банка, контроль всех систем защиты информации с одной консоли, предоставление информации о работе ИБ-подразделения в виде, понятном для топ-руководства и акционеров.
Мы понимаем, что понятие «типичный» банк – слишком усреднённое. На деле же невозможно найти и двух банков с одинаковым набором информационных систем. Именно поэтому центр оперативного управления информационной безопасностью разработан «Практикой Безопасности» по принципу конструктора и может существенно отличаться в зависимости от задач каждого конкретного банка.
ЛЕММЫ О SOCе
1. Ограничения
Трёхуровневый SOC можно назвать вершиной, квинтэссенцией всей системы информационной безопасности банка. К его внедрению следует приступать лишь зрелым кредитно-финансовым организациям, которые уже используют ИБ-решения по всем или почти по всем направлениям обеспечения информационной безопасности: анализ защищенности, контроль конфиденциальной информации, обнаружение вторжений, безопасное межсетевое взаимодействие, антивирусная защита и др.
Чем более передовые, качественные решения в сфере защиты информации внедрены, тем выше эффект от внедрения центра оперативного управления. Тем банкам, которые ещё не выстрои¬ли комплексное обеспечение информационной безопасности, к его созданию приступать преж¬девременно.
2. Перспективы аутсорсинга
Кем востребованы центры оперативного управления информационной безопасностью? В первую очередь – крупными компаниями, то есть банками и операторами электронных платежей, имеющими разветвлённую региональную структуру. Такими, например, как ОАО «Сбербанк России» или другие банки из списка ТОП-10, а также операторы мобильной связи, которые, оперируя средствами клиентов на абонентских счетах, тоже подпадают под действие федерального закона 161-ФЗ «О национальной платёжной системе» и государствен¬ное регулирование со стороны Банка России.
Ранее для операторов мобильной связи актуальными были только такие аспекты информационной безопасности, как устойчивая и бесперебойная работа автоматизированных систем, а также защита от несанкционированного доступа к информации. В последнее время добавилась еще и задача защиты средств клиентов от покушений недобросовестных поставщиков мобильного контента. Т.е. задача, тесно связанная с антифродом и обеспечением экономической безопасности. Центр оперативного управления информационной безопасностью помогает такую задачу эффективно решать.
По сути, SOC нужен любой компании, оперирующей, как минимум, двухзначным числом автоматизированных систем информационной безопасности. Среди таких могут оказаться и представители среднего, и даже малого бизнеса. Но это довольно дорогостоящее решение, хотя и на порядок дешевле, скажем, промышленных систем антифрода. «Что делать?» – спросят любопытные. Ответим.
Общение специалистов «Практики Безопасности» с зарубежными коллегами показало, что в странах Западной Европы и в США уже несколько лет пользуются спросом SOC на условиях аутсорсинга. Получается очень удобно: компания не покупает программное обеспечение, не содержит свой персонал, не тратит ресурсы на его обучение, но минимизирует риски информационной безопасности за умеренную «абонентскую плату». Мы решили перенять успешный опыт из-за рубежа и разработали аналогичное решение для российских компаний.
Однако следует отметить, что аутсорсинг SOC на отечественном рынке – лишь перспектива, и для этого есть свои причины. В России пока не принято говорить об инцидентах информационной безопасности в собственной компании до тех пор, пока о них не стало известно общественности. Так же, как нет и традиции передавать внешнему исполнителю задачи по обеспечению информационной безопасности.
Причина – низкий уровень доверия. Тем более, если речь идет о безопасности финансовых сервисов банка.
Вместе с тем мы уверены, что те интеграторы, которые готовят сани летом, станут лидерами, когда на рынок аутсорсинга ИБ наконец придет зима.
ОТВЕТ:
SOC'y в банке ? «да», да не всегда. Главное, как и в любом деле, вдумчивый подход и решение задач по всем правилам логики и здравого смысла.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных