|
|
|
Услуги ИБ задают правила «игры»Известно, что безопасность — это не состояние, а процесс, причем непрерывный. Он имеет свое начало, но не имеет конца. Если не соблюдаются «правила игры», то контроль над ним теряется, и безопасность превращается в абсолютно неподконтрольный набор хаотичных действий. Услуги в области ИБ позволяют, во-первых, создать такие правила с нуля и в дальнейшем руководствоваться ими; во-вторых, понять существующие, зачастую негласные правила, описать их и действовать в полном соответствии; а, в-третьих, переписать правила, если существующие мешают развитию бизнеса. Если обратиться к классическому разделению жизненного цикла на этапы, то каждый из них может сопровождаться своим набором услуг в области информационной безопасности. На рисунке ниже изображены 6 этапов процесса обеспечения ИБ согласно модели PPDIOO (Prepare, Plan, Design, Implementation, Operation, Optimization) компании Cisco. Эта же модель используется и во многих других стандартах. Например, в стандарте ISO 27001 те же этапы разбиты на 4 повторяющихся задачи (Plan, Do, Check, Act). Жизненный цикл (процесс) информационной безопасности Сразу надо отметить, что далеко не всегда заказчик готов соблюдать указанный жизненный цикл полностью и часто он завершает реализацию услуг этапом планирования или дизайна. Поняв, что реализация выработанных рекомендаций может «влететь в копеечку», он так и оставляет их на бумаге, не получив воплощения в реальной жизни. Бывает и противоположная ситуация — интегратор (поставщик услуг) не готов сопровождать систему информационной безопасности на всех этапах ее жизни. Такая ситуация очень часто встречается в реальности, что связано как с узкой специализацией некоторых компаний (например, только проведение тестов на проникновение или написание различных организационно-распорядительной документации), так и с отсутствием квалификации и экспертизы. Этап подготовки От качества данного этапа зависит многое в дальнейшем обеспечении информационной безопасности. Начнем с того, что именно здесь необходимо понять все слабости в существующей системе защиты информации. Не видя слабых мест, не понимая всех особенностей бизнеса, очень сложно будет планировать дальнейшие шаги и заниматься внедрением, эксплуатацией и оптимизацией систем, а так же механизмов защиты. Услуги данного этапа можно условно разделить на 2 части — техническую и бизнес — ориентированную. Первая из них включает в себя различные аудиты, обследования, оценки текущего состояния сети и информационных систем с точки зрения информационной безопасности. Причем очень важно понимать, что аудит сети и аудит информационной системы — это не одно и тоже. Первое — это самый низший уровень проверки защищенности информационной архитектуры. В рамках данного направления часто проводятся тесты на проникновение (penetration tests), которые призваны продемонстрировать реальные слабости конкретной сети. Аудит информационной системы — это более высокий уровень. Здесь проверяются не настройки межсетевых экранов, беспроводных сетей или IP-телефонии, а происходит подъём на уровень конкретных приложений, часто называемых бизнес-приложениями (ERP, CRM, DRP, SCM и т.д.). Услуг в данной области практически в России нет (исключая тестирование Web-приложений), да и в мире работающих в этом сегменте компаний, не так много. Вторая часть услуг касается высшего уровня архитектуры предприятия — непосредственно бизнеса и бизнес-процессов. Зачастую данный пласт услуг вообще не касается информационных технологий — проверяются совершенно иные вещи — работа HR, взаимодействие с поставщиками, партнерами и клиентами, анализ договоров на оказание тех или иных услуг, определение метрик оценки эффективности ИБ и т.д. Это уже скорее область бизнес-консалтинга, ориентированного на безопасность, чем традиционных «технических» услуг по ИБ (например, http://www.kerberus.ru/). Этап планирования После того, как выяснены слабые места, возникает потребность составить план действий по их устранению. Это самый востребованный и распространенный пласт услуг по ИБ. Сюда входят и разработка различных концепций по информационной безопасности, и планов действий в чрезвычайных ситуациях, и планов обеспечения непрерывности бизнеса, и руководств по реагированию на инциденты, методических указаний по созданию центров управления безопасностью (Security Operations Center, SOC), инструкций для пользователей и т.д. Главное на данном этапе — не увлекаться и не подменять реальную безопасность ее бумажным аналогом. Этап дизайна Дизайн — эта последний этап перед внедрением средств защиты. На этом этапе происходит спуск с «небес» на «землю» и, используя данные, полученные на предыдущих двух этапах, создаётся дизайн защищенной корпоративной сети или информационной системы. Очень часто это требует перестройки топологии существующей сети, наращивания ее защитных возможностей и т.д. Дизайн может быть как высокоуровневый (с указанием мест расположения средств защиты и информационных потоков), так и низкоуровневый (вплоть до настроек оборудования). Особенностью данного этапа является привязка к конкретным средствам защиты, выбранным на предыдущих этапах. В зависимости от их проработанности отобранные системы могут, как остаться в итоговом проекте, так и быть полностью заменены на новые. Последняя ситуация возникает тогда, когда использование выбранной системы обходится в разы дороже ее аналогов. Этап внедрения Услуги по внедрению средств защиты особенно востребованы на крупных предприятиях, где имеется разветвленная структура и наблюдается отсутствие достаточного количества специалистов. В этом случае и необходимо привлечение «солдат», разъезжающих по различным территориям с целью инсталляции внедряемых решений. Вторая ситуация, требующая заказа услуг по внедрению — сложная система обеспечения информационной безопасности (например, SOC или PKI), внедрить которую самостоятельно не представляется возможным по причине отсутствия необходимой экспертизы. Аналогичная ситуация возникает с ERP, SCM и другими аналогичными «тяжелыми» системами. Помимо внедрения технических средств в эту категорию входит также реорганизация Этап эксплуатации и поддержки Для классификации услуг данного этапа можно воспользоваться рекомендациями ITIL. Сначала управление инцидентами — процесс скорейшего устранения инцидентов, т.е. событий, не являющихся частью нормального функционирования сервиса и требующих ответной реакции. Сюда относится как управление сбоями самой системы защиты, так и управление угрозами, которые эта система фиксирует. Во-вторых, управление проблемами — процесс уменьшения числа инцидентов путем устранения причин их возникновения. В-третьих, управление конфигурацией — процесс поддержания в актуальном состоянии инфраструктуры безопасности (создание, контроль и обновление правил безопасности в зависимости от текущей ситуации). В-четвертых, управление изменениями — процесс допущения и контроля только тех изменений, которые не повлияют негативно на бизнес. В-пятых, управление релизами — процесс сохранения работоспособности при проведении изменений.В-шестых, управление уровнем сервиса — процесс слежения за уровнем сервиса и устранение некачественного сервиса. Далее, управление непрерывностью. И, в завершение, управление доступностью. Все эти услуги обычно объединяются в рамках так называемого аутсорсинга безопасности (Managed Security Services), который активно предлагается на Западе и только начинает развиваться у нас в России. Хотя некоторые из услуг данного класса могут предлагаться и самостоятельно. Например, обновление антивирусных или антиспамовых баз. Этап оптимизации Этап оптимизации хоть и считается последним, на самом деле, таковым не является, т.к. безопасность — это непрерывный и итерационный процесс. Обычно на данном этапе вновь осуществляется аудит, который выявляет различные изменения в состоянии информационной безопасности. Поэтому после оптимизации вновь начинается этап планирования (обновления существующих документов), затем ре-дизайн существующей сети и информационной системы, внедрение новых систем или изменение настроек существующих и так далее. Услуги над этапами В отдельную категорию услуг можно вынести проведение различных НИОКР, проводимых крупными корпоративными заказчиками с целью оптимизации будущих инвестиций в информационную безопасность. Как пример таких исследовательских работ можно назвать выбор системы мониторинга безопасности или разработка правил корреляции (этап планирования и дизайна), создание правил для системы борьбы с утечкой конфиденциальной информации или антиспама (этап внедрения, эксплуатации и оптимизации) и т.п. Также стоит отметить целый пласт услуг, которые пронизывают сразу все этапы жизненного цикла ИБ. Речь идет о подготовке к сертификации по различным международным или национальным стандартам по безопасности, например, ISO 27001 или СТО БР ИБСС-1.0-2006. В рамках этих услуг осуществляется и подготовка, и планирование, и дизайн, и внедрение и т.д. Комплексной услугой также является создание SOC. Еще одной востребованной услугой, применимой к каждому упомянутому выше этапу, относится обучение. Но если раньше данная услуга ограничивалась только обучением специалистов по различным вопросам ИБ, то сегодня набирается популярность внедрение так называемых программ security awareness, например, http://www.dsectrain.ru, т.е. повышения осведомленности персонала (всех категорий сотрудников, а не только ИТ и ИБ) в области безопасности. И наконец, последняя в обзоре услуга, которая пока так и не получила распространения в России — страхование информационных рисков. У нас пока нет законодательной базы для ее активного использования, несмотря на факт её востребованности (как единственного средства защиты компании в случае нанесения финансового ущерба). Кому нужны услуги по безопасности? Такие услуги нужны всем, но вот заказать их может далеко не любая компания вследствие их дороговизны. Стоимость таких услуг начинается с нескольких тысяч долларов, что не могут осилить компании малого и среднего бизнеса. Поэтому они вынуждены либо полностью отказываться от этих услуг на свой страх и риск, либо пытаться это делать самостоятельно, либо искать варианты бесплатного получения таких услуг. Например, интернет-инструментарий, автоматизирующий процесс создания политики безопасности, или онлайн-сканирование уязвимостей. Outsourcing и insourcing Аутсорсинг услуг (managed service или outsourcing) — модное сегодня слово из мира ИТ и информационной безопасности. Суть его достаточно проста — та или иная задача выполняется не самим пользователем, а внешней стороной, которая считается независимой. Обратимся к истории. В древние времени и средневековье властители всегда обращались к помощи наемников для ведения битв и иных междоусобиц. Почему? Ответ прост — нехватка собственных людей и их низкая квалификация. За прошедшие сотни лет ситуация совсем не изменилась. К аутсорсингу услуг безопасности обращаются именно тогда, когда у отдела ИБ не хватает специалистов (а их, как правило, всегда не хватает) для выполнения всех задач, поставленных руководством. Вторая причина — отсутствие необходимой квалификации. Мало иметь достаточно людей, они должны уметь грамотно настраивать имеющиеся средства и механизмы защиты, а также своевременно реагировать на сигналы тревоги, поступающие на центральную консоль системы защиты (одной или нескольких). К сожалению, спрос на таких специалистов обычно превышает предложение, а значит дефицит высококвалифицированных экспертов налицо. Есть и третья причина, являющаяся следствием первых двух — невозможность круглосуточного мониторинга состояния безопасности и реагирования на все нарушения политики безопасности. Ведь у злоумышленников не бывает выходных и они не знают, что такое продолжительность рабочего дня по Трудовому Кодексу — они могут атаковать в любое время, даже в Новый Год, когда любой нормальный администратор сидит под елкой в предвкушении праздника. Все эти причины вынуждают искать компанию или организацию, которая будет иметь достаточное количество квалифицированных специалистов, работающих круглосуточно и способных своевременно отражать как известные, так и еще не ставшие «популярными» атаки. В мире сейчас число аутсорсинговых компаний в сфере ИБ приближается к сотне. В России таких компаний почти нет. Несмотря на наличие фразы «аутсорсинг безопасности» в портфолио многих российских интеграторов и разработчиков средств защиты, реально такие услуги (исключая консалтинг) никто не предоставляет. Связано это с тем, что у отечественных компаний нет инфраструктуры для оказания таких услуг. Но, учитывая движение всего мира к повсеместному применению аутсорсинговой модели, можно предположить, что и у нас скоро начнется борьба за этот нарождающийся сегмент рынка. Другой термин, который только недавно стал встречаться в прессе — insourcing. Инсорсинг — это услуги, оказываемые потребителю. Но в противовес аутсорсингу, и пользователь и сервис-провайдер находятся внутри одной компании. Таким провайдером часто является ИТ-подразделение, внедряющее в компании лучшие практики ITIL. Однако если выйти за пределы наиболее распространенных книг, входящих в библиотеку ITIL, то можно найти документ под названием «ITIL Security Management», который в традициях ITIL описывает информационную безопасность как сервис, оказываемый ИТ-подразделением или службой ИБ потребителю, в качестве которого выступают внутренние подразделения. Но пока эта концепция не нашла широкого применения не только в России, но и в мире. Как собственно, и сама ITIL, которая по прогнозам Gartner будет активно внедряться не раньше чем через 5 лет. Алексей Лукацкий |