14 ноября в Нижнем Новгороде сотрудниками компании была продемонстрирована работа «первой линии» коммерческого центра мониторинга инцидентов безопасности Jet Security Operation Center (см. также «Спорные вопросы информационной безопасности », Computerworld Россия, № 16, 2014).
JSOC, который обеспечивает оперативное реагирование на события, способные привести к серьезным проблемам в области безопасности информационных систем его клиентов, введен в действие весной 2013 года. Основная часть его инфраструктуры, включающей продукты HP, IBM, NetApp, Cisco, размещена в центре обработки данных «Инфосистем Джет», резервная площадка находится в здании компании.
Соответствие инженерных систем ЦОД требованиям Uptime Institute Tier III, а также использование технологий высокой доступности в ИТ-комплексе, обеспечивают, по данным компании, уровень готовности JSOC, отвечающий показателю 99,8%. Инфраструктура JSOC имеет сертификат соответствия спецификациям стандарта PCI DSS. В качестве системы SIEM (Security Information and Event Management) используется программный комплекс HP ArcSight. Инвестиции в проект составляют более 4 млн долл.
«Первым нашим клиентом была крупная компания, передавшая нам обслуживание и поддержку системы SIEM. Тогда же еще в одной компании, работающей в области ретейла, хотели получить сервис реагирования на инциденты без приобретения для этого специального оборудования и покупки программных лицензий», — сообщил Владимир Дрюков, руководитель направления аутсорсинга информационной безопасности компании «Инфосистемы Джет».
В настоящее время JSOC предоставляет дистанционные услуги 13 организациям, в том числе банкам, включая «Лето Банк» и Уральский банк реконструкции и развития, финансовым компаниям и розничным сетям.
Подготовка к работе с новым клиентом, по словам Дрюкова, требует от двух недель до полутора месяцев после заключения договора. В состав предоставляемых сервисов входят контроль требований регуляторов, мониторинг исполнения политик безопасности, поддержка безопасности инфраструктуры, контроль контрагентов, защита бизнес-приложений и ряд других услуг.
Задачи первичной обработки сообщений об инцидентах, а также о событиях в системах клиентов, решаются соответственно специалистами групп разбора инцидентов и администрирования, которые находятся в Нижнем Новгороде. На размещение служб «первой линии» именно в этом городе оказали влияние такие факторы, как наличие вузов, где есть соответствующие специализации, а также развитая ИТ-среда.
Специалисты «вторых линий» располагаются в Москве; в наиболее сложных случаях дополнительно привлекаются аналитики и администраторы информационной безопасности.
В JSOC ежедневно регистрируется около полутора сотен инцидентов информационной безопасности, причем 80% из них – в дневное время. Большая же часть направленных атак фиксируется в период от восьми вечера до девяти утра, когда, как полагают их организаторы, менее вероятно противодействие персонала соответствующих служб.
По статистике JSOC, в течение первого месяца работы выявляется около десятка инцидентов несанкционированного доступа в системы клиентов, не менее пяти утечек конфиденциальной информации, до десяти нарушений политики доступа в Интернет, а также непрофильное использование технологических учетных записей.
Предусмотрены несколько типов соглашений о качестве обслуживания (Service Level Agreement). К примеру, для SLA с наилучшими параметрами сервиса время обнаружения критичных инцидентов не превышает 10 минут, время их базовой диагностики и информирования заказчика с предоставлением определенной договором аналитической справки — 20 минут, выдачи рекомендаций по противодействию – 45 минут.
«Контроль за SLA в любом случае остается на первой линии», — подчеркнул Алексей Кривоногов, руководитель нижегородской группы мониторинга и администрирования. В настоящее время выполнения договоров SLA оценивается показателем 97,9%.
Однако наиболее важным, по мнению Дрюкова, является не только соблюдение формальных показателей качества обслуживания, но и обеспечивающая доверие заказчиков организация всего процесса взаимодействия с ними и работы с их системами.
По результатам 2013 года аутсорсинг и JSOC вошли в тройку наиболее быстрорастущих направлений бизнеса «Инфосистем Джет» в области информационной безопасности. На долю JSOC здесь приходится около 5% доходов, и, как ожидают, этот показатель должен возрасти в следующем году в три раза. Ожидается также, что в 2015 году число клиентов JSOC увеличится почти вдвое.