Защищенная IT-инфраструктура Сбербанка
Построить защищенную IT-инфраструктуру крупной компании — настоящее искусство. Сегодня у Сбербанка почти 17,5 тыс. подразделений в 12 территориальных банках в 83 субъектах России: мы обслуживаем более 110 млн клиентов — это самая большая филиальная сеть в стране, а представительства, дочерние банки и филиалы банка за рубежом обслуживают еще свыше 10 млн человек в 22 странах.
По количеству банкоматов и терминалов самообслуживания Сбербанк занимает первое место в мире. Кроме того, у него есть собственный ЦОД уровня надежности Tier III, площадь машинных залов которого около 4000 м2. В ЦОДе работает 1600 стоек серверного и сетевого оборудования общей потребляемой мощностью около 20 МВт. Здесь хранятся и обрабатываются огромные массивы клиентских данных.
Чтобы такая IT-инфраструктура работала надежно, ее нужно тщательно обслуживать: соединить все объекты в единую защищенную виртуальную сеть передачи данных и обеспечить надежную работу корпоративных ИС. Нельзя забывать об изменениях в инфраструктуре, которые происходят каждый день. Сбербанк улучшает сервисы и все быстрее выводит на рынок новые продукты, поэтому за год в инфраструктуре набираются десятки тысяч изменений. Они не должны поставить под удар безопасность, поэтому Сбербанку нужны эффективные процессы управления.
Безопасность и надежность
Если компании нужно установить защищенный канал данных между удаленными площадками, обычно используют виртуальную частную сеть — Virtual Private Network (VPN). Сбербанк — не исключение. Выбирая средства криптографической защиты трафика, мы исходили из требований, учитывающих специфику банка:
-
Выбранные средства защиты должны быть полностью российской разработкой.
-
Они должны отвечать всем требованиям ФСТЭК и ФСБ.
-
Нужна надежность, производительность и масштабируемость.
-
Потенциал к дальнейшему развитию.
-
Средства должны обеспечить интеграцию с существующей сетевой инфраструктурой так, чтобы пропускную способность сети можно было бы не менять — это снижает накладные расходы.
Отдельно стоит упомянуть централизованное управление средствами криптографической защиты трафика — мы уделили этому вопросу особое внимание, помня о размерах филиальной сети Сбербанка.
Система управления средствами криптографической защиты трафика в Сбербанке базируется на единой программно-аппаратной платформе, позволяющей одновременно управлять всем парком оборудования. При этом не важно, в каком сегменте корпоративной сети находится удаленный администратор и в каком часовом поясе он работает. В Сбербанке устройствами безопасности управляют из пяти территориально распределенных центров: у каждой группы администраторов своя зона ответственности и инструкции, как поступать при определенных событиях безопасности.
Если вы строите современный бизнес, ваше ключевое конкурентное преимущество — надежность и безопасность. Услугами Сбербанка пользуются более 110 млн человек, и даже короткие сбои менее одной минуты могут создать проблемы для множества людей. Поэтому Сбербанк проводит комплексную программу «Надежность 99,99», чтобы сократить сбои и время простоя систем не больше чем до 0,01 % в год — то есть критичные автоматизированные системы не должны простаивать дольше 52 минут в течение года.
Оборудование, обеспечивающее криптографическую защиту трафика, обычно устанавливают «в разрыв», потому что оно — один из компонентов бизнес-сервиса. Чтобы достичь нужного уровня надежности, необходимо применять технологии георезервирования.
Мы не можем вести реактивный мониторинг оборудования, реагируя на проблемы только тогда, когда внешние и внутренние клиенты уже начали жаловаться. Система мониторинга оборудования постоянно следит за средствами защиты, в том числе и криптографической защиты трафика. Если параметры выходят из зоны допустимых значений или возникают ситуации, угрожающие безопасности и надежности, сотрудники линий реагирования и администраторы средств защиты — работники Security Operation Centre (SOC) узнают об этом меньше чем за минуту.
Время решения инцидентов в SOC зависит от того, какого они типа. Некоторые инциденты требуют детального анализа или даже расследования. Поэтому критический показатель — не время решения инцидентов, а скорость, с которой их берут в работу, распределяют по категориям и локализуют, а также ряд других специфических метрик. Мы берем инциденты в работу максимум через пять минут. SOC отвечает за криптографическую защиту трафика и обрабатывает инциденты, связанные с ее безопасностью, вместе с другими инцидентами кибербезопасности.
Процессы — 80% успеха
По мнению экспертов, 80% успеха в кибербезопасности зависит от того, насколько правильно выстроены процессы, и только 20% — от технологий. Поэтому, трансформируя SOC, мы уделили много внимания разработке процессов. В 2017 году в SOC появилось 28 новых процессов, их разделяют на четыре группы:
-
Основные процессы — обеспечивают реагирование на инциденты кибербезопасности, пост-анализ и управление проблемами.
-
Процессы аналитики киберугроз — обеспечивают проактивное реагирование на новые угрозы кибербезопасности.
-
Управленческие процессы.
-
Группу инжиниринговых процессов — это технологический фундамент SOC.
Поскольку проблемы с оборудованием кибербезопасности напрямую влияют на бизнес, собственные инжиниринговые процессы в кибербезопасности очень важны. Процессы инжиниринговой группы включают и собственный процесс управления изменениями (change management). Он позволяет проводить изменения на устройствах безопасности, при этом сотрудники контролируют, планируют, подготавливают, согласуют и оценивают изменения.
Для чего нужен свой процесс change management в кибербезопасности? Она меняется, трансформация может затрагивать IT-инфраструктуру, системы видеонаблюдения, СКУД, инженерные системы ЦОД и зданий (ведь они также могут быть объектами атаки). Мы должны участвовать во всех этих изменениях, контролировать их. Поэтому у нашего change management больше входов и выходов, чем у классического процесса из ITIL, а внутри процесса — гораздо больше маршрутов.
Таким образом, процессный подход позволяет достичь заданного уровня надежности и безопасности, не прерывая основные процессы.
Сотрудники службы кибербезопасности Сбербанка поддерживают связь с коллегами, участвуют в тематических конференциях, взаимодействуют с государственными органами и обмениваются опытом с профильными службами других организаций на референс-визитах. Мы часто видим в российских компаниях достаточно высокий уровень технологий, но методологическая база сильно отстает. Реализация процессной модели во всех сферах кибербезопасности — та зона роста, которой сегодня следует уделить особое внимание. Внешняя напряженность высокая, а киберпреступлений все больше, и у нас просто нет другого выхода: против новых угроз помогут только эффективные процессы — не только реагирования, управления и анализа, но и процессы сопровождения средств защиты.
Заключение
Опыт показывает, что российские решения в кибербезопасности можно применять, чтобы решать нетривиальные задачи, в том числе в большой организации со сложной IT-инфраструктурой, такой как Сбербанк.
Но построить действительно надежную и безопасную инфраструктуру только за счет технологий нельзя, необходимо постоянно совершенствовать процессы. Эффективные процессы защищают все критически важные сервисы Сбербанка и позволяют им работать без перебоев, обеспечивая стабильные услуги нашим клиентам в любой точке России или мира.
Александр БОНДАРЕНКО
руководитель направления операционного центра кибербезопасности Сбербанка
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 26.12.2017