Проект

IBM создаст для Сбербанка центр информационной безопасности

Заказчики: Сбербанк

Москва; Финансовые услуги, инвестиции и аудит

Продукт: Комплексные проекты по информационной безопасности

Дата проекта: 2016/04 — 2017/10
Бюджет проекта: 491 млн руб.
Технология: ИБ - Антивирусы
подрядчики - 314
проекты - 1330
системы - 446
вендоры - 135
Технология: ИБ - Антиспам
подрядчики - 275
проекты - 1119
системы - 233
вендоры - 96
Технология: ИБ - Аутентификация
подрядчики - 322
проекты - 1002
системы - 485
вендоры - 288
Технология: ИБ - Межсетевые экраны
подрядчики - 391
проекты - 1466
системы - 734
вендоры - 263
Технология: ИБ - Предотвращения утечек информации
подрядчики - 281
проекты - 1122
системы - 429
вендоры - 248
СМ. ТАКЖЕ (2)

2017: Центр управления кибербезопасностью Сбербанка получил сертификат соответствия международному стандарту

13 декабря 2017 года Сбербанк стал первым банком в России, чей центр управления кибербезопасностью сертифицирован Британским институтом стандартов (BSI) на соответствие международному стандарту ISO/IEC 27001:2013.

Центр управления кибербезопасностью Сбербанка (2017)

Стандарт ISO/IEC 27001:2013 определяет требования к созданию, внедрению, обслуживанию и постоянному совершенствованию системы управления информационной безопасностью организации. Он также включает требования к оценке и обработке рисков информационной безопасности, адаптированных к потребностям организации. Разработчиком стандарта является Международная организация по стандартизации (ISO), одним из аккредитованных органов по сертификации выступает Британский институт стандартов (BSI).

«
«Современный мир предъявляет высокие требования к цифровым компаниям, прежде всего, в области кибербезопасности. Качество и доступность цифровых услуг напрямую зависит от способности эффективно противодействовать киберугрозам. Поэтому Сбербанк считает это направление одним из стратегически значимых. Сертификат подтверждает, что наши процессы мониторинга и реагирования на кибератаки соответствуют международным требованиям. Это позволяет нам уже сегодня обеспечить защиту ИТ-платформы на уровне мировых лидеров, а в перспективе — и всю цифровую экосистему Сбербанка».

Станислав Кузнецов, заместитель Председателя Правления Сбербанка
»

2016: Разработка и внедрение ПО для центра ИБ

Выбор подрядчика

В конце декабря 2016 года Сбербанк определил подрядчика по разработке и внедрению ПО для создания единого операционного центра информационной безопасности (SOC).[1].

Определен разработчик ПО для Центра информационной безопасности Сбербанка

Консультационные услуги банку по развитию центра ИБ оказывала компания IBM (ООО «ИБМ ВЕА»). Она же теперь займется и разработкой программных решений.

Стоимость работ по проекту создания и внедрения программного обеспечения для центра ИБ оценивалась в 543,5 млн рублей. К участию в запросе предложений были приглашены компании Dell SecureWorks, Accenture, Deloitte, IBM, Microsoft, Cisco, PwC, EY и KPMG. Однако к назначенному сроку поступила лишь одна заявка - от компании IBM. Её стоимость оказалась на 12,5 тыс. рублей меньше начальной стоимости контракта.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг

После дополнительных переговоров IBM снизила итоговую стоимость работ до 491 млн рублей.

Перечень работ

В рамках проекта требуется разработать несколько систем:

  • «Единая система мониторинга событий информационной безопасности»
  • «Система визуализации отчетности»
  • «Система управления инцидентами»
  • «Аналитика киберугроз»
  • «Реагирование на инциденты»

Помимо этого, в периметр проекта входят работы по внедрению и настройке существующих компонент SIEM-системы IBM Security Qradar, имеющейся у Сберанка.

Сроки выполнения работ для каждой системы оговорены отдельно, но к 31 октября 2017 года все они уже должны быть завершены.

Требования к центру ИБ

Структура SOC определяется Целевой операционной моделью, которая описывает набор компонентов SOC, необходимых для решения задач эффективного обеспечения информационной безопасности с расчётом до 2018 года.

Компоненты SOC могут быть отнесены к трем сегментам: технологическому, операционному и стратегическому. Состав компонент SOC показан на диаграмме структуры целевой операционной модели, приведённой на рисунке ниже.

Структура целевой операционной модели SOC

В состав целевого состояния SOC должны входить следующие технологические компоненты:

1. Подсистема управления информацией и событиями в области ИБ (SIEM - The Security Information and Event Management system). Предназначена для агрегации информации от источников событий (log sources) и уведомления о потенциальных инцидентах в соответствии с правилами корреляции. Предполагается, что Сбербанк продолжит эксплуатацию и развитие существующей SIEM - IBM Security QRadar.

2. Подсистема обработки заявок и поддержки рабочих процессов (Ticketing System). Предоставляет возможность регистрации событий информационной безопасности и управления инцидентами в рамках ответных действий, отслеживания стадий отработки заявки и текущего статуса заявки, установки приоритета и эскалации, поддержки рабочих процессов.

3. Подсистема отчетности и графических панелей (Reporting System). Представляет собой ключевые продукты платформы построения отчетности для создания консолидированных отчетов по существующим и добавляемым параметрам для соответствия различным отчетным требованиям.

4. Подсистема Big Data. Предназначена для использования мультиструктурированных данных из внутренних и внешних источников для детализированной аналитики и более эффективного управления и реагирования на инциденты информационной безопасности. Предполагается, что Сбербанк продолжит эксплуатацию существующей архитектуры Big Data на базе технологии Hadoop.

5. Подсистема предиктивной и когнитивной аналитики (Cognitive Analytics System). Данная подсистема совершенствует SOC за счет возможностей машинного обучения, таких как использование комплекса IBM Watson for Cyber Security.

6. Подсистема аналитики угроз информационной безопасности (Threat Intelligence Platform). Позволяет аналитикам информационной безопасности осуществлять агрегацию и разбор аналитических данных ИБ, поступающих из различных фидов, доверенных групп, дочерней организации Сбербанка `Бизон`, блогов информационной безопасности и т.д. Данная подсистема позволяет автоматизировать внедрение надлежащих сценариев использования, анализ киберугроз для создания эффективного механизма реагирования в отношении новых возникающих угроз.

7. Подсистема технологий активной защиты (Active Defence). Данная подсистема содержит технологии, помогающие реализовать функцию активной защиты посредством развертывания, управления и регистрации активностей в теневых сетях (honeypots) или вводящие в заблуждение записи DNS для усложнения задачи преодоления защиты для злоумышленника.

8. Подсистема реагирования на инциденты ИБ (Incident Response Platform). Данная подсистема позволяет автоматизировать процедуры реагирования на инциденты благодаря концептуальным инструкциям по реагированию. Подсистема значительно сокращает время реагирования за счет предопределенных заданий.

Целевая архитектура технологических компонент SOC

Консультационные услуги по развитию центра ИБ

Выбор подрядчика

В апреле 2016 года IBM была выбрана консультантом Сбербанка по развитию единого операционного центра информационной безопасности (Security Operation Center, SOC).

В рамках проекта американская корпорация проведет обследование и анализ процессов управления и обеспечения, реализованных в существующем SOC Сбербанка, обследование ИТ и ИБ – инфраструктуры внешнего и внутреннего сетевых сегментов банка, проверку и анализ текущего состояния системы управления инцидентами ИБ (SIEM).

Срок оказания услуг составляет 3 месяца с даты заключения договора. В результате IBM должна будет спроектировать целевую модель SOC на основе «лучших мировых практик» и предоставить Сбербанку детальную дорожную карту поэтапного развития SOC.

Консультанта по развитию центра Сбербанк выбирал с декабря 2015 года[2]. Максимальная цена контракта составляла 60,9 млн рублей, IBM согласился выполнить работу за 56,9 млн.

Заявки на участие в конкурсе также подавали Microsoft Россия, Accenture и Deloitte. Самое большое снижение максимальной цены контракта предлагала Microsoft: компания готова была оказать услуги за 16,1 млн рублей. За ней следовала Accenture, предложившая выполнить работы за 51,8 млн.

Все заявки за исключением IBM были признаны не соответствующими требованиям банка к квалификации. В опубликованном протоколе говорится, что компании не в полной мере представили информацию о наличии опыта построения SOC в финансовых организациях, входящих в рейтинг Fortune 500, а также о наличии опыта участия в подобных проектах у своих проектных команд.

Сбербанк получит модель SOC, соответствующего мировым стандартам

Задачи проекта

«
Сбербанк осуществил централизацию сбора информации об инцидентах ИБ и создал технологическую основу построения единого операционного центра по информационной безопасности, - говорится в конкурсной документации. - Для дальнейшего развития функциональности SOC и повышения его зрелости до уровня мировых стандартов требуется приобретение консультационных услуг по проектированию его целевого состояния.
»

В Сбербанке пояснили TAdviser, что по состоянию на апрель 2016 года в банке завершен первый этап создания SOC – внедрена централизованная на всю страну система сбора и корреляций событий безопасности (SIEM-система), к которой подключены основные источники событий информационной безопасности, разработаны базовые правила корреляции событий и базовые процессы обработки инцидентов.

Следующий этап состоит в развитии SOC в направлении централизации функций мониторинга и запуска всех процессов управления безопасностью. Также планируется внедрение современных аналитических технологий, переход от реагирования к проактивному прогнозированию угроз и предотвращению инцидентов, рассказал TAdviser представитель Сбербанка.

Целевая модель SOC должна включать набор таких компонент и технологий как:

  • система SIEM и ее целевое состояние;
  • описание источников событий во внешнем и внутреннем сегментах Сбербанка, а также в его дочерних организациях для подключения к SIEM-системе;
  • описание сценариев событий (use cases) для обнаружения инцидентов ИБ и процедуры реагирования на инциденты;
  • использование заявок (ticketing) и механизмов работы с ними;
  • использование инструментов для анализа полуструктурированных и неструктурированных данных, в том числе бизнес-транзакций, с целью выявления наиболее опасных атак, длительных по времени и состоящих в последовательном проникновении через рубежи и заслоны защиты «маленькими шагами», реализации flow-analytics, forensics, context analytics, predictive analytics;
  • оперативный сбор и анализ информации об актуальных угрозах ИБ (threat intelligence), получаемой, в том числе, из внешних источников;
  • процедуры обработки информации подсистемами SOC на поступающую информацию о новых угрозах;
  • управление соответствием требованиям информационной безопасности по политикам, согласованным с Заказчиком (не менее 4-х политик, в том числе, соответствие требованиям PCI DSS);
  • взаимодействие с анти-фрод системами для проведения анализа;
  • оптимальная схема взаимодействия внутренних процессов обработки заявок SOC, построенных на механизме ticketing, и системой Help Desk Заказчика.

В компании Solar Security отметили, что решение банка создать свой SOC полностью обосновано, поскольку Сбербанк – это очень большая ИТ-инфраструктура, одна из самых больших в России.

«
Мы про этот проект знаем и с интересом наблюдаем за успехами команды, которая отвечает за построение SOC, обмениваемся опытом. Хочется отметить, что это одна из самых профессиональных команд в России, - говорит представитель Solar Security Валентин Крохин.
»

Активы Сбербанка

Компании в России

За рубежом

Информационные технологии



Примечания