2015/08/18 15:08:07

УБРиР: Итоги проекта по передаче на аутсорсинг одного из процессов ИБ

В Уральском банке реконструкции и развития (УБРиР) подвели итоги первого проекта по передаче на аутсорсинг одного из процессов информационной безопасности. Так, летом 2014 года банк внедрил решение, которое позволило за короткий срок и разумные вложения увеличить эффективность мониторинга событий. Предпосылками к реализации проекта, по словам Александра Падерина, начальника управления безопасности информационных систем Уральского банка реконструкции и развития, стал рост числа ИТ-систем и событий. Квалифицированная команда разработчиков и SIEM-аутсорсера позволила эффективно отслеживать инциденты в режиме 24х7.

Александр Падерин: Мониторинг событий не является профильным процессом для финансовой организации, поэтому он был передан на аутсорсинг

TAdviser: Расскажите, пожалуйста, о наиболее востребованных решениях в сфере информационной безопасности в банковской сфере в 2014 году?

Александр Падерин: Банки должны соответствовать жестким требованиям различных регуляторов, как отечественных (ЦБ, РКН, ФСБ и т.п.) так и зарубежных (Visa, MasterCard и т.п.). Эти требования охватывают не отдельные направления информационной безопасности, а предъявляют к организации условия по построению системы менеджмента информационной безопасности и ее дальнейшей постоянной оценке.

TAdviser: Когда банк впервые столкнулся с задачей повышения эффективности мониторинга инцидентов?

Александр Падерин: Мы искали решение, которое бы повысило эффективность мониторинга событий. Например, международный стандарт PCI DSS говорит о том, что необходимо изучать журналы событий безопасности во всех системных компонентах с целью обнаружения аномалий или подозрительной активности. И тут каждый может выработать свой подход к решению данной задачи – изучать все журналы по отдельности на всех подсистемах, либо организовать автоматизированную обработку событий, либо выстроить работу по корреляции событий. Вот и мы так же постепенно подошли к вопросу эффективности мониторинга событий, когда количество информационных систем и событий многократно выросло и возникла потребность изменить внутренние процессы по обеспечению информационной безопасности, чтобы соответствовать реалиям. Российский рынок CRM-систем: оценки, тренды, крупнейшие поставщики и перспективы. Обзор TAdviser 148.9 т

TAdviser: Какие требования предъявлялись к системе и процессам мониторинга?

Александр Падерин: Я бы сказал, что мы предъявили к системе и процессам мониторинга «простые» требования. Поясню, почему слово взято в кавычки. Есть большой набор разнородных информационных систем, с различными реализациями журналов событий, работающих по различным протоколам. Необходимо собрать и обработать данные из этих журналов, выявить аномалии, отбросить ложные срабатывания, классифицировать инцидент и информировать администратора безопасности. И все это должно работать в режиме 24х7.

TAdviser: Расскажите об основных этапах внедрения Jet Security Operation Center (JSOC). С какими сложностями вы столкнулись при внедрении центра?

Александр Падерин: Сложностей при реализации проекта у нас не возникало. Это стало возможным благодаря тому, что разработчик («Инфосистемы Джет»[1]) практически все знал о реализации системы обеспечения информационной безопасности и выступил с предложением о возможном векторе развития.

TAdviser: Какие преимущества повлияли на ваше решение о подключении к JSOC?

Александр Падерин: В процессе проектирования центра управления инцидентами ИБ были рассмотрены варианты создания подобной структуры своими силами, с привлечением интеграторов, а также аутсорсинговых компаний. Мы оценинили затраты не только на приобретение и сопровождение необходимого программного-аппаратного обеспечения, но и на поиск персонала, на обучение сотрудников, на поддержание уровня компетенции, на организацию режима работы 24х7 и т.п.

Подключение к услуге JSOC позволило банку реализовать в короткие сроки и за разумные вложения качественный процесс выявления, анализа и разбора инцидентов в рамках сегмента процессинга банка с требуемыми параметрами режима работы. Один из главных факторов выбора JSOC – это практически мгновенное получение результата.

TAdviser: В каком режиме предоставлена услуга мониторинга и какой формат взаимодействия выбран с центром JSOC?

Александр Падерин: Усилиями круглосуточной дежурной смены и аналитиков JSOC реализована процедура оперативного разбора инцидента, информирования подразделений банка об инцидентах и выдача рекомендаций по устранению вне зависимости от времени суток. В результате банку удалось существенно повысить не только уровень соответствия требованиям стандарта PCI DSS, но и уровень защищенности банка, например, по методике СТО БР.

TAdviser: Как бы вы оценили эффективность и преимущества JSOC?

Александр Падерин: К сожалению, я не знаю ни одного высшего заведения, которое готовило бы специалистов, владеющих Security Information and Event Management (SIEM). Не каждая организация может вырастить такого специалиста, когда собственная SIEM находится на стадии формирования или развития. Это проблема становится более острой для регионов, существенно удаленных от Москвы. Думаю, ни для кого не секрет, что вложив в формирование такого специалиста усилия и средства, существует риск, что его могут «сманить» в Москву. То есть, формирование команды квалифицированных специалистов достаточно нетривиальная задача.

С другой стороны, обработка большого количества данных, выявления аномалий, всесторонний анализ не только локальных событий, но и сопоставление с глобальными событиями - это постоянный, можно сказать рутинный процесс. Этот процесс, я считаю, не является профильным для финансовой организации, в условиях, когда главным фактором является скорость получения результата, а времени на исследовательские работы нет.

В итоге преимущества JSOC, как я уже говорил, это быстрое получение результата, наличие квалифицированной команды, позволяющей решить большую и трудоемкую задачу мониторинга инцидентов в режиме 24х7.

TAdviser: Насколько в банке распространен аутсорсинг ИТ или процессов информационной безопасности? Какие преимущества вы видите в таком формате взаимодействия с поставщиками?

Александр Падерин: Это первый наш опыт передачи на аутсорсинг одного из процессов информационной безопасности. На аутсорсинг отдана достаточно рутинная задача – мониторинг, а вот реагирование и принятие решений – остается за нами. Реализация такого подхода практически снимает вопросы у любого проверяющего регулятора, а банку не представляет труда масштабирование данного процесса, включая новые информационные системы, с большой точностью прогнозируемыми финансовыми вложениями.

TAdviser: Каковы планы вашего банка по развитию JSOC?

Александр Падерин: Наш банк планирует подключить различные информационные системы, являющиеся критичными для организации, к JSOC. Считаю, что контролируя внутреннее состояние организации, своевременно обращая внимания на любые аномалии в штатном функционировании информационных технологических процессов, можно предоставить качественную основу, можно сказать, дать гарантии бизнесу в устойчивости, используемой технологической платформы.

TAdviser: Какие факторы, на ваш взгляд, в значительной мере повлияют на показатели рынка средств информационной безопасности в 2015 году в банковской сфере?

Александр Падерин: Существующая тенденция, связанная с требованиями развития отечественных информационных технологий и средств защиты информации, а также сертификации продукции иностранного происхождения, как гарантию ее соответствия требованиям по безопасности, формирует тренд развития рынка ИБ. Так как отечественных аналогов по многим направлениям не существует, а процесс сертификации иностранной продукции достаточно сложен, то не исключаю некой стагнации на рынке средств информационной безопасности, а развитие будет идти в направлении «бумажной» безопасности.

[1] С 21 апреля 2015г. сервис JSOC входит в продуктовый портфель компании Солар (ранее Ростелеком-Солар), создающей продукты и сервисы, позволяющие выстроить вертикаль управления и мониторинга ИБ, начиная с низкоуровневых инцидентов и заканчивая системами стратегической аналитики и ситуационными центрами по информационной безопасности.