Аутсорсинг центра управления событиями ИБ: доверяем самое ценное?
Модель облачных вычислений SaaS (Software аs a Service) в контексте оказания сервисов по ИБ может быть интерпретирована как «Security аs a Service». В данном случае Служба ИБ Компании выступает как сервисное подразделение, которое предоставляет свои услуги бизнес-подразделениям согласно требованиям внутреннего SLA, такие как: управление рисками ИБ, соответствие требованиям регуляторов по защите информации, поддержание непрерывности ключевых бизнес-процессов, обеспечение конфиденциальности, целостности и доступности критичной информации и др. Сервисный подход к осуществлению функций ИБ может быть реализован как силами самой Компании, так и с привлечением внешних поставщиков услуг.
ОСНОВНЫЕ ПРЕДПОСЫЛКИ АУТСОРСИНГА СЕРВИСОВ ПО ИБ
Компании, которые используют в основе построения Системы обеспечения ИБ риск-ориентированный подход, по результатам формализованного процесса оценки рисков ИБ разрабатывают План обработки рисков. В данном плане обычно содержатся рекомендации по выбору механизмов контроля, необходимых для минимизации неприемлемых рисков. Механизмы контроля могут носить организационный, технический или правовой характер и могут быть реализованы в виде политик, процедур или программно-аппаратных средств.
В большинстве компаний Служба ИБ состоит обычно из 2–3 человек, которые отвечают в основном за организационно-методические сервисы ИБ, такие как:
- классификация информационных активов и внедрение режима коммерческой тайны;
- согласование прав доступа к информационным системам (далее – ИС);
- управление рисками ИБ и поддержание непрерывности бизнеса;
- разработка необходимой организационно-распорядительной документации;
- обучение и повышение осведомленности персонала в вопросах ИБ;
- анализ эффективности и внутренний аудит процессов ИБ;
- расследование инцидентов ИБ.
При этом сервисы, связанные с работой технических механизмов контроля, зачастую находятся в зоне ответственности Службы ИТ. Все технические механизмы контроля по своей природе можно разделить на 3 категории:
- Встроенные в активное сетевое оборудование, web-серверы, СУБД, приложения и т.п. Данные механизмы настраиваются и поддерживаются Службой ИТ в соответствии с политиками и стандартами, разработанными Службой ИБ, во избежание негативного влияния настроек на производительность.
- Наложенные – несут в себе функционал, связанный с реализацией выделенных подсистем ИБ, таких как: межсетевые экраны, системы обнаружения вторжений, антивирусные средства, DLP-системы и сканеры уязвимостей. Данные механизмы являются узкоспециализированными и должны администрироваться Службой ИБ.
- Управленческие – служат для автоматизации процессов управления ИБ. Примерами таких механизмов контроля являются SIEM-системы и GRC-решения. Данные механизмы используются Службой ИБ и не влияют напрямую на производительность ИС.
Последние 2 вида механизмов контролей должны находиться в зоне ответственности Службы ИБ. Однако, руководством Компании, может быть принято стратегическое решение сократить капитальные и операционные расходы на непрофильные виды деятельности Компании, передав их на аутсорсинг, и сконцентрироваться на основных бизнес-направлениях Компании. Основаниями для принятия данного решения могут быть:
- совокупная стоимость владения (приобретение, установка, техническая поддержка, обновление программных компонент, наём и обучение специалистов для сопровождения) механизмами контроля для снижения рисков ИБ превышает величину возможного ущерба от их реализации;
- желание максимизировать возврат на инвестиции ROI за счет использования более дешевых внешних ресурсов: достигается благодаря «эффекту масштаба», когда сервис-провайдер оказывает услуги сразу нескольким компаниям-клиентам;
- получение более качественного сервиса за счет привлечения высококлассных специалистов с соответствующим опытом и компетенциями;
- необходимость высвобождения собственного персонала для использования в высокоприоритетных проектах без необходимости найма нового.
ОТДАЕМ НА АУТСОРСИНГ SOC
Центр управления событиями ИБ (Security Operation Center, SOC) представляет собой комплекс процессов и программно-аппаратных средств, предназначенный для централизованного сбора и анализа информации о событиях и инцидентах ИБ, поступающих из различных источников ИТ-инфраструктуры Компании, и своевременного реагирования на них.
Типовая схема аутсорсинга SOC представлена на Схеме (см. выше).
Функционирование SOC строится на базе работы следующих взаимосвязанных механизмов контроля 2-го и 3-го типа (наложенные и управленческие):
- сбор, корреляция событий и управление инцидентами ИБ (SIEM-система);
- обнаружение вторжений на сетевом уровне и уровне хостов (NIDS и HIDS);
- обнаружение и оценка уязвимостей (сканеры портов и уязвимостей);
- оценка рисков ИБ (инвентаризация активов и расчет величины рисков);
- визуализация и формирование отчетности (консоль управления Dashboard).
Решение может состоять из программно-аппаратного комплекса (далее – ПАК), реализующего в себе вышеперечисленный функционал, и услуг, оказываемых специалистами сервис-провайдера.
ПАК размещается внутри ЛВС и подключается к информационным ресурсам Компании. В качестве источников событий ИБ могут выступать:
- серверные компоненты;
- АРМ пользователей;
- активное сетевое оборудование;
- средства защиты информации и др.
Вся информация из ЛВС и журналов событий контролируемых узлов собирается, анализируется и обрабатывается средствами ПАК, используя встроенную систему корреляции. Информация может быть дополнена результатами дополнительных проверок ЛВС Компании при внешнем сканировании уязвимостей (например, ресурсов DMZ).
Все выявленные события и инциденты ИБ анализируются специалистами сервис-провайдера при подключении к ПАК по шифрованному каналу. Инциденты ИБ могут заводиться как автоматически, так и вручную специалистами по результатам экспертного анализа конкретного события ИБ. При этом каждый инцидент сопровождается комментариями с указанием его последствий и рекомендациями по устранению.
Работникам Компании доступны актуальные сведения о текущем состоянии ЛВС, выявленных рисках, событиях и инцидентах ИБ. Также существует возможность формировать разнообразные типы отчетов, отражающих текущее состояние и динамику изменений уровня ИБ Компании, для различной целевой аудитории:
- стратегические (для CEO и топ-менеджмента);
- тактические (для CISO, CIO);
- операционные (для администраторов ИБ и ИТ).
ПРИСУЩИЕ АУТСОРСИНГУ СЕРВИСОВ ПО ИБ
Вышеописанной схеме аутсорсинга SOC сопутствует большинство рисков, присущих модели облачных вычислений SaaS:
- утрата собственных компетенций Компании, зависимость в предоставлении определенных сервисов от внешних поставщиков услуг;
- отсутствие контроля над действиями удаленных администраторов и потоками информации, покидающих сетевой периметр Компании;
- отсутствие возможности проверить, как обрабатываются и хранятся данные Компании на стороне сервис-провайдера;
- несоответствие уровня ИБ на площадке сервис-провайдера требованиям Политики ИБ Компании и регуляторов по защите информации.
КОМПЕНСАЦИОННЫЕ МЕХАНИЗМЫ КОНТРОЛЯ
В качестве компенсационных механизмов контроля, используемых для снижения величины сопутствующих рисков ИБ, могут выступать:
- заключение соглашения о неразглашении конфиденциальной информации и определение порядка ее возврата/уничтожения по окончании действия сервисного контракта;
- включение в сервисный контракт права Компании на проведение периодического аудита состояния ИБ сервис-провайдера по заранее согласованным критериям;
- требование по предоставлению результатов скрининга (проверки биографии) сотрудников сервис-провайдера до заключения сервисного контракта и согласование формальной матрицы доступа к ИС Компании;
- четкое разделение зон ответственности по расследованию и действиям сторон при возможных инцидентах ИБ;
- внедрение решения по контролю действий удаленных администраторов (например, Balabit или Xceedium) и др.
ВМЕСТО ЗАКЛЮЧЕНИЯ
Необходимо отметить, что обязанность по проведению оценки рисков ИБ, связанных с аутсорсингом SOC, остается в зоне ответственности Службы ИБ Компании. Именно Служба ИБ должна разработать План обработки рисков с указанием в нем соответствующих механизмов контроля, в том числе тех, которые должны быть реализованы сервис-провайдером.
Таким образом, существует определенный разрыв в разделении обязанностей между тем, кто определяет необходимые механизмы контроля, и тем, кто отвечает за их внедрение и сопровождение, который может быть ликвидирован четким распределением ролей и ответственности в сервисном контракте.
На наш взгляд, при должном использовании компенсационных механизмов контроля все риски, которые возникают при аутсорсинге SOC, нивелируются теми преимуществами, которые получает бизнес от данного решения в виде:
-
применения экономически эффективного подхода к выбору и реализации защитных мер за счет сокращения совокупной стоимости владения сервисами ИБ;
-
использования квалифицированной экспертизы и опыта сервис-провайдера.