Как должна обеспечиваться поддержка средств ИБ

Почему поддержкой ИБ-продуктов занимаются специализированные центры

Сегодня практически невозможно представить себе сложные информационные системы, поддержка которых выполнялась бы исключительно внутренними ресурсами. Содержать высококвалифицированных специалистов под широкий спектр задач дорого и неэффективно. Поэтому большая часть системного и прикладного ПО в крупных организациях поддерживается силами сторонних исполнителей – сервисных центров, которые обладают достаточным для этого штатом специалистов и необходимыми компетенциями.

Отдельной категорией выступают здесь сервисные центры по информационной безопасности. Ведь, как показывает практика, с обновлением, например, бухгалтерской системы, может справиться большое количество ИТ-специалистов из огромного числа компаний, которым не нужно для этого каких-либо специальных разрешений и допусков. В то же время обслуживание систем информационной безопасности требует от сервисного центра не только специфических знаний и опыта, но и наличия лицензий, а также определенных моделей обслуживания заказчиков.

Кроме того, обеспечение работоспособности средств информационной безопасности обычно имеет критическую важность, и, чем крупнее организация, тем больший ущерб ей может быть нанесён в случае сбоя межсетевого экрана, антифрод-системы или DLP-решения.

В чем особенности работы центров поддержки информационной безопасности

Более жёсткие сроки реагирования на инциденты, затрагивающие работоспособность систем

Как уже упоминалось выше, большинство систем информационной безопасности относятся к объектам критически важной инфраструктуры, что обуславливает повышенные требования к выполнению SLA при отработке инцидентов. Во многих случаях время реакции на инцидент должно исчисляться не часами, а минутами. Например, в случае выхода из строя антифрод-системы финансового учреждения могут быть пропущены мошеннические транзакции, которые приведут не к абстрактным потерям из-за простоя, а к реальным убыткам, выраженным в исках пострадавших. Чем крупнее организация, чем шире ее филиальная сеть, тем выше вероятность того, что мошеннические операции пройдут через системы банка буквально в первые минуты после отказа защитных средств.

Как отмечает директор сервисного центра «Информзащита» Вадим Ритерман, согласно внутренним регламентам компании время реакции на обращения любого приоритета составляет не более 15 минут. Это время закреплено как KPI первой линии поддержки и соблюдается для 99,6 % всех поступающих обращений. Инженер второй линии поддержки гарантированно должен принять в работу обращение любого приоритета в течение 30 минут после регистрации и этот KPI выдерживается для 99,8 % обращений. У ряда крупных заказчиков финансового сектора «практическое» реагирование на сбой системы ИБ (не просто регистрация сбоя, а конкретные действия) должно начинаться в течение 60 секунд. Причем карта этого реагирования в первую очередь включает мгновенный переход на резервные кластеры системы, и лишь затем — изучение причин сбоя, диагностику и последующее восстановление.

Особый подход к кадровой деятельности и управлению компетенциями

Компетенции, состав и число специалистов, доступных в каждый момент времени, имеют решающее значение для работы специализированного сервисного центра и определяют его способность достигать жестких SLA-показателей. Чтобы гарантировать надлежащую скорость реакции на инцидент, для поддержки каждого продукта должен быть подготовлен не один специалист, а как минимум «полтора», с запасом. Для оперативной реакции на инциденты применяется перекрывающий график работы специалистов с резервированием. Это значит, что между рабочими сменами сотрудников нет «мёртвой зоны», а на случай форс-мажора всегда присутствуют резервные инженеры.

Не менее важную роль играет система развития, обучения и замены персонала, что позволяет гарантированно выполнять все обязательства по заключённым договорам и проектам.

Специализированный сервисный центр «Информзащита»

Крупнейшим в нашей стране сервисным центром, оказывающим услуги поддержки ИБ-продуктов, является профильный центр «Информзащита».

Специалисты центра работают с более чем 100 продуктами. При этом порядка 50 наиболее востребованных направлений находятся в активном портфеле компании — компетенциями по их сопровождению обладает значительное количество инженеров.Центр является сервисным партнёром для 40 вендоров – зарубежных и отечественных разработчиков средств информационной безопасности. В рамках соглашений Центр оказывает поддержку, уровень которой аналогичен уровню поддержки вендора. СЦ «Информзащита» — первая и на данный момент единственная российская компания, которая имеет статус IBM Primary Support Provider и может обеспечивать услуги первой и второй линии поддержки для SIEM-системы IBM QRadar. (Другие продукты IBM тоже в компетенции сервисного центра, такие как IBS и Garland).

Компания обладает собственной лабораторией, в которой представлено более 150 стендов и свыше 250 тестовых зон для моделирования инцидентов.

Среди заказчиков СЦ «Информзащита» более 500 организаций, с которыми заключено более 700 контрактов на обслуживание систем обеспечения ИБ. В их числе — банки, государственные учреждения, компании с широкой филиальной сетью.

По словам Вадима Ритермана, возможность заранее увидеть и устранить «узкие места» при исполнении договоров, связанные с болезнями, уходом в отпуск или увольнением отдельных специалистов, является серьезной управленческой задачей любого сервисного центра. Для решения этой задачи в Сервисном центре «Информзащита» была проведена большая работа по созданию автоматизированной матрицы компетенций, которая обеспечивает соответствие между инженерными ресурсами центра и всеми договорными обязательствами перед заказчиками.

Способность поддерживать целый ряд продуктов разных вендоров

Практически ни одна современная система информационной безопасности не может быть построена на продуктах одного производителя. В случае, если заказчик привлекает вендора к сервисному обслуживанию, договоры сопровождения по каждому из этих продуктов должны заключаться с разными организациями и с разными условиями предоставления услуг, что потенциально может привести к проблемам взаимодействия в критических ситуациях. Такую ситуацию можно исключить, если сервисный партнёр способен поддерживать несколько решений, сертифицирован вендорами и обеспечивает единый уровень качества предоставляемых услуг, как минимум не ниже уровня производителя.

Для выполнения ряда операций требуются лицензии контролирующих органов и сертификация специалистов.

Часть работ в принципе не может быть выполнена удалённо и требует выезда команды специалистов на место

В сфере информационной безопасности существует целый ряд услуг, которые нельзя выполнить удалённо или силами сотрудников заказчика. К таким услугам относятся обслуживание средств защиты информации в государственных организациях, например, операции с ключами шифрования, либо обслуживание закрытых сегментов инфраструктуры.

В крупных сервисных центрах, таких как «Информзащита», активно работающих с федеральными государственными структурами или коммерческими организациями с широкой региональной сетью, существуют целые подразделения, сотрудники которых регулярно выезжают к заказчикам для проведения обслуживания на местах. В общей сложности более 70% своего рабочего времени инженеры таких подразделений находятся в командировках.

Сценарии взаимодействия сервисных центров по информационной безопасности с заказчиками

В подавляющем большинстве случаев обслуживание заказчиков строится по трем основным схемам.

Техническая поддержка. Базовый уровень, в рамках которого сервисный центр отвечает за поддержку работоспособности систем информационной безопасности, проводит диагностику неисправностей, оказывает консультационные услуги, а также выполняет профилактическое выездное обслуживание

Техническое сопровождение. На этом уровне сервисы технической поддержки дополняются регламентными работами и установкой обновлений, в том числе и с выездом инженера к заказчику.

Аутсорсинг. В этой модели на сервисный центр ложится полная ответственность за эксплуатацию ИБ-решений и средств защиты информации. Помимо технического сопровождения специалисты аутсорсинговой компании организуют локальные службы информационной безопасности, занимаются развитием и модернизацией аппаратной и программной частей, необходимых для эффективной защиты системы. В зависимости от стоящих перед заказчиком задач, может быть сформирована выделенная оперативная группа, которая будет на месте решать все возникающие проблемы и формировать отчёты.

Какую модель поддержки ИБ лучше выбрать

Выбор той или иной схемы взаимодействия во многом обусловлен тем, какими кадровыми и техническими ресурсами обладает заказчик, способен и заинтересован ли он самостоятельно развивать и поддерживать ИБ-системы.

Если организация готова инвестировать в квалифицированные кадры, нанимать компетентных сотрудников или активно обучать имеющийся персонал, оптимальной схемой для работы с внешним исполнителем станет техподдержка. В этом случае сервисный центр будет выступать в качестве «страховки» и «спасательного круга» в нештатных ситуациях.

Если высококвалифицированные сотрудники заказчика способны самостоятельно решать сложные проблемы обслуживания, но не имеют достаточного количества времени для выполнения рутинных операций, то разумно остановиться на техническом сопровождении. В этом случае специалисты Сервисного центра возьмут на себя выполнение таких регулярных операций, как мониторинг и установка обновлений, ведение обязательных регламентных журналов и другие функции.

В случае же если заказчик не планирует развитие кадровых ресурсов и готов доверить вопросы информационной безопасности специалистам сервисного центра, выбирается работа на условиях аутсорсинга. Работа с внешним подрядчиком в аутсорсинговой модели не только более проста и удобна, но ещё и экономически целесообразна. Совокупные расходы на содержание собственного штата высококвалифицированных специалистов, поддержка и развитие их компетенций, организация работы и управление подразделением почти всегда превышают стоимость контракта с сервисным центром. При этом затраты на такое сотрудничество, в отличие от расходов на оплату труда, не увеличат налоговую нагрузку компании.

СЛЕДУЮЩИЙ МАТЕРИАЛ РАЗДЕЛА "IT"