Документ рассматривает аутсорсинг информационной безопасности (ИБ) и его актуальность в России, подчеркивая важность экспертизы и качества сервисов. Освещаются ключевые стратегические аспекты и критерии выбора аутсорсера, а также проблемы, с которыми сталкиваются компании при переходе на аутсорсинг. Подробно исследуются вопросы защиты данных, управления уязвимостями и обеспечение конфиденциальности информации в контексте аутсорсинга.

1. © 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing 1/50
Информационная
безопасность и
аутсорсинг
Алексей Лукацкий
Бизнес-консультант по безопасности

2. 3/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Аутсорсинг и ИБ

3. 4/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Аутсорсинг ИБ

4. 5/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Почему мы обращаемся к аутсорсингу
ИБ?
4
18
20
21
27
28
34
34
0 5 10 15 20 25 30 35 40
Другие ИТ на аутсорсинге
Снижение риска ответственности
Снижение сложности
Рост регуляторного соответствия
Снижение затрат
Рост компетенции
Рост качества защиты
Режим 24х7
Что наиболее важно при переходе к
аутсорсингу ИБ?
Источник: Forrester Research

5. 6/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
К какому аутсорсингу мы обращаемся
чаще?
• 15-20%Мониторинг событий ИБ
• 10-15%Управление ПК, включая мобильными
• 5-10%Управление логами
• 15-20%Threat Intelligence
• 10-15%Управление уязвимостями
• 5-10%Безопасность приложений
• 0-5%Управление инцидентами
• 25-30%Безопасность контента
• 15-20%Политики / compliance
• 10-15%Управление устройствами
• 5-10%Управление IAM
Источник: Forrester Research

6. 7/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Зрелость перехода к аутсорсингу ИБ
Самостоятельные
некритичные сервисы
Управляющие
некритичные сервисы
Управляющие
критичные сервисы

7. 8/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Аутсорсинг ИБ в России
 При условии нехватки в России персонала в отделах
ИБ, аутсорсинг – это не средство экономии
Основные мотивы – экспертиза, качество сервиса, нехватка
собственных ресурсов
 Аутсорсинг ИБ в России (на данном этапе) применим только
в Москве (реалистично) или крупных федеральных центрах
(оптимистично)
 Не имеет смысла обращаться к компаниям, имеющим
менее 2-х лет подтвержденной экспертизы именно в
аутсорсинге ИБ
 Аутсорсинг – это не просто иной способ
взаимодействия между компаниями, это иная
культура ведения бизнеса, рассчитанная на
долгосрочное партнерство

8. 9/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Что есть в России сейчас?
 Threat Intelligence
Cisco Intellishield Alert, Cisco SIO, SecurityLab Alerts
 Безопасность контента
Cisco ScanSafe, WebSense, Google
 Политики и compliance
Positive Technologies (PCI DSS, СТО БР ИББС…)
 Безопасность приложений
Positive Technologies (ДБО, Web…)
 Управление устройствами
Cisco, Orange, ТТК

9. 10/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
ИБ аутсорсинга
данных

10. 11/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Проблема ИБ аутсорсинга данных
Доступ к
данным
с чужих
ПК
Контрактники
Сезонники
Консультанты
/ аудиторы
Оффшоринг
Программа
BYOPC

11. 12/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
5 стратегий контроля своих данных на
чужих устройствах
• Приложения запускаются на сервере
• Терминальный доступ
«Тонкий»
клиент
• Мобильные устройства, синхронизирующиеся с сервером
• Локальные данные зашифрованы
• Утерянное устройство «очищается» удаленно
«Тонкое»
устройство
• ОС и приложения контролируются централизованно
• Репликация
Защищенный
процесс
• Права доступа привязаны к документам
• Технологии DRM
Защищенные
данные
• Контроль информационных потоков «на лету»
• Технологии DLP
Контроль на
лету

12. 13/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
«Тонкий» клиент
 Централизованное хранение и обработка всех
конфиденциальных данных
MS Terminal Services, Citrix XenApp/XenDesktop, VNC
Данные
никогда не
покидают
сервер
Требуется
постоянное
сетевое
соединение

13. 14/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
«Тонкое» устройство
 Хранение ограниченного объема реплицированных
конфиденциальных данных (мастер-копия хранится в
центре) на мобильных устройствах (обычно e-mail)
BlackBerry, Motorola Good для Windows Mobile или Symbian
Возможность
существенного
контроля
Ограниченное
число
приложений

14. 15/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Защищенный процесс
 Хранение конфиденциальной информации на
локальном устройстве в «виртуальной»,
централизованно управляемой среде
VMware ACE, Cisco Secure Desktop, Microsoft App-V
Защита
локальной
машины в
автономном
режиме
Как
правило, на
платформе
Windows

15. 16/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Защищенные данные
 Защита конфиденциальной информации не через
окружение, а через сами данные
Adobe LiveCycle Rights Management ES2, Oracle Information
Rights Management, EMC Documentum Information Rights
Management
Эффективный
контроль на
уровне
данных, а не
ОС или
устройства
Сложность
поддержки
клиентских
агентов

16. 17/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Контроль на лету
 Контроль конфиденциальной информации,
покидающей границы предприятия
Cisco E-mail Security Appliance, Infowatch Traffic Monitor, RSA
DLP
Эффективный
контроль
потоков
данных
Установка
агентов на
«чужих»
устройствах

17. 18/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
ИБ аутсорсинга
приложений

18. 19/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
SaaS, PaaS, IaaS… XaaS
Software
-as-a-
Service
Google Apps,
Salesforce.com
Platform-
as-a-
Service
MS Azure,
Google App
Engine
Infrastruc
-ture-as-
a-
Service
Amazon EC2, co-
location

19. 20/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Интерес к аутсорсингу приложений
33
33
31
29
33
28
42
41
39
39
35
32
23
19
24
25
25
36
0% 20% 40% 60% 80%100%
Латинская Америка
Китай, Индия
Россия, ОАЭ, ЮАР
Европа
Азия, Австралия
США, Канада
Высокий приоритет
Низкий приоритет
Не на повестке
Не знаю
Источник: Forrester Research

20. 21/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Что обычно отдают на аутсорсинг?
 ERP
 Service Desk
 Управление контентом
 HRM
 Управление заказами (ORM)
 Управление затратами и поставщиками (SRM)
 Унифицированные коммуникации
 Управление проектами
 Управление цепочками поставок (SCM)
 Web 2.0

21. 22/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Проблемы аутсорсинга
36
30
23
23
20
19
18
18
16
19
0 5 10 15 20 25 30 35 40
Вопросы цены
Безопасность и privacy
Нет нужных приложений
Вопросы интеграции
Сложное ценообразование
Зависимость от текущего…
Слабый каналы связи
Слабая кастомизация
Производительность
Другое
Почему вы не думаете об аутсорсинге?
Источник: Forrester Research

22. 23/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
При аутсорсинге меньше контроля!
Своя ИТ-
служба
Хостинг-
провайдер
IaaS PaaS SaaS
Данные Данные Данные Данные Данные
Приложения Приложения Приложения Приложения Приложения
VM VM VM VM VM
Сервер Сервер Сервер Сервер Сервер
Хранение Хранение Хранение Хранение Хранение
Сеть Сеть Сеть Сеть Сеть
- Контроль у заказчика
- Контроль распределяется между заказчиком и аутсорсером
- Контроль у аутсорсера

23. 24/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Если вы решились
 Стратегия безопасности аутсорсинга
Пересмотрите свой взгляд на понятие «периметра ИБ»
Оцените риски – стратегические, операционные, юридические
Сформируйте модель угроз
Сформулируйте требования по безопасности
Пересмотрите собственные процессы обеспечения ИБ
Проведите обучение пользователей
Продумайте процедуры контроля аутсорсера
Юридическая проработка взаимодействия с аутсорсером
 Стратегия выбора аутсорсера
Чеклист оценки ИБ аутсорсера

24. 25/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Критерии выбора аутсорсера
 Финансовая устойчивость аутсорсера
 Схема аутсорсинга
SaaS, hosted service, MSS
 Клиентская база
 Архитектура
 Безопасность и privacy
 Отказоустойчивость и резервирование
 Планы развития новых функций

25. 26/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Выбор аутсорсера с точки зрения ИБ
 Защита данных
 Управление уязвимостями
 Управление identity
 Объектовая охрана и персонал
 Доступность и производительность
 Безопасность приложений
 Управление инцидентами
 Privacy

26. 27/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Выбор аутсорсера с точки зрения ИБ
(окончание)
 Непрерывность бизнеса и восстановление после
катастроф
 Журналы регистрации
 Сompliance
 Финансовые гарантии
 Завершение контракта
 Интеллектуальная собственность

27. 28/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Защита данных
 Как мои данные отделены от данных других клиентов?
 Где хранятся мои данные?
 Как обеспечивается конфиденциальность и
целостности моих данных?
 Как осуществляется контроль доступа к моим
данным?
 Как данные защищаются при передаче от меня к
аутсорсеру?
 Как данные защищаются при передаче от одной
площадки аутсорсера до другой?
 Релизованы ли меры по контролю утечек данных?

28. 29/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Защита данных (окончание)
 Может ли третья сторона получить доступ к моим
данным? Как?
Оператор связи, аутсорсер аутсорсера
 Все ли мои данные удаляются по завершении
предоставления сервиса?

29. 30/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Управление уязвимостями
 Как часто сканируется сеть и приложения?
 Можно ли осуществить внешнее сканирование сети
аутсорсера? Как?
 Каков процесс устранения уязвимостей?

30. 31/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Управление identity
 Возможна ли интеграция с моим каталогом учетных
записей? Как?
 Если у аутсорсера собственная база учетных записей,
то
Как она защищается?
Как осуществляется управление учетными записями?
 Поддерживается ли SSO? Какой стандарт?
 Поддерживается ли федеративная система
аутентификации? Какой стандарт?

31. 32/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Объектовая охрана и персонал
 Контроль доступа осуществляется в режиме 24х7?
 Выделенная инфраструктура или разделяемая с
другими компаниями?
 Регистрируется ли доступ персонала к данным
клиентов?
 Есть ли результаты оценки внешнего аудита?
 Какова процедура набора персонала?

32. 33/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Доступность
 Уровень доступности в SLA (сколько девяток)
 Какие меры обеспечения доступности используются
для защиты от угроз и ошибок?
Резервный оператор связи
Защита от DDoS
 Доказательства высокой доступности аутсорсера
 План действия во время простоя
 Пиковые нагрузки и возможность аутсорсера
справляться с ними

33. 34/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Безопасность приложений
 Исполнение рекомендаций OWASP при разработке
приложений
 Процедура тестирования для внешних приложений и
исходного кода
 Существубт ли приложения третьих фирм при
оказании сервиса?
 Используемые меры защиты приложений
Web Application Firewall
Аудит БД

34. 35/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Управление инцидентами
 План реагирования на инциденты
Включая метрики оценки эффективности
 Взаимосвязь вашей политики управления
инцидентами и аутсорсера

35. 36/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Privacy
 Обезличивание критичных данных и предоставление к
ним доступа только авторизованному персоналу
 Какие данные собираются о заказчике?
Где хранятся? Как? Как долго?
 Какие условия передачи данныех клиента третьим
лицам?
Законодательство о правоохранительных органах,
адвокатские запросы и т.п.
 Гарантии нераскрытия информации третьим лицам и
третьими лицами?

36. 37/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Непрерывность бизнеса
 План обеспечения непрерывности бизнеса и
восстановления после катастроф
 Где находится резервный ЦОД?
 Проходил ли аутсорсер внешний аудит по
непрерывности бизнеса?
Есть ли сертифицированные сотрудники по непррывности
бизнеса?

37. 38/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Журналы регистрации
 Как вы обеспечиваете сбор доказательств
несанкционированной деятельности?
 Как долго вы храните логи? Возможно ли увеличение
этого срока?
 Можно ли организовать хранение логов во внешнем
хранилище? Как?

38. 39/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Compliance
 Подчиняется ли аутсорсер локальным нормативным
требованиям? Каким?
Как локальные нормативные требования соотносятся с
требованиями клиента?
 Проходил ли аутсорсер внешний аудит соответствия?
ISO 27001
PCI DSS
Аттестация во ФСТЭК

39. 40/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Финансовые гарантии
 Какая компенсация подразумевается в случае
инцидента безопасности или нарушения SLA?

40. 41/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Интеллектуальная собственность
 Кому принадлежат права на информацию,
переданную аутсорсеру?
А на резервные копии?
А на реплицированные данные?
А на логи?
 Удостоверьтесь, что ваш контракт не приводит к
потере прав на информацию и иные ресурсы,
переданные аутсорсеру?

41. 42/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Завершение контракта
 Процедура завершения контракта?
Возврат данных? В каком формате?
Как скоро я получу мои данные обратно?
Как будут уничтожены все резервные и иные копии моих
данных? Как скоро? Какие гарантии?
 Какие дополнительные затраты на завершение
контракта?

42. 43/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
В качестве
заключения

43. 44/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Уходя от традиционного периметра…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры ЗаказчикиПартнеры

44. 45/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
…к аутсорсингу данных…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры Заказчики
Дом
Кафе
Аэропорт
Мобильный
пользователь Партнеры

45. 46/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
…и аутсорсингу приложений (а также XaaS)…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
Кафе
Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service
X
as a Service
Software
as a Service

46. 47/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
…помните о смене парадигмы ИБ…
Периметр
Филиал
Приложения и
данные
Офис
Политика
Хакеры
Дом
Кафе
Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service
X
as a Service
Software
as a Service

47. 48/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Borderless
DataCenter
3
Borderless
Internet
2
Borderless
EndZones
1
И создайте новую стратегию ИБ!
Политика
Периметр
Филиал
Приложения и
данные
Офис
Политика
(Access Control, Acceptable Use, Malware, Data Security)4
Дом
Хакеры
Кафе
Заказчики
Аэропорт
Мобильный
пользователь Партнеры
Platform
as a Service
Infrastructure
as a Service
X
as a Service
Software
as a Service

48. 49/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing
Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Полная версия презентации выложена на сайте
http://lukatsky.blogspot.com/

49. 50/50© 2008 Cisco Systems, Inc. All rights reserved.Security outsourcing