Аутсорсинг ИБ: взгляд внутрь

Аутсорсинг ИБ: взгляд внутрь
Рынок Аутсорс-услуг сегодня активно закрепился в бизнес-среде отечественных и зарубежных компаний. Услугами аутсорса пользуются не только маленькие фирмы, но и компании среднего размера, крупные поставщики и заказчики.  Ни кого уже не удивишь деятельностью отданной на аутсорсинг: бухгалтерские услуги, юридическое сопровождение, логистика, администрирование ИТ-инфраструктуры. Пришел черед  и услуг информационной безопасности, которые  тоже стали представляться как сервис. В сегодняшней статье, мы постараемся заглянуть вглубь понятия "Аутсорсинг", рассмотреть специфику в свете ИБ и конечно обсудить щепетильный вопрос - "безопасно"ли передавать безопасность?

Довольно часто далеко не все компании, не столь важно малые или среднего размера, могут собрать в своём штате достаточное число высококвалифицированных специалистов в области ИБ, а потому и приходится либо ограничиваться тем уровнем ИБ, который можно обеспечить собственными силами, либо обратиться к внешним поставщикам. Стоит отметить,что, даже тем организациям, которые могут позволить себе серьёзную команду специалистов ИБ, все таки  иногда приходится прибегать к точечному аутсорсингу.

Аутсо́рсинг (от англ. outsourcing: (outer-source-using) использование внешнего источника/ресурса) — передача организацией, на основании договора, определённых бизнес-процессов или производственных функций на обслуживание другой компании, специализирующейся в соответствующей области.

В отличие от услуг сервиса и поддержки, имеющих разовый, эпизодический, случайный характер и ограниченных началом и концом, на аутсорсинг передаются обычно функции по профессиональной поддержке бесперебойной работоспособности отдельных систем и инфраструктуры на основе длительного контракта (не менее 1 года). Наличие бизнес-процесса является отличительной чертой аутсорсинга от различных других форм оказания услуг и абонентского обслуживания. Базовое преимущество аутсорсинга для деятельности организации состоит в том, что аутсорсинг оптимизирует эту деятельность за счет того, что позволяет сосредоточить функционирование на основном, первостепенном направлении. За счет такой практической ценности аутсорсинг быстро и успешно прижился в бизнес-сфере как технология, помогающая решить проблему сокращения скрытых издержек, увеличения адаптации к меняющимся условиям внешней среды, улучшения качества выпускаемой продукции и услуг, квалифицированного управления рисками.

На Западе уже давно существуют компании, специализирующиеся только на предоставлении услуг по аутсорсингу ИБ. Такие компании называются Managed Security Service Providers (MSSP) и предоставляют услуги аутсорсинга всех фундаментальных подсистем ИБ, например:
  • управление межсетевыми экранами;
  • управление системами обнаружения и предотвращения вторжений (IPS/IDS);
  • управление системами защиты от DDoS;
  • управление системами контентной фильтрации электронной почты и веб-трафика;
  • анализ уязвимостей и тестирование системы (включая проведение тестов на проникновение);
  • управление антивирусными системами;
  • управление системами система сбора и обработки информации об инцидентах (SIEM);
  • управление системами аутентификации и авторизации; управление криптографическими системами, включая построение виртуальных частных сетей (VPN) и инфраструктуры открытых ключей (PKI).
Обязательно необходимо помнить, что сервис-провайдер управляет инфраструктурой ИБ, ее сегментами или некоторыми процессами системы управления ИБ, но не несет ответственности за разработку корпоративной политики ИБ или требований к системе ИБ, хотя обязан им следовать.
В частности при использовании аутсорсинга ИБ рекомендуется придерживаться следующих правил:
  • Нельзя передавать на аутсорсинг задачу без метрик результативности и без понимания четкого результата.
  • Нельзя передавать на аутсорсинг задачу, размер которой не соответствует размеру бизнеса сервис-провайдера.
  • Нельзя передавать сервис-провайдеру функцию «принятия рисков». При выполнении этих трех условий проекты по аутсорсингу информационной безопасности не должны вызвать проблем на стороне клиента.
В сфере ИБ-аустсориснга существуют два варианта реализации:
  • Первый — когда существующие задачи и работы, а также ответственность за их выполнение передаются из внутреннего подразделения внешнему подрядчику.
  • Второй — когда, используя аутсорсинг, компания-заказчик рассчитывает серьёзно повысить уровень безопасности или получить качественно новые возможности.
В первом случае к аутсорсингу обращаются из-за ограниченности человеческих ресурсов. Во втором, как правило, компании оценивают в первую очередь скорость запуска сервиса ИБ и его долговременную стоимость.

Аутсорсинг актуален, например, когда требуется круглосуточное функционирование подсистем ИБ и оперативное реагирование на инциденты в режиме 24/7, а также в условиях территориальной распределённости, — рассказывает Сергей Лышенко, руководитель отдела специальных проектов и технической защиты информации центра разработок компании "Аквариус". — Стандартной практикой стала передача на аутсорсинг процессов ИБ, требующих рутинных операций, круглосуточного мониторинга, оперативной реакции, а также высокой квалификации персонала: антивирусная защита, обслуживание периметровых средств защиты, обнаружение и предотвращение кибер­атак, управление криптографическими системами (VPN, PKI), сбор и анализ событий информационной безопасности. На наш взгляд, это применимо в первую очередь для компаний, размещающих свои данные на внешних ресурсах, например в ЦОД".

Сергей Котов, эксперт по информационной безопасности компании "Аладдин Р.Д.", так же считает, что, помимо уже упомянутых случаев, аутсорсинг ИБ следует использовать в следующих ситуациях:
  • если необходимо получить объективную оценку (различные виды тестирования на соответствие требованиям, стандартам, на устойчивость и проникновение и т. п.);
  • если экономическая эффективность посчитана и аутсорсинг будет заметно выгоднее; для решения разовых или редко возникающих проблем;
  • если требуется решить определённый круг задач за ограниченное время.
"Хочу добавить, что в нашей практике были случаи, когда компания, первоначально планировавшая аутсорсинг части функций ИБ, отказывалась от этого, вкладывая большие ресурсы на этапе интеграции подсистемы ИБ и получая более детально проработанные регламенты и инструкции по обслуживанию компонентов подсистемы ИБ, что сокращало совокупную стоимость её владения", — отмечает Лышенко.

Так же стоит отметить варианты ИБ-аутсориснга, а именно, первый вариант - полный аутсорс всей системы ИБ, и, второй - аутсорс отдельных бизнес-процессов.



Взаимосвязь ИТ- и ИБ-аутсорсинг в наши дни
Услуги, которые предоставляются сегодня аутсорсинговыми компаниями, включают и разработку на заказ какого-либо программного обеспечения, и обеспечение деятельности ИТ-инфраструктуры компании. Если заказывать ПО для собственных нужд могут позволить себе только лишь действительно большие, имеющие серьезный доход компании, то вот второй вариант ИТ-аутсорсинга сегодня с успехом используют предприятия любой величины.
Сегодня тенденции развития сферы ИТ приводят к тому, что в этой сфере отчётливо формируется отдельная ниша – обеспечение информационной безопасности организаций. Из-за очень широкого применения информационных технологий, а также все большей, постоянно возрастающей важности данных в работе и коммерческих, и государственных компаний, обеспечение информационной безопасности также является всё более важным аспектом их работы. Во многих компаниях в наше время работают специальные отделы информационной безопасности, которые обеспечивают защиту корпоративных данных от самых разных угроз, как из-за пределов компании, так и существующих в ней самой.
Вместе с ростом стоимости обеспечения информационной безопасности сегодня все чаще возникает вопрос о том, каким образом можно сэкономить на этой статье расходов. Аутсорсинг видится в данном случае одним из самых вероятных путей для решения проблемы.

Аутсорсинг и консалтинг в  свете ИБ
Необходимо отделять аутсорсинг информационной безопасности от консалтинга ИБ в данной области. Хотя справедливости ради нужно уточнить, что очень часто сами компании, которые предоставляют аутсорсинговые и консалтинговые услуги, путают эти термины.

Консалтинг (англ. consulting — консультирование) — это вид профессиональных услуг (обычно это услуги платные), которые предоставляются корпоративным клиентам, интересующимся оптимизацией собственного бизнеса.
К консалтингу обычно определяют разработку различных советов и требований, которые относятся к поддержке информационной безопасности организации на должном уровне. Типичные примеры тех работ, которые выполняют консалтинговые компании, специализирующиеся на ИБ, включают:
  • Экономический анализ системы ИБ;
  • Разработку методики для качественного анализа защищенности организации;
  • Разработку советов по защите информсистемы;
  • Разработку требований к системе для защиты информации, которые отвечают особенностям организации;
  • Разработку технического задания для создания системы обеспечения информбезопасности;
  • Составление обзора ПО для обеспечения информбезопасности по ранее заданным критериям;
  • Разработку требований в плане квалификации сотрудников отдела информационной безопасности
  • Разработку нормативных актов и политики для обеспечения информбезопасности.
Консалтинг в области безопасности данных, само собой, также можно назвать довольно важным компонентом для создания надёжной защиты данных организации, он помогает оптимизировать расходы в этой графе бюджета компании. Но все-таки, консалтинг и аутсорсинг – разные вещи, которые органично дополняют друг друга. Тема консалтинга в области ИБ, конечно, достойна отдельного рассмотрения, но за рамки этой статьи она все же выходит.

Аутсорсинг безопасность консалтинг Managed Security Service Providers MSSP outsourcing consulting
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события