12. Особенности аутсорсинга процессов информационной безопасности
12.1. В настоящее время у организаций БС РФ отмечается потребность в передаче отдельных процессов системы обеспечения ИБ (далее - СОИБ) на аутсорсинг поставщикам услуг. Организации доверяют поставщикам услуг реализацию процессов обеспечения ИБ для оптимизации расходов, повышения эффективности деятельности и поддержания необходимого уровня ИБ.
Аутсорсинг ИБ рассматривается в качестве альтернативы реализации, поддержки и улучшения СОИБ силами работников организации БС РФ, ответственных за обеспечение ИБ.
Целью организации БС РФ при аутсорсинге процессов СОИБ является привлечение квалифицированного персонала и получение готовых процессов и развитой методологии, а также средств, систем и технологий обеспечения ИБ, необходимых для организации и эксплуатации СОИБ.
Поставщик услуг аутсорсинга ИБ может использовать уже применяемые организацией БС РФ средства и системы обеспечения ИБ - принимать их на эксплуатацию и (или) администрирование.
12.2. Основными целями использования аутсорсинга ИБ организацией БС РФ является:
- кадровое обеспечение:
-- необходимость обеспечения ИБ при отсутствии у организации БС РФ собственных кадров в необходимом количестве и (или) требуемой квалификации;
-- необходимость высвобождения ключевых специалистов организации БС РФ для выполнения приоритетных проектов и задач;
- экономическая эффективность:
-- предсказуемость и прозрачность финансовых расходов на обеспечение ИБ при использовании аутсорсинга ИБ;
-- оптимизация финансовых расходов на организацию и эксплуатацию СОИБ организации БС РФ;
- техническое и технологическое обеспечение:
-- повышение общего уровня ИБ за счет использования современных средств, систем и технологий обеспечения ИБ;
-- поддержка реализации критичных процессов СОИБ в режиме 24 x 7;
-- возможность быстрых реализаций и совершенствования отдельных процессов СОИБ.
12.3. В общем случае поставщик услуг аутсорсинга ИБ может предоставлять следующие сервисы ИБ:
- эксплуатация средств и систем обеспечения ИБ, используемых организацией БС РФ;
- эксплуатация средств и систем обеспечения ИБ, предоставляемых поставщиком услуг аутсорсинга;
- реализация отдельных целостных процессов СОИБ или их частей.
12.4. Организации БС РФ стоит ориентироваться на один из следующих подходов к аутсорсингу ИБ:
- долговременное сотрудничество. На аутсорсинг передаются непрофильные и (или) сложные процессы ИБ (например, мониторинг событий и реагирование на инциденты ИБ);
- среднесрочное сотрудничество. На аутсорсинг временно передаются сложные технологические процессы СОИБ до момента реализации соответствующего процесса самостоятельно организацией БС РФ. Например, процесс мониторинга событий ИБ может быть передан на аутсорсинг на время построения собственного Центра мониторинга и реагирования;
- кратковременное сотрудничество. Усиление СОИБ услугами аутсорсинга на время проведения крупных мероприятий, характерных увеличением рисков ИБ (например, политические саммиты, выборы, спортивные соревнования, международные конкурсы).
12.5. Организации БС РФ целесообразно рассматривать возможность аутсорсинга следующих процессов СОИБ:
- выявление компьютерных атак на информационную инфраструктуру организации БС РФ, в том числе с использованием информации, получаемой от Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ);
- управление средствами защиты информации организации БС РФ, в том числе системами обнаружения вторжений (IDS/IPS);
- управление межсетевыми экранами (в том числе и на прикладном уровне по 7-уровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91), средствами антивирусной защиты и другими решениями по обеспечению ИБ;
- анализ безопасности кода приложений;
- мониторинг и анализ событий ИБ (Security Operation Center);
- анализ защищенности и контроль конфигурации сетевого оборудования и операционных систем;
- проведение тестирования на проникновение;
- анализ защищенности информационной инфраструктуры;
- обеспечение безопасности веб-доступа и электронной почты;
- организация управления инцидентами ИБ;
- оповещение о новых угрозах и признаках атак (Treat Intelligence);
- повышение осведомленности по вопросам ИБ и проведение киберучений.
12.6. Организации БС РФ следует применять соглашения об уровне предоставления сервиса ИБ (SLA) для контроля качества услуг аутсорсинга ИБ. SLA - это дополнение к соглашению об аутсорсинге между организацией БС РФ и поставщиком услуг, определяющее предоставление сервиса с заданным уровнем качества.
Общий состав SLA должен среди прочего определять:
- описание состава предоставляемых поставщиком услуг сервисов ИБ;
- согласованный уровень качества сервиса ИБ (перечень ключевых параметров качества), содержащий:
-- описание расчета ключевых параметров качества сервиса и периодичность предоставления поставщиком услуг отчетов о параметрах качества;
-- методы и средства контроля ключевых параметров качества;
-- описание методов контроля исполнения SLA;
-- установление обязанности и описание процедуры предоставления поставщиком услуг информации о нарушениях SLA и условиях эскалации инцидентов, связанных с нарушением SLA (далее - инцидент SLA);
-- описание процедур восстановления работы в случаях прерывания предоставляемых сервисов ИБ, или отказа в обслуживании, или нарушения SLA;
-- описание процедуры внесения изменений в SLA.
12.7. Контрольные ключевые параметры качества сервиса ИБ, вносимые в соглашение, должны быть измеримыми и представляться в виде числовых показателей (метрик). Состав ключевых показателей (метрик) качества определяется в зависимости от состава предоставляемых сервисов ИБ. Ключевыми показателями (метриками) качества сервиса ИБ могут выступать среди прочих:
- временные показатели (метрики):
-- время реакции на обращение организации БС РФ - время, прошедшее с момента поступления и регистрации запроса на обслуживание (сообщение организации БС РФ об инциденте) до фактического начала работ по факту обращения;
-- время закрытия инцидента SLA - время, прошедшее с момента фактического начала работ над инцидентом SLA до его фактического закрытия;
-- время решения инцидента SLA - суммарное время, прошедшее с момента поступления и регистрации обращения до закрытия заявки на обслуживание;
-- максимальное время реакции поставщика услуг - максимальное время, необходимое поставщику услуг при аварийных ситуациях для устранения их последствий;
-- время устранения уязвимости - время, прошедшее с момента обнаружения уязвимости до ее устранения;
- качественные характеристики:
-- число предотвращенных утечек информации по отношению к общему числу реализованных и предотвращенных утечек информации;
-- число предотвращенных фишинговых атак по отношению к общему числу реализованных и предотвращенных фишинговых атак;
-- соотношение числа запросов на обслуживание (сообщение организации БС РФ об инциденте) к числу инцидентов SLA;
-- число повторных инцидентов SLA определенного типа;
-- соотношение найденных и устраненных уязвимостей;
- качественные метрики:
-- уровень брака - это количественное или процентное выражение количества инцидентов SLA за определенный (отчетный) период времени;
-- техническое качество - уровень технического качества программно-аппаратного комплекса, используемого для предоставления сервисов ИБ и обеспечивающего гарантию непрерывности предоставления финансовых услуг;
-- удовлетворенность качеством обслуживания - степень соответствия реализации сервиса ИБ потребности организации БС РФ, определяемой на основании опросов, проводимых самостоятельно организацией БС РФ и (или) с привлечением независимой организации;
- метрики доступности и непрерывности сервисов ИБ:
-- доступность сервисов ИБ организации БС РФ - количество времени или временной промежуток, в котором сервисы ИБ, выполняемые поставщиком услуг, остаются доступными;
-- время восстановления сервисов ИБ в случае прерывания (RTO, Recovery time objective).
Количество метрик, включаемых в SLA, должно быть достаточным для проведения объективной оценки качества предоставления сервисов ИБ поставщиком услуг.