И услуг по технической поддержке
В зависимости от сложности системы обнаружения атак, уровня квалификации работающего с ней персонала и других условий при эксплуатации системы могут потребоваться услуги по технической поддержке со стороны производителя или поставщика, услуги по обучению персонала и т. д.
Если вы не знакомы с технологиями и принципами, заложенными в систему обнаружения атак, вы будете стоять на грани совершения ошибки, которая может очень дорого стоить вашей организации. Сделанная ошибка может повлечь за собой задержки при инсталляции и развертывании, поддержке и эксплуатации системы обнаружения атак. Именно поэтому рекомендуется (особенно в крупных компаниях) сразу с приобретением системы обнаружения атак оговаривать объем документации и услуги технической поддержки. Однако в России очень редко пользуются такой возможностью. Как правило, большинство заказчиков останавливается только на покупке необходимого минимума — одного-единственного диска ROM с программным обеспечением системы обнаружения атак и электронной документацией. Однако нехватка времени (или обычная человеческая лень) даже на изучение электронной документации приводит к появлению брешей в настройках системы, которая призвана защищать корпоративную сеть, а не служить лишней точкой проникновения в нее. Возможно именно поэтому, учитывая особенности человеческой психологии, компания ISS отказалась в 1998 году от разделения стоимости предлагаемых ее продуктов и оплаты технической поддержки. И хотя цена средств обнаружения атак, возросла на 20%, зато и многие проблемы конечных пользователей стали решаться намного быстрее и качественнее. На мой взгляд, поддержка производителя существенно важна, особенно в случае возникновения сложных проблем, не описанных в документации. И зачастую техническая поддержка может выступать в роли обучения, которое в сжатые сроки дает достаточно большой объем практической информации, которую приходится собирать по крупицам в процессе самостоятельного изучения системы.
В России больше распространена поддержка от поставщика, а не от разработчика, т.к. производители средств обнаружения атак (ISS, Cisco, NAI и другие) работают с заказчиками не напрямую, а через своих представителей. Это накладывает свой отпечаток на уровень технической поддержки, поскольку очень редко качество отечественного сервиса соответствует общепринятым зарубежным нормам. Например, компания ISS или Cisco на каждый запрос в службу технического сопровождения обязательно присылает сообщение, подтверждающее прием информации и гарантию ответить в течение нескольких часов (в зависимости от оплаченных услуг). Это позволяет, клиенту быть уверенным, что о нем не забыли, и его проблемы решаются группой высококвалифицированных специалистов. Об элементарной вежливости очень часто забывают в отечественных компаниях. Как уже упоминалось, техническая поддержка производителя обычно включает несколько уровней, отличающихся временем реакции на запрос пользователя и временем работы этой службы. В России получили распространение следующие несколько вариантов сопровождения:
q консультации по телефону и электронной почте;
q поддержка через Web-сервер;
q обновление программно-аппаратного обеспечения;
q выезды к заказчику.
Основываясь на практике, можно выделить стандартные для многих производителей параметры технической поддержки.
q Поддержка в бизнес-часы (с 9.00 до 18,00, с понедельника по пятницу);
q Поддержка в течение первого года с момента приобретения системы обнаружения атак. По истечении этого срока соглашение о техническом сопровождении продлевается еще на один год и т, д;
q Средние расценки на оказываемые услуги составляют 20—25% от стоимости системы обнаружения атак. Однако в некоторых случаях эти цифры могут достигать 50%. Это касается так называемого "платинового уровня поддержки (Platinum Support Level), в котором время реакции на возникший инцидент измеряется одним часом, а служба технической поддержки доступна круглосуточно.
Оговаривая техническое сопровождение системы обнаружения атак, не стоит забывать и о поддержке сопутствующего программного и аппаратного обеспечения. Иначе можно попасть в интересную ситуацию: сами средства обнаружения атак работают идеально, но с операционной средой постоянно возникают какие-то проблемы, что приводит к нарушению функционирования системы обнаружения атак.
Также следует помнить и о том, чтобы соглашение о технической поддержке с поставщиком системы обнаружения атак, операционной системы и другого используемого ПО включало в себя, пункт о своевременной поставке всех обновлений. Кроме того, подписка на списки рассылки производителей системы обнаружения атак позволит не надеяться лишь на поставщиков, но и самому быть в курсе всех новостей, связанных с приобретенной системы обнаружения атак. Как говорится: "На Бога надейся, а сам не плошай". Особенно это актуально для России, т.к. отечественные дистрибьюторы грешат несвоевременностью оповещения своих заказчиков относительно новых версий поддерживаемых ими продуктов. Примером такого списка рассылок является список [email protected], в котором периодически публикуется информация о новых обновлениях систем RealSecure, Internet Scanner и других, выпущенных компанией ISS.