Аутсорсинг центра управления событиями ИБ: доверяем самое ценное?

Аутсорсинг центра управления событиями ИБ: доверяем самое ценное?

Модель облачных вычислений SaaS (Software аs a Service) в контексте оказания сервисов по ИБ может быть интерпретирована как «Security аs a Service». В данном случае Служба ИБ Компании выступает как сервисное подразделение, которое предоставляет свои услуги бизнес-подразделениям согласно требованиям внутреннего SLA, такие как: управление рисками ИБ, соответствие требованиям регуляторов по защите информации, поддержание непрерывности ключевых бизнес-процессов, обеспечение конфиденциальности, целостности и доступности критичной информации и др. Сервисный подход к осуществлению функций ИБ может быть реализован как силами самой Компании, так и с привлечением внешних поставщиков услуг.

ОСНОВНЫЕ ПРЕДПОСЫЛКИ АУТСОРСИНГА СЕРВИСОВ ПО ИБ

Компании, которые используют в основе построения Системы обеспечения ИБ риск-ориентированный подход, по результатам формализованного процесса оценки рисков ИБ разрабатывают План обработки рисков. В данном плане обычно содержатся рекомендации по выбору механизмов контроля, необходимых для минимизации неприемлемых рисков. Механизмы контроля могут носить организационный, технический или правовой характер и могут быть реализованы в виде политик, процедур или программно-аппаратных средств.

В большинстве компаний Служба ИБ состоит обычно из 2–3 человек, которые отвечают в основном за организационно-методические сервисы ИБ, такие как:

• классификация информационных активов и внедрение режима коммерческой тайны;
• согласование прав доступа к информационным системам (далее – ИС);
• управление рисками ИБ и поддержание непрерывности бизнеса;
• разработка необходимой организационно-распорядительной документации;
• обучение и повышение осведомленности персонала в вопросах ИБ;
• анализ эффективности и внутренний аудит процессов ИБ;
• расследование инцидентов ИБ.

При этом сервисы, связанные с работой технических механизмов контроля, зачастую находятся в зоне ответственности Службы ИТ. Все технические механизмы контроля по своей природе можно разделить на 3 категории:

1. Встроенные в активное сетевое оборудование, web-серверы, СУБД, приложения и т.п. Данные механизмы настраиваются и поддерживаются Службой ИТ в соответствии с политиками и стандартами, разработанными Службой ИБ, во избежание негативного влияния настроек на производительность.
2. Наложенные – несут в себе функционал, связанный с реализацией выделенных подсистем ИБ, таких как: межсетевые экраны, системы обнаружения вторжений, антивирусные средства, DLP-системы и сканеры уязвимостей. Данные механизмы являются узкоспециализированными и должны администрироваться Службой ИБ.
3. Управленческие – служат для автоматизации процессов управления ИБ. Примерами таких механизмов контроля являются SIEM-системы и GRC-решения. Данные механизмы используются Службой ИБ и не влияют напрямую на производительность ИС.

Последние 2 вида механизмов контролей должны находиться в зоне ответственности Службы ИБ. Однако, руководством Компании, может быть принято стратегическое решение сократить капитальные и операционные расходы на непрофильные виды деятельности Компании, передав их на аутсорсинг, и сконцентрироваться на основных бизнес-направлениях Компании. Основаниями для принятия данного решения могут быть:

• совокупная стоимость владения (приобретение, установка, техническая поддержка, обновление программных компонент, наём и обучение специалистов для сопровождения) механизмами контроля для снижения рисков ИБ превышает величину возможного ущерба от их реализации;
• желание максимизировать возврат на инвестиции ROI за счет использования более дешевых внешних ресурсов: достигается благодаря «эффекту масштаба», когда сервис-провайдер оказывает услуги сразу нескольким компаниям-клиентам;
• получение более качественного сервиса за счет привлечения высококлассных специалистов с соответствующим опытом и компетенциями;
• необходимость высвобождения собственного персонала для использования в высокоприоритетных проектах без необходимости найма нового.

ОТДАЕМ НА АУТСОРСИНГ SOC

Центр управления событиями ИБ (Security Operation Center, SOC) представляет собой комплекс процессов и программно-аппаратных средств, предназначенный для централизованного сбора и анализа информации о событиях и инцидентах ИБ, поступающих из различных источников ИТ-инфраструктуры Компании, и своевременного реагирования на них.

Типовая схема аутсорсинга SOC представлена на Схеме (см. выше).
Функционирование SOC строится на базе работы следующих взаимосвязанных механизмов контроля 2-го и 3-го типа (наложенные и управленческие):

• сбор, корреляция событий и управление инцидентами ИБ (SIEM-система);
• обнаружение вторжений на сетевом уровне и уровне хостов (NIDS и HIDS);
• обнаружение и оценка уязвимостей (сканеры портов и уязвимостей);
• оценка рисков ИБ (инвентаризация активов и расчет величины рисков);
• визуализация и формирование отчетности (консоль управления Dashboard).

Решение может состоять из программно-аппаратного комплекса (далее – ПАК), реализующего в себе вышеперечисленный функционал, и услуг, оказываемых специалистами сервис-провайдера.

ПАК размещается внутри ЛВС и подключается к информационным ресурсам Компании. В качестве источников событий ИБ могут выступать:

• серверные компоненты;
• АРМ пользователей;
• активное сетевое оборудование;
• средства защиты информации и др.

Вся информация из ЛВС и журналов событий контролируемых узлов собирается, анализируется и обрабатывается средствами ПАК, используя встроенную систему корреляции. Информация может быть дополнена результатами дополнительных проверок ЛВС Компании при внешнем сканировании уязвимостей (например, ресурсов DMZ).

Все выявленные события и инциденты ИБ анализируются специалистами сервис-провайдера при подключении к ПАК по шифрованному каналу. Инциденты ИБ могут заводиться как автоматически, так и вручную специалистами по результатам экспертного анализа конкретного события ИБ. При этом каждый инцидент сопровождается комментариями с указанием его последствий и рекомендациями по устранению.

Работникам Компании доступны актуальные сведения о текущем состоянии ЛВС, выявленных рисках, событиях и инцидентах ИБ. Также существует возможность формировать разнообразные типы отчетов, отражающих текущее состояние и динамику изменений уровня ИБ Компании, для различной целевой аудитории:

• стратегические (для CEO и топ-менеджмента);
• тактические (для CISO, CIO);
• операционные (для администраторов ИБ и ИТ).

ПРИСУЩИЕ АУТСОРСИНГУ СЕРВИСОВ ПО ИБ

Вышеописанной схеме аутсорсинга SOC сопутствует большинство рисков, присущих модели облачных вычислений SaaS:

• утрата собственных компетенций Компании, зависимость в предоставлении определенных сервисов от внешних поставщиков услуг;
• отсутствие контроля над действиями удаленных администраторов и потоками информации, покидающих сетевой периметр Компании;
• отсутствие возможности проверить, как обрабатываются и хранятся данные Компании на стороне сервис-провайдера;
• несоответствие уровня ИБ на площадке сервис-провайдера требованиям Политики ИБ Компании и регуляторов по защите информации.

КОМПЕНСАЦИОННЫЕ МЕХАНИЗМЫ КОНТРОЛЯ

В качестве компенсационных механизмов контроля, используемых для снижения величины сопутствующих рисков ИБ, могут выступать:

• заключение соглашения о неразглашении конфиденциальной информации и определение порядка ее возврата/уничтожения по окончании действия сервисного контракта;
• включение в сервисный контракт права Компании на проведение периодического аудита состояния ИБ сервис-провайдера по заранее согласованным критериям;
• требование по предоставлению результатов скрининга (проверки биографии) сотрудников сервис-провайдера до заключения сервисного контракта и согласование формальной матрицы доступа к ИС Компании;
• четкое разделение зон ответственности по расследованию и действиям сторон при возможных инцидентах ИБ;
• внедрение решения по контролю действий удаленных администраторов (например, Balabit или Xceedium) и др.

ВМЕСТО ЗАКЛЮЧЕНИЯ

Необходимо отметить, что обязанность по проведению оценки рисков ИБ, связанных с аутсорсингом SOC, остается в зоне ответственности Службы ИБ Компании. Именно Служба ИБ должна разработать План обработки рисков с указанием в нем соответствующих механизмов контроля, в том числе тех, которые должны быть реализованы сервис-провайдером.

Таким образом, существует определенный разрыв в разделении обязанностей между тем, кто определяет необходимые механизмы контроля, и тем, кто отвечает за их внедрение и сопровождение, который может быть ликвидирован четким распределением ролей и ответственности в сервисном контракте.

На наш взгляд, при должном использовании компенсационных механизмов контроля все риски, которые возникают при аутсорсинге SOC, нивелируются теми преимуществами, которые получает бизнес от данного решения в виде:

• применения экономически эффективного подхода к выбору и реализации защитных мер за счет сокращения совокупной стоимости владения сервисами ИБ;

• использования квалифицированной экспертизы и опыта сервис-провайдера.