В соглашениях об уровне обслуживания особое внимание нужно обращать на условия контрактов, которые вы подписываете
В соглашении об уровне обслуживания (service-level agreement, SLA), заключаемом с поставщиком услуг, непременно должны присутствовать следующие основные положения: краткое описание услуги, обзоры требований по безопасности и проектированию, описание аппаратных и программных средств, доступность услуги, требования по обслуживанию, а также мониторинг и отчетность.
Мы затронем ряд самых значимых вопросов, связанных с кратким описанием услуги. В большинстве соглашений об уровне обслуживания данный раздел посвящен самому общему описанию услуги, адресованной заказчику. Вот ряд соображений, которые необходимо иметь в виду, обсуждая условия контракта с поставщиком услуг.
Наименование поставщика услуг
Этому разделу обычно не уделяют должного внимания. Большинство людей справедливо полагают, что ответственным за предоставление услуги будет тот самый поставщик, который заключает с ними соглашение об уровне обслуживания. Здесь и таится опасность: исключительно важно указывать в SLA (как, впрочем, и в любом другом контракте) полное название фирмы-поставщика услуг, а также включать в него весь перечень названий, под которыми она выступает на рынке (doing-business-as names, DBA names). В дальнейшем это позволит избежать разнотолков при возникновении спорных вопросов.
Уровень поддержки
Многие поставщики средств безопасности в зависимости от условий контракта предоставляют различные уровни поддержки, например, базовый, золотой или платиновый. Как правило, этот уровень определяет сумму заявок на обслуживание или «билетов», с которыми заказчик вправе обратиться к подрядчику в течение месяца или недели. В ряде случаев этим определяется также соответствующий уровень сотрудников службы поддержки, к которым представители заказчика могут обращаться напрямую. Обязательно разберитесь, что означает уровень поддержки, указанный в вашем соглашении, и позаботьтесь о том, чтобы в SLA были подробно описаны условия этой поддержки.
Исключения
Почти все поставщики услуг включают в соглашения об уровне обслуживания список исключительных ситуаций, которые они не считают случаями перерыва в обслуживании. В сущности, назначение этого списка в том, чтобы освободить подрядчика от ответственности за непредоставление услуги при указанных обстоятельствах. К примеру, работы по модернизации систем, предусматривающие их функционирование в автономном режиме, обычно не считаются перерывами в обслуживании.
Свой список исключительных ситуаций имеется практически у каждого поставщика услуг, но чтобы избежать ненужных споров в будущем, лучше сразу же включить в документ полный перечень таких ситуаций. Тщательно проанализируйте этот список и добейтесь удаления всех исключений, которые вы считаете необоснованными.
Требования к заказчику
Обычно поставщик услуги требует от заказчика предоставления всей необходимой информации о контактах, процедурах эскалации и окнах обслуживания для сети.
Часто эти требования касаются не только развернутых аппаратных и программных компонентов, но и сведений о персонале и даже о планах мероприятий по обслуживанию систем. Многие поставщики запрашивают также новейшие данные о топологии сети, гарантии надежной защиты оборудования и список аппаратных и программных средств, используемых для управления сетью. Некоторые из этих сведений используются для настройки правил безопасности, таких, как правила для брандмауэров и средств для выявления вторжений.
Подрядчики нередко требуют, чтобы заказчик предоставлял им контактную информацию об администраторах, которые будут вести с ними дела. Это необходимо для того, чтобы подрядчик мог удостовериться в полномочиях лиц, направляющих заявки на обслуживание, и обращаться напрямую к уполномоченным администраторам при возникновении чрезвычайных ситуаций. Полезно указать в соглашении, что поставщик услуг может принимать заявки на обслуживание только от конкретно уполномоченных администраторов.
Поставщик услуг, вероятно, предложит заказчику определить процедуру эскалации, которая будет использоваться при форс-мажорных обстоятельствах. В случае непредвиденной ситуации, будь то атака на систему защиты или выход из строя оборудования, подрядчик должен иметь доступ к ответственным за соответствующий участок администраторам. Если первое контактное лицо недоступно, нужно предусмотреть возможность связаться со вторым. Если же поставщик услуги не сможет связаться ни с тем, ни с другим, он может выполнить действие по умолчанию, например, закрыть сетевой порт. Возможно, что действие по умолчанию — не самое лучшее решение, поэтому очень полезно предусмотреть несколько страховочных вариантов.
На вас возлагается обязанность извещать поставщика услуг обо всех изменениях в списке уполномоченных администраторов или в разработанных вами процедурах эскалации. Поставщики услуг могут поставить вопрос о ряде других обязательств в дополнение к предоставлению информации. Часто поставщики настаивают на заблаговременном извещении (обычный срок — от 48 до 72 рабочих часов) о ваших работах, связанных с инфраструктурой, так как они могут сказаться на предпринятых подрядчиком мерах по обеспечению безопасности. Это необходимо, чтобы свести к минимуму количество ложных сигналов тревоги. В случаях, когда управляемая служба безопасности организуется вне хостингового центра поставщика, он может потребовать от заказчика предоставления защищенного удаленного доступа к оборудованию, установленному на узле заказчика. К примеру, для выполнения таких операций, как дистанционное применение политик для брандмауэров или для средств выявления вторжений, мониторинг состояния оборудования или диагностика проблем, связанных с предоставлением услуги, подрядчику может потребоваться доступ к оборудованию через виртуальную частную сеть.
Кроме того, в случаях сетевых отказов некоторым поставщикам услуг может потребоваться доступ к консоли оборудования заказчика. Последний должен быть готов предоставить подрядчику аналоговую телефонную линию, связанную с консолью оборудования. В этом случае обязанность предоставить все необходимые средства для доступа возлагается на подрядчика. В ряде случаев поставщик услуг может дополнительно затребовать у заказчика необходимые энергоресурсы, площади для установки монтажных стоек и каналы связи.
Во избежание конфликтов заказчику следует соблюдать все положения, приведенные в разделе требований соглашения об уровне обслуживания. Если вы не выполните хотя бы одно из них, поставщик услуг по безопасности вправе отказаться от возмещения убытков или от штрафных выплат за некачественно выполненную работу.
Изменения условий SLA
Время от времени поставщики услуг вносят в тексты своих стандартных соглашений об уровне обслуживания изменения. Некоторые подрядчики соблюдают ранее заключенные соглашения при возобновлении контракта заказчиком, другие осуществляют изменения немедленно, распространяя их на всех заказчиков. Позиция подрядчика по данному вопросу должна быть изложена в подписываемом вами контракте.
Подрядчик может внести в стандартное соглашение об уровне обслуживания изменения, касающиеся предусмотренного в контракте числа заявок на обслуживание, суммы ежемесячных выплат, аппаратных или программных средств, правил возмещения убытков. В тексте SLA поставщик услуг должен указать, каким образом он будет уведомлять вас о предстоящих изменениях этого соглашения. Некоторые подрядчики уделяют большое внимание своевременному информированию заказчиков о конкретных изменениях, иногда менеджеры по работе с корпоративными заказчиками готовы буквально пункт за пунктом разъяснять заказчику различия между старым и новым вариантами. Другие подрядчики ограничиваются отправкой по электронной почте сообщения о том, что в SLA внесены изменения, полагая, что заказчик сам разберется в сути дела.
Следить за изменениями в тексте SLA — ваша прямая обязанность. Время от времени задавайте поставщику услуги вопрос о наличии изменений в соглашении. Позаботьтесь о том, чтобы соответствующие сотрудники были в курсе вашей переписки с подрядчиком по этим проблемам.
Почти все поставщики услуг заблаговременно извещают заказчиков об изменениях в SLA, но время оповещения колеблется. Некоторые подрядчики направляют уведомления за одну-две недели до вступления изменений в силу, другие — за месяц. Настаивайте на том, чтобы этот срок составлял не менее 30 дней. В конце концов, трудно сказать, как изменения в документе SLA повлияют на функционирование вашей организации и будет ли сотрудничество с данным подрядчиком перспективным. Необходимо проанализировать весь документ, а «окна» в одну или две недели может не хватить для оценки новых условий.
Положение о пересмотре новых условий соглашения об уровне обслуживания должно быть обязательно включено в контракт, но следует иметь в виду, что почти все поставщики услуг будут выступать против права заказчика немедленно разорвать контракт, даже если в соглашение внесены существенные изменения. Обязательно проанализируйте, как будут действовать соответствующие положения в условиях вашей организации.
Джиан Жен — обладатель сертификатов CISM и CISSP. Является руководителем по управлению продуктами компании LogLogic. В отрасли средств информационной безопасности работает уже 10 лет. С ним можно связаться по адресу zhenjl@gmail.com или через его блог в Operational Intelligence.
Jian Zhen. SLA 102: The Service Summary. http://www.computerworld.com/securitytopics/ security/story/0,10801,109760,00.html