Документ рассматривает аутсорсинг информационной безопасности (ИБ) как растущую практику, предлагая формальное соглашение с третьими сторонами для выполнения бизнес-функций. Обсуждаются причины выбора аутсорсинга, включая экономические, кадровые и технологические аспекты, а также описываются преимущества и риски, связанные с передачей процессов на аутсорсинг. В заключение, подчеркивается необходимость доверия и прозрачности в отношениях с поставщиками услуг в сфере ИБ.

1. #CODEIB
Андрей Прозоров
Руководитель экспертного направления,
Solar Security
5 «почему» аутсорсинга ИБ
BLOG
TWITTER
80na20.blogspot.com
@3DWAVE
2016

2. #CODEIB 2016
Outsoursing - A formal agreement with a third
party to perform Information systems or other
business functions for an enterprise.
Аутсорсинг – формальное соглашение с третьей стороной на
предоставление ИС или других бизнес-функций для предприятия.

3. #CODEIB 2016
5 «почему» аутсорсинга ИБ
1. Почему аутсорсинг становится все популярнее в Мире?
2. Почему используют услуги аутсорсинга ИБ в России?
3. Почему аутсорсинг ИБ эффективен?
4. Почему уже стоит попробовать аутсорсинг ИБ?
5. Почему это безопасно и можно доверять провайдеру услуг?

4. #CODEIB 2016
Контекст
1. Бизнес и ИТ развиваются намного быстрее ИБ
2. Успешных атак становится все больше, ущерб растет
3. Инциденты ИБ долгое время остаются невыявленными.
Целенаправленные атаки не детектируются
стандартными средствами защиты
146дней - среднее время детектирования (FireEye)

5. #CODEIB 2016
Ущерб от инцидентов ИБ
• Банк России отмечает смещение вектора атак в сторону
кредитных организаций. Так инциденты, связанные с целевыми
атаками на операционную инфраструктуру кредитных
организаций и платежных систем, в 2015 году привели к
финансовым потерям в размере более 900 млн рублей
• ФСБ России: в конце 2015 – начале 2016 в результате действий
злоумышленников пострадали более 40 банков, общий объем
ущерба превысил 10 млрд рублей (Россия)
• Касперский: «Мировые убытки от киберпреступности достигают
400-500+ млрд долларов в год»

6. #CODEIB 2016
К 2020 году 60% корпоративного бюджета на ИБ
будут расходоваться на задачи Обнаружения и
Реагирования (Detection and Response).
Сейчас на них приходится меньше 30%...
Подход «Просто внедрим средства защиты» уже НЕ работает…

7. #CODEIB 2016
Система ИБ должна постоянно
совершенствоваться…
и быстро

8. #CODEIB 2016
Рынок ИБ будет ежегодно расти на 7,4% до 2019
года. Наибольшие возможности для роста будут у
следующих областей:
• Проверка ИБ (security testing)
• Аутсорсинг ИБ
• Управление идентификацией и доступом (IAM)
Forecast Analysis: Information Security, Worldwide (2015-09-08)

9. #CODEIB 2016
Ничего не передают на аутсорсинг
ИБ лишь 20% компаний (Мир)

10. #CODEIB 2016
Типовые услуги аутсорсинга ИБ
1. Эксплуатация средств мониторинга и защиты информации,
развернутых в организации (IDS/IPS, МСЭ, SIEM и пр.)
2. Предоставление в аренду и эксплуатация средств
мониторинга и защиты информации (сканеры уязвимостей,
средства защиты от DDoS-атак, WAF, sandbox и пр.)
3. Реализация отдельных процессов ИБ (мониторинг
событий и реагирование на инциденты, обучение и
повышение осведомленности персонала, тестирование на
проникновение и пр.)

11. #CODEIB 2016
Общий подход к аутсорсингу
1. Долговременное сотрудничество. На аутсорсинг передаются
непрофильные и/или сложные процессы ИБ (например,
мониторинг событий и реагирование на инциденты ИБ).
2. Среднесрочное сотрудничество. На аутсорсинг временно
передаются сложные технологические процессы ИБ до тех пор,
пока не будет реализован соответствующий процесс внутри
организации (например, при построении собственного SOC).
3. Кратковременное сотрудничество. Усиление собственной ИБ
услугами аутсорсинга на время проведения крупных
мероприятий, характерных увеличением рисков ИБ (например,
политические саммиты, выборы, спортивные соревнования,
международные конкурсы и другое).

12. #CODEIB 2016
Причины перехода на аутсорсинг
Кадровые
• Отсутствие необходимых
квалифицированных и мотивированных
кадров внутри организации
• Необходимость высвобождения ключевых
специалистов для других проектов и задач
• Необходимость снижения зависимости от
собственных работников организации
• Четкое разграничение ответственности
Технологические
• Повышение общего уровня ИБ за счет
использования современных технологий и
методологий
• Возможность обеспечения отдельных
процессов ИБ в режиме 24х7
Экономические
• Повышение прозрачности и предсказуемости
расходов на ИБ
• Оптимизация расходов на ИБ
• Удобное масштабирование (расширение и
уменьшение объема услуг), OPEX
• Финансовая ответственность Провайдера (обычно
неустойка, но может быть и возмещение ущерба)
Временные
• Возможность быстрого усиления ИБ
• Возможность быстрого внедрения отдельных
процессов ИБ (втч и для compliance)
• Возможность быстрого повышения уровня зрелости
отдельных процессов ИБ

13. #CODEIB 2016
Аутсорсинг Инсорсинг
Длительность внедрения
процесса ИБ
Обычно 2-6 недели В зависимости от процесса. Если процесс и
технологии новые и сложные, то может занять от
месяца до нескольких лет
Уровень компетенций
персонала
Очень высокий
(экспертная среда)
Низкий / Средний / Высокий
Затраты Предсказуемые, OpEx CapEx и OpEx. Некоторые расходы могут быть
скрытыми
Источник методологий Провайдер услуг Заказчик / Консультант
Режим работы Обычно 24х7 Обычно 8х5 или 12х5
Возможности по
реагированию и гибкость
Формальные, в рамках SLA Полные
Понимание контекста Низкое Высокое
Зависимость от
сложившейся «плохой»
практики
Низкое Высокое
Доступ к ИС и СЗИ Внешний Внутренний
Проектные риски Низкие Средние / Высокие
Ключевые отличия

14. #CODEIB 2016
Выбираем Аутсорсинг Используем только Инсорсинг
• Недостаточная проверка Провайдера, неправильный
выбор Провайдера
• Зависимость от Провайдера услуг
• Типизированный подход к оказанию услуг
(поверхностное понимание Провайдером услуг
контекста организации)
• Отсутствие необходимых ресурсов у Поставщика услуг
аутсорсинга (в случае быстрого масштабирования)
• Формальный подход (в соответствии с SLA)
• Специфичные риски ИБ, связанные с передачей прав
доступа
• Риски персонала (нехватка квалифицированного
персонала, потеря персонала, чрезмерная
загруженность, недозагруженность, снижение мотивации,
личная заинтересованность)
• Сильное влияние со стороны других заинтересованных
лиц внутри организации
• Проектные риски при реализации процессов ИБ,
внедрении средств мониторинга и защиты информации
(срыв сроков и превышение бюджета)
• Отсутствие необходимых технологий и методологий
• Игнорирование приоритетов в области ИБ (расходование
ресурсов на второстепенные задачи)
• Отсутствие контроля угроз ИБ, реализующиеся во вне
рабочего времени
• Низкая эффективность процессов, слабый контроль
Специфика угроз и рисков для Заказчика

15. #CODEIB 2016
• Outsourcing Professional Body of Knowledge - OPBOK Version 10
• ISO 37500-2014 Guidance on outsourcing
• NOA Outsourcing Life Cycle
• Книги серии ITIL (особенно Service Strategy)
• NIST SP 800-35 Guide to Information Technology Security Services
• PCI DSS."Information Supplement: Third-Party Security Assurance"
• Vendor Management Using COBIT5
• Стандарты серии ISO/IEC 27036 Information security for supplier
relationships...
• Группа мер "A.15 Supplier relationships" из ISO 27002-2013
«Лучшие практики» по аутсорсингу

16. #CODEIB 2016
А что в России?

17. #CODEIB 2016
32
крупных коммерческих и
государственных клиента
48
специалистов по ИБ
в штате
205 648
инцидентов за 2015 год
99,4%
общая доступность
Сервиса
до 10 мин
Время реакции
на инцидент
до 30 мин
Время анализа/ противодействия
Один слайд о Solar JSOC
http://solarsecurity.ru/products/jsoc

18. #CODEIB 2016
Аутсорсинг ИБ в РФ
Причины

19. #CODEIB 2016
Ночные инциденты ИБ

20. #CODEIB 2016
«Регуляторные» причины
1. Актуальность управления инцидентами ИБ.
Требования по выявлению инцидентов (и уведомление
о них ФСБ России, ФСТЭК России, ЦБ РФ) есть в
проектах новой Доктрины ИБ и правках 149-ФЗ.
+FinCERT (ЦБ РФ)
2. Активное развитие ГосСОПКА (ФСБ России)
3. Наличие сложных мер ИБ в требованиях ФСТЭК
России и ЦБ РФ

21. #CODEIB 2016
Сложные меры из Приказов 17/21/31
V. Регистрация событий
безопасности (РСБ)
VII. Обнаружение
вторжений (СОВ)
XIV. Обеспечение
безопасной разработки
прикладного
(специального) ПО
разработчиком (ОБР)
XX. Выявление инцидентов
и реагирование на них
(ИНЦ)
XXI. Управление
конфигурацией
автоматизированной
системы управления и ее
системы защиты (УКФ)
VIII. Контроль (анализ)
защищенности
информации (АНЗ)
Важно! Наличие лицензии на деятельность по ТЗКИ

22. #CODEIB 2016
Почему аутсорсинг эффективен?
• Уровень зрелости и "крутость" Поставщиков услуг обычно
очень высокие (24х7, TI, большой опыт, повторяемость
процессов, дорогой квалифицированный персонал,
выстроенный процесс подбора и обучения персонала…)
• Сервисы четко описаны, определен конкретный
измеряемый результат и SLA
• Оптимальная стоимость владения за счет:
• OPEX (прозрачная масштабируемость)
• Оптимизированные процессы
• Сниженная стоимость лицензий
• Низкие проектные риски
• Низкие расходы на персонал (прямые и косвенные), они
переложены на Поставщика услуг
• Быстрый запуск (низкие расходы на старте)
• …
Стоимость сервиса Solar JSOC на 30-40%
ниже стоимости владения собственным SOC
(средняя стоимость обработки инцидента
JSOCом ~1 805 р, против 2 600 р).

23. #CODEIB 2016
SLA «Мониторинг и анализ событий ИБ»
Параметры сервиса Базовый Расширенный Премиум
Время обслуживания 8*5 24*7 24*7
Время
обнаружения
инцидента
Критичные
инциденты
30 мин 20 мин 10 мин
Прочие инциденты до 60 мин до 60 мин до 45 мин
Время базовой
диагностики и
информирования
Заказчика
Критичные
инциденты
до 45 мин до 30 мин до 20 мин
Прочие инциденты до 120 мин до 120 мин до 90 мин
Время выдачи
рекомендаций по
противодействию
Критичные
инциденты
до 2 ч до 1,5 ч до 45 мин
Прочие инциденты до 8 ч до 6 ч до 4 ч

24. #CODEIB 2016
Почему стоит начать уже сейчас?
Вы, кстати, уже наверное используете аутсорсинг, но не ИБ.
ЧОПы, внешние юристы и бухгалтера, тех.поддержка, «облака»…
• Легко попробовать (пилот). Просто подключить/отключить
• В России уже есть выбор среди Провайдеров услуг аутсорсинга
(Solar JSOC, крупные интеграторы, операторы связи (телеком),
западные MSSP)
• Можно начать с «простых» сервисов и небольшого scope
• С чего обычно начинают: мониторинг событий и инцидентов, Threat
Intelligence, анализ уязвимостей, анализ кода, эксплуатация WAF…

25. #CODEIB 2016
Цикл аутсорсинга ИБ (активности)
1.Оценка
2.Выбор
3.Переход
4.
Управление
и контроль
1.1.Оценка текущего состояния ИБ
1.2.Оценка возможности передачи отдельных
процессов ИБ на аутсорсинг
1.3.Обсуждение и согласование с
заинтересованными лицами
2.1.Детализация целей, требований,
границ и ограничений
2.2.Определение критериев выбора
Провайдера услуг аутсорсинга
2.3.Определение перечня возможных
Провайдеров услуг аутсорсинга
2.4.Выбор Провайдера услуг
2.5.Разработка и согласование SLA и
других документированных
требований
2.6.Разработка и согласование
верхнеуровневого плана проекта
3.1.Разработка плана проекта и
формирование проектной команды
3.2.Разработка и документирование
процедур взаимодействия
3.3.Подготовка ИТ-инфраструктуры и процессов
3.4.Обучение и повышение осведомленности
3.5.Пилотное тестирование
3.6.Подписание необходимых соглашений
3.7.Перевод в промышленную эксплуатацию
4.1.Деятельность в рамках предоставляемых услуг
4.2.Мониторинг и контроль
4.3.Управление изменениями
4.4.Управление финансами
4.5.Управление взаимодействием (коммуникацией)
4.6.Управление соглашениями
4.7.Подготовка отчетов для заинтересованных сторон
4.8.Оценка и анализ процесса в целом

26. #CODEIB 2016
Основа аутсорсинга ИБ -
доверие...

27. #CODEIB 2016
Про доверие и безопасность
• Репутация поставщика услуг
(рекомендации, опыт и экспертиза)
• Прозрачность процессов
• "Сапожник с сапогами", возможность
внешних аудитов
• Пилоты
• Стресс-тесты

28. #CODEIB 2016
Еще к вопросу о разделении ответственности…

29. #CODEIB 2016
Критерии выбора Поставщика

30. #CODEIB 2016
Вопросы для согласования

31. СПАСИБО ЗА ВНИМАНИЕ!
Прозоров Андрей, CISM
Моя почта: a.prozorov@solarsecurity.ru
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave