ПОЧЕМУ АУТСОРСИНГ ИБ СТАНОВИТСЯ ВСЕ БОЛЕЕ ВОСТРЕБОВАННЫМ В РОССИИ?Прозоров Андрей, CISMРуководитель экспертного направления, Solar Security Мой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave

2solarsecurity.ru +7 (499) 750-07-70

Outsoursing - A formal agreement with a third party to perform Information systems or other business functions for an enterprise.Аутсорсинг – формальное соглашение с третьей стороной на предоставление ИС или других бизнес-функций для предприятия.

ISACA

3solarsecurity.ru +7 (499) 750-07-70

Managed Security Services (MSS) are network security services that have been outsourced to a service provider. A company providing such a service is a Managed Security Service Provider (MSSP)

Управляемые сервисы безопасности - это такие сервисы сетевой безопасности, которые переданы на аутсорсинг сервис-провайдеру WiKi

4solarsecurity.ru +7 (499) 750-07-70

Managed Security Services (MSS) - the remote monitoring or management of IT security functions delivered via shared services from remote security operations centers (SOCs), not through personnel on-site." Therefore, MSSs do not include staff augmentation, or any consulting or development and integration services.

Gartner

5solarsecurity.ru +7 (499) 750-07-70

Перечень базовых сервисов (MSS) Monitored or managed firewalls or intrusion prevention systems (IPSs) Monitored or managed intrusion detection systems (IDSs) Monitored or managed multifunction firewalls, or unified threat management (UTM)

technology Managed or monitored security gateways for messaging or Web traffic Security analysis and reporting of events collected from IT infrastructure logs Reporting associated with monitored/managed devices and incident response Managed vulnerability scanning of networks, servers, databases or applications Distributed denial of service (DDoS) protection Monitoring or management of customer-deployed security

information and event management (SIEM) technologies …

Gartner

6solarsecurity.ru +7 (499) 750-07-70

Прогноз Gartner про рынок ИБForecast Analysis: Information Security, Worldwide (2015-09-08)«The information security market will grow at a CAGR of 7.4% through 2019. Security testing, outsourcing and identity access management are the biggest growth opportunities. Government initiatives, increased legislation and several high-profile data breaches are driving security spending.»

Рынок ИБ будет ежегодно расти на 7,4% до 2019 года.Наибольшие возможности для роста будут у следующих областей: Проверка ИБ (security testing) Аутсорсинг ИБ Управление идентификацией и доступом (IAM)

7solarsecurity.ru +7 (499) 750-07-70

Ничего не передают на аутсорсинг ИБ лишь 20% компаний (Мир)

EnY

8solarsecurity.ru +7 (499) 750-07-70

А что в России?

9solarsecurity.ru +7 (499) 750-07-70

Аутсорсинг в РФ (услуги JSOC)

Анти-DDoS

Анализ кода приложений

Защита web-приложений

Контроль защищенности

Защита от киберпреступности

Администрирование систем безопасности

Мониторинг инцидентов

0% 10% 20% 30% 40% 50%4%

7%7%7%

16%13%

46%

10solarsecurity.ru +7 (499) 750-07-70

Обычно на аутсорсинг в РФ отдают важные процессы ИБ, которые уже пытались внедрить самостоятельно, но «не взлетело»…

11solarsecurity.ru +7 (499) 750-07-70

Почему используют аутсорсинг ИБ в РФ?

132%

222%

318%

412%

510%

66%

НЕХВАТКА ПЕРСОНАЛА

ОРГАНИЗАЦИЯСЕРВИСОВ 24*7

НЕОБХОДИМОСТЬ БЫСТРОГО СТАРТА СЕРВИСОВ

НЕОБХОДИМОСТЬРАЗНОПЛАНОВОЙ ЭКСПЕРТИЗЫ

СНИЖЕНИЕ ЗАВИСИМОСТИ ОТ СВОИХ СПЕЦИАЛИСТОВ

СОКРАЩЕНИЕ УПРАВЛЕНЧЕСКИХ ЗАТРАТ

12solarsecurity.ru +7 (499) 750-07-70

Безопасности 8*5 уже не достаточно

Solar JSOC Q2 2015

13solarsecurity.ru +7 (499) 750-07-70

Solar JSOC Q2 2015

За Q2 2015 выявлено 47 876 событий с подозрением на инцидент. Их них критичных инцидентов – 7,9%

14solarsecurity.ru +7 (499) 750-07-70

Чем выявляются атаки?

Solar JSOC Q2 2015

41.4%

58.6%

События ИБ, выявленные с использованием сложной аналитики (SIEM, DLP, TI, PC и пр.)

События ИБ, выявленные базовыми СЗИ (МЭ, IPS, сетевое оборудование и пр.)

15solarsecurity.ru +7 (499) 750-07-70

16solarsecurity.ru +7 (499) 750-07-70

Внутренний SIEM АутсорсингВремя до старта 6-9 месяцев 5-7 неделиУровень компетенций персонала

Средний Высокий

Форма затрат CapEx и OpEx OpExПредсказуемость затрат Средняя ВысокаяИсточник методологии Заказчик/

КонсультантПровайдер услуг

Режим работы Обычно 8х5 или 12х5

Обычно 24х7

Хранение событий ИБ Локально За пределами организации

Зависимость от сложившейся «плохой» практики

Высокая Низкая

Возможности по реагированию

Полные Формальные, в рамках SLA

17solarsecurity.ru +7 (499) 750-07-70

Что еще развивает аутсорсинг ИБ в России?

ГосСОПКА + ФЗ о КИИ, FinCERT Рост конкуренции российских MSSP Наличие сложных мер ИБ в Приказах

ФСТЭК России №17/21/31

18solarsecurity.ru +7 (499) 750-07-70

Указ Президента №31с

2. Определить основными задачами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ:

а) прогнозирование ситуации в области обеспечения информационной безопасности РФ;б) обеспечение взаимодействия владельцев информационных ресурсов РФ, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;в) осуществление контроля степени защищенности критической информационной инфраструктуры РФ от компьютерных атак;г) установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов РФ.

19solarsecurity.ru +7 (499) 750-07-70

ФСТЭК России про услуги ИБ

Приказ 17 (ГосИС)«Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы обладателем информации (заказчиком) и оператором в соответствии с законодательством РФ при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.»

Приказ 21 (ПДн)«Для выполнения работ по обеспечению безопасности ПДн при их обработке в информационной системе в соответствии с законодательством РФ могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.»

20solarsecurity.ru +7 (499) 750-07-70

Сложные меры из Приказов 17/21/31

V. Регистрация событий безопасности

(РСБ)VII. Обнаружение вторжений (СОВ)

XIV. Обеспечение безопасной разработки

прикладного (специального) ПО

разработчиком (ОБР)

XX. Выявление инцидентов и

реагирование на них (ИНЦ)

XXI. Управление конфигурацией

автоматизированной системы управления и

ее системы защиты (УКФ)

VIII. Контроль (анализ) защищенности

информации (АНЗ)

21solarsecurity.ru +7 (499) 750-07-70

Есть ощущение, что аутсорсинг ИБ в России будет стабильно развиваться…

22solarsecurity.ru +7 (499) 750-07-70

Кстати, наш аутсорсинг выглядит так

СПАСИБО ЗА ВНИМАНИЕ!

Прозоров Андрей, CISM

Моя почта: a.prozorov@solarsecurity.ruМой блог: 80na20.blogspot.comМой твиттер: twitter.com/3dwave