Аутсорсинг центра управления событиями ИБ: доверяем самое ценное?

Дмитрий Маркин
Начальник отдела аудита и
консалтинга “АМТ-ГРУП", CISA/CISM

Основные предпосылки аутсорсинга сервисов по ИБ

Компании, которые используют в основе построения системы обеспечения ИБ рискориентированный подход, по результатам формализованного процесса оценки рисков ИБ разрабатывают "План обработки рисков". В данном плане обычно содержатся рекомендации по выбору механизмов контроля, необходимых для минимизации неприемлемых рисков. Механизмы контроля могут носить организационный, технический или правовой характер и реализовываться в виде политик, процедур или программно-аппаратных средств.

В большинстве компаний служба ИБ состоит обычно из двух-трех человек, которые отвечают в основном за организационно-методические сервисы ИБ, такие как:

• классификация информационных активов и внедрение режима коммерческой тайны;
• согласование прав доступа к информационным системам (далее – ИС);
• управление рисками ИБ и поддержание непрерывности бизнеса;
• разработка необходимой организационно-распорядительной документации;
• обучение и повышение осведомленности персонала в вопросах ИБ;
• анализ эффективности и внутренний аудит процессов ИБ;
• расследование инцидентов ИБ.

При этом сервисы, связанные с работой технических механизмов контроля, зачастую находятся в зоне ответственности службы IТ. Все технические механизмы контроля по своей природе можно разделить на 3 категории:

1. Встроенные в активное сетевое оборудование, Web-серверы, СУБД, приложения и т.п. Данные механизмы настраиваются и поддерживаются службой IТ в соответствии с политиками и стандартами, разработанными службой ИБ, во избежание негативного влияния настроек на производительность.

2. Наложенные– несут в себе функционал, связанный с реализацией выделенных подсистем ИБ, таких как: межсетевые экраны, системы обнаружения вторжений, антивирусные средства, DLP-системы и сканеры уязвимостей. Данные механизмы являются узкоспециализированными и должны администрироваться службой ИБ.

3. Управленческие– служат для автоматизации процессов управления ИБ. Примерами таких механизмов контроля являются SIEM-системы и GRC-решения. Данные механизмы используются службой ИБ и не влияют напрямую на производительность ИС.

Последние два вида механизмов контроля должны находиться в зоне ответственности службы ИБ. Однако руководством компании может быть принято стратегическое решение о сокращении капитальных и операционных расходов на непрофильные виды деятельности компании, передаче их на аутсорсинг и концентрации на основных бизнес-направлениях компании. Основаниями для принятия данного решения могут быть:

• совокупная стоимость владения (приобретение, установка, техническая поддержка, обновление программных компонентов, наем и обучение специалистов для сопровождения) механизмами контроля для снижения рисков ИБ превышает величину возможного ущерба от их реализации;
• желание максимизировать ROI (возврат на инвестиции) за счет использования более дешевых внешних ресурсов: достигается благодаря "эффекту масштаба", когда сервис-провайдер оказывает услуги сразу нескольким компаниям-клиентам;
• получение более качественного сервиса за счет привлечения высококлассных специалистов с соответствующим опытом и компетенциями;
• необходимость высвобождения собственного персонала для использования в высокоприоритетных проектах без необходимости найма нового.

Отдаем на аутсорсинг SOC

Центр управления событиями ИБ (Security Operation Center, SOC) представляет собой комплекс процессов и программно-аппаратных средств, предназначенный для централизованного сбора и анализа информации о событиях и инцидентах ИБ, поступающих из различных источников IТ-инфраструктуры компании, и своевременного реагирования на них.

Типовая схема аутсорсинга SOC представлена на рисунке.

Функционирование SOC строится на базе работы следующих взаимосвязанных механизмов контроля 2-го и 3-го типа (наложенные и управленческие):

• сбор, корреляция событий и управление инцидентами ИБ (SIEM-система);
• обнаружение вторжений на сетевом уровне и уровне хостов (NIDS и HIDS);
• обнаружение и оценка уязвимостей (сканеры портов и уязвимостей);
• оценка рисков ИБ (инвентаризация активов и расчет величины рисков);
• визуализация и формирование отчетности (консоль управления Dashboard).

Решение может состоять из программно-аппаратного комплекса (далее – ПАК), реализующего в себе вышеперечисленный функционал, и услуг, которые оказываются специалистами сервис-провайдера.

ПАК размещается внутри ЛВС и подключается к информационным ресурсам компании. В качестве источников событий ИБ могут выступать:

• серверные компоненты;
• АРМ пользователей;
• активное сетевое оборудование;
• средства защиты информации и др.

Вся информация из ЛВС и журналов событий контролируемых узлов собирается, анализируется и обрабатывается средствами ПАК, используя встроенную систему корреляции. Информация может быть расширена результатами дополнительных проверок ЛВС компании при внешнем сканировании уязвимостей (например, ресурсов DMZ).

Все выявленные события и инциденты ИБ анализируются специалистами сервис-провайдера при подключении к ПАК по шифрованному каналу. Инциденты ИБ могут заводиться как автоматически, так и вручную специалистами по результатам экспертного анализа конкретного события ИБ. При этом каждый инцидент сопровождается комментариями с указанием его последствий и рекомендациями по устранению.

Работникам компании доступны актуальные сведения о текущем состоянии ЛВС, выявленных рисках, событиях и инцидентах ИБ. Также существует возможность формирования разнообразных типов отчетов, отражающих текущее состояние и динамику изменений уровня ИБ компании, для различной целевой аудитории:

• стратегические (для CEO и топ-менеджмента);
• тактические (для CISO, CIO);
• операционные (для администраторов ИБ и IT).

Риски, присущие аутсорсингу сервисов по ИБ

Вышеописанной схеме аутсорсинга SOC сопутствует большинство рисков, присущих модели облачных вычислений SaaS:

• утрата собственных компетенций компании, зависимость в предоставлении определенных сервисов от внешних поставщиков услуг;
• отсутствие контроля над действиями удаленных администраторов и потоками информации, покидающими сетевой периметр компании;
• отсутствие возможности проверить, как обрабатываются и хранятся данные компании на стороне сервис-провайдера;
• несоответствие уровня ИБ на площадке сервис-провайдера требованиям политики ИБ компании и регуляторов по защите информации.

Компенсационные механизмы контроля

В качестве компенсационных механизмов контроля, используемых для снижения величины сопутствующих рисков ИБ, могут выступать:

• заключение соглашения о неразглашении конфиденциальной информации и определение порядка ее возврата/уничтожения по окончании действия сервисного контракта;
• включение в сервисный контракт права компании на проведение периодического аудита состояния ИБ сервис-провайдера по заранее согласованным критериям;
• требование по предоставлению результатов скрининга (проверки биографии) сотрудников сервис-провайдера до заключения сервисного контракта и согласование формальной матрицы доступа к ИС компании;
• четкое разделение зон ответственности по расследованию и действиям сторон при возможных инцидентах ИБ;
• внедрение решения по контролю действий удаленных администраторов (например, Baabit или Xceedium) и др.

Вместо заключения

Необходимо отметить, что обязанность по проведению оценки рисков ИБ, связанных с аутсорсингом SOC, остается в зоне ответственности службы ИБ компании. Именно служба ИБ должна разработать "План обработки рисков" с указанием в нем соответствующих механизмов контроля, в том числе тех, которые должны быть реализованы сервис-провайдером. Таким образом, существует определенный разрыв в разделении обязанностей между тем, кто определяет необходимые механизмы контроля, и тем, кто отвечает за их внедрение и сопровождение, который может быть ликвидирован четким распределением ролей и ответственности в сервисном контракте.

На наш взгляд, при должном использовании компенсационных механизмов контроля все риски, которые возникают при аутсорсинге SOC, нивелируются теми преимуществами, которые получает бизнес от данного решения в виде:

• применения экономически эффективного подхода к выбору и реализации защитных мер за счет сокращения совокупной стоимости владения сервисами ИБ;
• использования квалифицированной экспертизы и опыта сервис-провайдера.