Особенности поддержки ИБ-продуктов на примере работы сервисного центра компании «Информзащита»

Особенности поддержки ИБ-продуктов на примере работы сервисного центра компании «Информзащита»

Особенности поддержки ИБ-продуктов на примере работы сервисного центра компании «Информзащита»

Работа сервисного центра (СЦ), специализирующегося на поддержке средств обеспечения информационной безопасности предприятия, имеет ряд особенностей по сравнению с обслуживанием обычных корпоративных информационных систем. Строгие требования заказчиков к надёжности критической инфраструктуры и ограничения регламентирующих органов делают организацию подобной работы нетривиальной задачей. Мы изучили некоторые её аспекты на примере крупного российского СЦ компании «Информзащита».

 

 

 

 

  1. Введение
  2. О сервисном центре компании «Информзащита»
  3. Сценарии работы с сервисным центром по информационной безопасности
  4. Особенности специализированного сервисного центра по информационной безопасности
    1. 4.1. Обеспечение кадрами и скорость реакции на инциденты
    2. 4.2. Поддержка ИБ-продуктов в рамках партнёрства с вендорами
  5. Выводы

 

Введение

Сопровождение и поддержание работоспособности программных продуктов — важная часть эксплуатационных расходов на них. Для бесперебойного функционирования современное ПО — так же, как и любую сложную систему (автомобиль, здание, коммуникации) — необходимо обслуживать: выполнять регламентные операции, ставить обновления, восстанавливать в случае сбоев. В ряде случаев этот процесс удобнее передать внешним исполнителям — сервисным центрам, которые обладают достаточным для этого штатом специалистов и необходимыми компетенциями.

Большая часть системного и прикладного ПО в крупных организациях в той или иной степени поддерживается силами сторонних фирм: держать высококвалифицированных специалистов под такой широкий спектр задач дорого и неэффективно. Это особенно актуально для ИБ-продуктов: если с обновлением бухгалтерской системы может справиться, как показывает практика, любой ИТ-специалист средней руки (причём это не требует наличия у него самого или у компании-исполнителя каких-либо особых разрешений на осуществление такой деятельности), то для обслуживания криптографического оборудования исполнитель должен иметь специфические знания, опыт и специальную лицензию.

Работоспособность средств обеспечения информационной безопасности компании обычно имеет критическую важность, и чем крупнее организация, тем больший ущерб ей может быть нанесён в случае сбоя межсетевого экрана, антифрод-системы или DLP-решения. Именно поэтому сопровождение таких продуктов — отдельный сегмент рынка, в котором действуют специализированные сервисные центры по информационной безопасности.

Работа таких СЦ имеет свои особенности. В первую очередь это — более жёсткие сроки реагирования на затрагивающие работоспособность защитных систем инциденты. Во-вторых — другой подход к кадровой деятельности и управлению компетенциями. И ещё один важный аспект — то, что связано с обслуживанием средств защиты в государственных организациях. Для выполнения ряда операций требуются лицензии контролирующих органов и сертификация специалистов. Более того, часть таких работ в принципе не может быть выполнена удалённо и требует выезда инженера на место.

Чтобы понять преимущества и недостатки такой модели поддержки, мы рассмотрели некоторые сценарии работы специализированного сервисного центра компании «Информзащита».

 

О сервисном центре компании «Информзащита»

«Информзащита» имеет крупнейший в стране профильный сервисный центр по направлению информационной безопасности. Специалисты центра готовы оказать поддержку по более чем 100 ИБ-продуктам четырёх десятков вендоров. При этом примерно 50 наиболее востребованных продуктов находятся в активном портфеле компании — компетенциями по их сопровождению обладает значительное количество инженеров.

В сервисном перечне центра — разработки ключевых отечественных и зарубежных компаний. В числе клиентов находятся организации финансового сектора, крупные государственные учреждения и предприятия энергетической сферы. Особую ответственность на специалистов СЦ накладывает обслуживание систем, относящихся к критической информационной инфраструктуре (КИИ), и продуктов, подпадающих под действие федеральных законов об обеспечении информационной безопасности. Услугами СЦ «Информзащита» пользуются более 500 заказчиков, с которыми заключено более 700 контрактов на обслуживание систем обеспечения ИБ.

В зависимости от выбранного пакета услуг клиенты сервисного центра могут получать поддержку в режиме 9х5 или 24х7, в том числе и с возможностью оперативного выезда специалиста на место эксплуатации решения в целях устранения инцидента. «Информзащита» обслуживает филиальные структуры, распределённые по всей России, а также региональных заказчиков.

Поскольку большинство систем, поддерживаемых центром, являются критическими, клиенты предъявляют высокие требования к SLA-срокам, указанным в контрактах. Согласно внутренним регламентам СЦ «Информзащита» время реакции на все обращения любого приоритета составляет не более 15 минут. Это время закреплено как KPI первой линии поддержки и соблюдается для 99,6 % всех поступающих обращений.

Инженер второй линии поддержки гарантированно должен принять в работу обращение любого приоритета в течение 30 минут после регистрации. Специалисты центра выдерживают этот KPI для 99,8 % обращений.

Компания обладает собственной сервисной лабораторией, в которой представлено более 150 стендов и свыше 250 тестовых зон для моделирования инцидентов. В составе лаборатории представлены решения как ведущих российских и зарубежных ИБ-производителей, так и «молодых игроков» на рынке.

Для ряда вендоров центр является сервисным партнёром. Например, статус IBM Primary Support Provider (PSP), имеющийся у «Информзащиты», даёт её клиентам возможность получать круглосуточную русскоязычную поддержку по продукту IBM QRadar через СЦ на уровне, гарантированном сервисными контрактами с производителем.

 

Сценарии работы с сервисным центром по информационной безопасности

В большинстве случаев взаимодействие сервисного центра и заказчика может строиться по одному из трёх основных сценариев.

1) Техническая поддержка. Базовый уровень, на котором сервисный центр отвечает за поддержку работоспособности систем информационной безопасности, проводит диагностику неисправностей, оказывает консультационные услуги, а также выполняет профилактическое выездное обслуживание. Заметим, что даже на этом уровне в «Информзащите» установлены чёткие сроки ответов на обращения клиентов, чем не всегда могут похвастаться вендорские службы поддержки.

2) Техническое сопровождение. На этом уровне в дополнение к технической поддержке сервисный центр берёт на себя регламентные работы и установку обновлений, в том числе и с выездом инженера к заказчику. Такая услуга особенно актуальна при обслуживании СКЗИ в государственных организациях, когда ряд операций с ключами шифрования нельзя выполнить удалённо или силами собственных сотрудников заказчика либо когда обслуживается закрытый сегмент инфраструктуры. В частности, СЦ «Информзащита» имеет богатый опыт обслуживания федеральных компаний с разветвлённой филиальной сетью. В структуре сервисного центра есть целое подразделение, сотрудники которого регулярно выезжают к заказчикам для проведения обслуживания на месте и, таким образом, в течение года проводят 70 % времени в командировках.

3) Аутсорсинг. В этом случае на сервисный центр ложится ответственность за эксплуатацию ИБ-решений и средств защиты информации. Помимо технического сопровождения специалисты центра занимаются организацией локальной службы информационной безопасности, а также развитием и модернизацией аппаратной и программной частей, необходимых для оптимальной работы системы. Также возможно организовать оперативную группу, выделенную под заказчика, которая будет на месте решать все возникающие проблемы и формировать отчёты.

По словам специалистов сервисного центра «Информзащита», выбор того или иного уровня взаимодействия во многом обусловлен тем, какими кадровыми и техническими ресурсами обладает заказчик — способен ли он самостоятельно развивать и поддерживать ИБ-системы. В тех случаях, когда он готов инвестировать в квалифицированные кадры и нанимать компетентных сотрудников, которые могут эксплуатировать выбранный продукт, оптимальным вариантом сотрудничества окажется техподдержка. Сервисный центр будет тогда выступать в качестве «страховки» и «спасательного круга» в непредвиденных ситуациях.

Если высококвалифицированные сотрудники заказчика способны самостоятельно решать сложные проблемы обслуживания, но не имеют достаточного количества времени для выполнения рутинных операций, то разумно остановиться на техническом сопровождении. В этом случае специалисты «Информзащиты» среди прочего занимаются мониторингом и установкой обновлений, ведением обязательных регламентных журналов и другими регулярными операциями.

В случае если заказчик не планирует развитие кадровых ресурсов и готов доверить вопросы информационной безопасности специалистам сервисного центра, выбирается работа на условиях аутсорсинга. При такой форме сотрудничества со стороны заказчика назначается ответственный за работу с сервисным центром, который ставит задачу выделенным сотрудникам «Информзащиты», а также решает внутри организации управленческие вопросы, связанные с развитием инфраструктуры и другими аспектами информационной безопасности.

 

Особенности специализированного сервисного центра по информационной безопасности

Обеспечение кадрами и скорость реакции на инциденты

Компетенции, состав и число специалистов, доступных в каждый момент времени, имеют решающее значение для работы специализированного сервисного центра. Как мы уже отмечали во введении, службы поддержки средств информационной защиты отличаются спецификой деятельности от аналогичных центров, ориентированных на обычные ИТ-системы.

В первую очередь это связано с повышенными требованиями к выполнению SLA при отработке инцидентов, затрагивающих критическую инфраструктуру. Например, в случае выхода из строя антифрод-системы финансового учреждения могут быть пропущены мошеннические транзакции, которые приведут не к абстрактным потерям из-за простоя, а к реальным убыткам, выраженным в исках пострадавших. Чем крупнее это учреждение и чем больше филиальная сеть, тем выше вероятность того, что мошеннические операции пройдут через системы банка буквально в первые минуты после отказа защитных средств. В связи с этим время реакции на инцидент во многих случаях должно исчисляться не часами, а минутами, а для поддержки каждого продукта должен быть подготовлен не один специалист, а как минимум «полтора», с запасом.

«В некоторых крупных заказчиках финансового сектора отсутствие инженера «Информзащиты» перед экранами мониторинга инцидентов ИБ более 2 минут воспринимается как серьёзное нарушение безопасности, и заказчик может выставить претензию о низком качестве оказания услуг, — говорит директор СЦ «Информзащита» Вадим Ритерман. — В случае аварийного сбоя на системе ИБ такого заказчика «практическое» реагирование (не просто регистрация сбоя, а конкретные действия) должно начинаться в течение 60 секунд, и карта этого реагирования в первую очередь включает мгновенный переход на резервные кластеры системы, и только во вторую очередь изучение причин сбоя, диагностику и последующие действия для восстановления. Аналогичные жёсткие требования по срокам SLA предъявляются и к объектам КИИ, имеющим государственное значение для безопасности и обороноспособности страны».

В отличие от небольших, монобрендовых сервисных центров по информационной безопасности, СЦ «Информзащита» поддерживает десятки программных продуктов, что ещё больше усложняет задачу оперативного реагирования. Для того чтобы выполнять жёсткие требования заказчиков, компания разработала автоматизированную матрицу компетенций, которая охватывает всех инженеров центра и все обязательства по договорам, позволяя избежать проблем в случае болезни, ухода в отпуск или увольнения отдельных специалистов. Она также даёт возможность увидеть и устранить «узкие места» до возникновения чрезвычайной управленческой ситуации. Несмотря на весьма сложную структуру, матрица компетенций позволяет планировать развитие сотрудников и обеспечивать необходимым количеством специалистов нужного уровня квалификации все обязательства по заключённым договорам и проектам развития центра.

Помимо классического обучения во внешних специализированных учебных центрах в «Информзащите» принят курс на самостоятельное обучение специалистов: это позволяет полностью контролировать качество подготовки инженеров и исключить из затрат центра значительные расходы на привлечение готовых экспертов, которых к тому же в настоящий момент на рынке труда очень немного. Для каждого сотрудника составляется индивидуальный план повышения квалификации, который может корректироваться в зависимости от текущих потребностей центра. Контроль процесса обеспечивает собственная электронная система обучения и тестирования вкупе с десятками стендов, имеющихся в распоряжении компании.

Для оперативной реакции на инциденты применяется перекрывающий график работы специалистов с резервированием. Это значит, что между окончанием смены одного инженера по конкретному продукту и началом работы другого нет «мёртвой зоны»; дополнительно всегда есть резервный инженер на случай форс-мажора. Так сервисный центр избегает ситуаций, когда, например, при поступлении инцидента один специалист уже ушёл, второй ещё едет в метро и не может взять этот инцидент в работу, третий заболел, а четвёртый 10 минут назад уехал к заказчику по срочному вызову.

К разбору сложных, нетиповых обращений заказчиков подключаются эксперты третьей линии поддержки, входящей в состав СЦ. Если дежурный инженер вдруг недоступен, обращение перенаправляется на другого специалиста центра, потом на линейного руководителя и так далее. Каждое такое назначение дублируется звонком инженеру с первой линии поддержки; через 15 минут ему и его руководителю автоматически направляется SMS-сообщение (в случае если до этого времени обращение не было взято в работу). Важно, что типовые проблемы конкретных заказчиков могут решать специалисты первой линии без привлечения экспертов. Карты последовательного подключения сотрудников СЦ к работе с обращением заказчика разработаны для каждого продукта в портфеле сервисного центра.

В результате применения такого подхода компания смогла добиться высокой скорости реакции. В подавляющем большинстве случаев регистрация обращения и начало работы инженера 2-й линии укладываются в диапазон трёх—четырёх минут.

Поддержание такой многоярусной схемы работы с большим количеством продуктов / компетенций и резервированием инженеров возможно только в крупном сервисном центре, иначе это будет очень затратно и неэффективно.

 

Поддержка ИБ-продуктов в рамках партнёрства с вендорами

Производители систем информационной безопасности обычно не предлагают дополнительные услуги по их сопровождению, и такой сервис не всегда устраивает заказчиков. Перечислим основные проблемы, связанные с поддержкой от вендора:

  • Ограниченный набор услуг. Обычно в рамках сервисного обслуживания производитель ограничивается решением проблем, связанных исключительно с эксплуатацией его продукта. Если заказчику требуется более плотное взаимодействие, например аутсорсинг в сфере информационной безопасности, то необходимо привлекать другую организацию.
  • Невозможность комплексной поддержки. При использовании нескольких продуктов от разных вендоров договоры сопровождения по каждому из них будут выполняться разными сервисными инженерами. Потенциально это может привести к проблемам взаимодействия в критических ситуациях.
  • Проблемы локализации сервиса. Глобальные вендоры, как правило, содержат международную службу поддержки. Это значит, что сервисное обслуживание на русском языке может быть недоступно совсем или не оказываться в периоды пиковой загрузки, когда обращение переводится на ближайшего свободного оператора.

Подобные сложности можно исключить, если сервисный партнёр находится рядом, способен поддерживать несколько решений и сертифицирован вендором. В портфеле СЦ «Информзащита» есть более полутора десятков договоров сервисного партнёрства с разработчиками ИБ-продуктов. В рамках этих соглашений сервисный центр оказывает своим клиентам поддержку аналогичную той, которую гарантирует вендор.

Например, СЦ «Информзащита» — первая и на данный момент единственная структура в России, которая имеет статус IBM Primary Support Provider и может обеспечивать услуги первой и второй линии поддержки для SIEM-системы IBM QRadar. Партнёрство с IBM Security является для сервисного центра стратегическим, поскольку SOC компании «Информзащита» построен на базе вышеназванного SIEM-продукта и её специалисты обладают самым широким набором компетенций по нему.

Клиенты СЦ «Информзащита», заключившие договор сопровождения IBM QRadar SIEM, получают такую же поддержку продукта, какую оказывает IBM Security, однако в ряде случаев пользуются лучшими условиями: сроки реакции «Информзащиты» короче, чем у производителя, а поддержка всегда оказывается на русском языке. Инженеры сервисного центра плотно взаимодействуют с экспертами вендора и, если решение проблемы выходит за пределы их компетенции, оперативно передают информацию разработчику.

В общем случае сервисное партнёрство выгодно всем участникам: клиент получает локализованную поддержку на хороших условиях, вендор обретает надёжного партнёра с большим штатом подготовленных специалистов, а сервисный центр расширяет ассортимент услуг и может предложить клиентам дополнительные варианты сопровождения.

 

Выводы

На примере СЦ «Информзащита» хорошо видны преимущества, которые даёт поддержка систем обеспечения информационной безопасности организации силами специализированных сервисных компаний. Отметим главные из них:

  • Возможность поддержки критически важных информационных систем в режиме 24х7 силами команды высококвалифицированных специалистов.
  • Комплексное обслуживание нескольких ИБ-продуктов разных вендоров «из одних рук».
  • Поддержка специализированного ПО в рамках партнёрских соглашений с вендором — на гарантированном производителем уровне, но с лучшими показателями SLA и возможностью расширить перечень услуг.
  • Несколько вариантов сотрудничества — от стандартной технической поддержки до полного аутсорсинга.
  • Выполнение регламентных работ, требующих лицензий и допусков от контролирующих органов.
  • Снижение риска потери квалифицированных специалистов по эксплуатируемым ИБ-продуктам.

Что касается недостатков такой модели работы, то их можно рассматривать только сквозь сопоставимость масштаба организации и уровня оказываемых сервисным центром услуг. Действительно, далеко не всем компаниям SMB-сектора по силам оплачивать услуги команды инженеров с коротким сроком реакции на обращение, да и потребности в таком сервисе иногда просто нет. Но чем крупнее организация, чем сложнее её структура, тем большее значение для неё имеет бесперебойная работа систем информационной безопасности, тем актуальнее и востребованнее становятся услуги специализированных сервисных центров.

Среди клиентов СЦ «Информзащита» — банки, государственные учреждения, компании с широкой филиальной сетью. Работа с внешним подрядчиком для таких организаций не только более проста и удобна, но ещё и экономически целесообразна. Содержание собственного штата высококвалифицированных специалистов, поддержка и развитие их компетенций, организация работы и управление подразделением почти всегда обойдутся дороже контракта с сервисным центром. При этом затраты на такое сотрудничество, в отличие от расходов на оплату труда, не увеличат налоговую нагрузку компании.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru