Аутсорсинг ИБ: взгляд внутрь

Рынок Аутсорс-услуг сегодня активно закрепился в бизнес-среде отечественных и зарубежных компаний. Услугами аутсорса пользуются не только маленькие фирмы, но и компании среднего размера, крупные поставщики и заказчики.  Ни кого уже не удивишь деятельностью отданной на аутсорсинг: бухгалтерские услуги, юридическое сопровождение, логистика, администрирование ИТ-инфраструктуры. Пришел черед  и услуг информационной безопасности, которые  тоже стали представляться как сервис. В сегодняшней статье, мы постараемся заглянуть вглубь понятия "Аутсорсинг", рассмотреть специфику в свете ИБ и конечно обсудить щепетильный вопрос - "безопасно"ли передавать безопасность?

Довольно часто далеко не все компании, не столь важно малые или среднего размера, могут собрать в своём штате достаточное число высококвалифицированных специалистов в области ИБ, а потому и приходится либо ограничиваться тем уровнем ИБ, который можно обеспечить собственными силами, либо обратиться к внешним поставщикам. Стоит отметить,что, даже тем организациям, которые могут позволить себе серьёзную команду специалистов ИБ, все таки  иногда приходится прибегать к точечному аутсорсингу.

Аутсо́рсинг (от англ. outsourcing: (outer-source-using) использование внешнего источника/ресурса) — передача организацией, на основании договора, определённых бизнес-процессов или производственных функций на обслуживание другой компании, специализирующейся в соответствующей области. 

В отличие от услуг сервиса и поддержки, имеющих разовый, эпизодический, случайный характер и ограниченных началом и концом, на аутсорсинг передаются обычно функции по профессиональной поддержке бесперебойной работоспособности отдельных систем и инфраструктуры на основе длительного контракта (не менее 1 года). Наличие бизнес-процесса является отличительной чертой аутсорсинга от различных других форм оказания услуг и абонентского обслуживания. Базовое преимущество аутсорсинга для деятельности организации состоит в том, что аутсорсинг оптимизирует эту деятельность за счет того, что позволяет сосредоточить функционирование на основном, первостепенном направлении. За счет такой практической ценности аутсорсинг быстро и успешно прижился в бизнес-сфере как технология, помогающая решить проблему сокращения скрытых издержек, увеличения адаптации к меняющимся условиям внешней среды, улучшения качества выпускаемой продукции и услуг, квалифицированного управления рисками. 

На Западе уже давно существуют компании, специализирующиеся только на предоставлении услуг по аутсорсингу ИБ. Такие компании называются Managed Security Service Providers (MSSP) и предоставляют услуги аутсорсинга всех фундаментальных подсистем ИБ, например: 

• управление межсетевыми экранами; 
• управление системами обнаружения и предотвращения вторжений (IPS/IDS); 
• управление системами защиты от DDoS; 
• управление системами контентной фильтрации электронной почты и веб-трафика; 
• анализ уязвимостей и тестирование системы (включая проведение тестов на проникновение); 
• управление антивирусными системами; 
• управление системами система сбора и обработки информации об инцидентах (SIEM); 
• управление системами аутентификации и авторизации; управление криптографическими системами, включая построение виртуальных частных сетей (VPN) и инфраструктуры открытых ключей (PKI). 

Обязательно необходимо помнить, что сервис-провайдер управляет инфраструктурой ИБ, ее сегментами или некоторыми процессами системы управления ИБ, но не несет ответственности за разработку корпоративной политики ИБ или требований к системе ИБ, хотя обязан им следовать. 
В частности при использовании аутсорсинга ИБ рекомендуется придерживаться следующих правил: 

• Нельзя передавать на аутсорсинг задачу без метрик результативности и без понимания четкого результата. 
• Нельзя передавать на аутсорсинг задачу, размер которой не соответствует размеру бизнеса сервис-провайдера. 
• Нельзя передавать сервис-провайдеру функцию «принятия рисков». При выполнении этих трех условий проекты по аутсорсингу информационной безопасности не должны вызвать проблем на стороне клиента.

В сфере ИБ-аустсориснга существуют два варианта реализации:

• Первый — когда существующие задачи и работы, а также ответственность за их выполнение передаются из внутреннего подразделения внешнему подрядчику.
• Второй — когда, используя аутсорсинг, компания-заказчик рассчитывает серьёзно повысить уровень безопасности или получить качественно новые возможности. 

В первом случае к аутсорсингу обращаются из-за ограниченности человеческих ресурсов. Во втором, как правило, компании оценивают в первую очередь скорость запуска сервиса ИБ и его долговременную стоимость.

Аутсорсинг актуален, например, когда требуется круглосуточное функционирование подсистем ИБ и оперативное реагирование на инциденты в режиме 24/7, а также в условиях территориальной распределённости, — рассказывает Сергей Лышенко, руководитель отдела специальных проектов и технической защиты информации центра разработок компании "Аквариус". — Стандартной практикой стала передача на аутсорсинг процессов ИБ, требующих рутинных операций, круглосуточного мониторинга, оперативной реакции, а также высокой квалификации персонала: антивирусная защита, обслуживание периметровых средств защиты, обнаружение и предотвращение кибер­атак, управление криптографическими системами (VPN, PKI), сбор и анализ событий информационной безопасности. На наш взгляд, это применимо в первую очередь для компаний, размещающих свои данные на внешних ресурсах, например в ЦОД".

Сергей Котов, эксперт по информационной безопасности компании "Аладдин Р.Д.", так же считает, что, помимо уже упомянутых случаев, аутсорсинг ИБ следует использовать в следующих ситуациях: 

• если необходимо получить объективную оценку (различные виды тестирования на соответствие требованиям, стандартам, на устойчивость и проникновение и т. п.); 
• если экономическая эффективность посчитана и аутсорсинг будет заметно выгоднее; для решения разовых или редко возникающих проблем; 
• если требуется решить определённый круг задач за ограниченное время.

"Хочу добавить, что в нашей практике были случаи, когда компания, первоначально планировавшая аутсорсинг части функций ИБ, отказывалась от этого, вкладывая большие ресурсы на этапе интеграции подсистемы ИБ и получая более детально проработанные регламенты и инструкции по обслуживанию компонентов подсистемы ИБ, что сокращало совокупную стоимость её владения", — отмечает Лышенко.

Так же стоит отметить варианты ИБ-аутсориснга, а именно, первый вариант - полный аутсор всей системы ИБ, и, второй - аутсорс отдельных бизнес-процессов.

Взаимосвязь ИТ- и ИБ-аутсорсинг в наши дни

Услуги, которые предоставляются сегодня аутсорсинговыми компаниями, включают и разработку на заказ какого-либо программного обеспечения, и обеспечение деятельности ИТ-инфраструктуры компании. Если заказывать ПО для собственных нужд могут позволить себе только лишь действительно большие, имеющие серьезный доход компании, то вот второй вариант ИТ-аутсорсинга сегодня с успехом используют предприятия любой величины.

Сегодня тенденции развития сферы ИТ приводят к тому, что в этой сфере отчётливо формируется отдельная ниша – обеспечение информбезопасности организаций. Из-за очень широкого применения информационных технологий, а также все большей, постоянно возрастающей важности данных в работе и коммерческих, и государственных компаний, обеспечение информбезопасности также является всё более важным аспектом их работы. Во многих компаниях в наше время работают специальные отделы информбезопасности, которые обеспечивают защиту корпоративных данных от самых разных угроз, как из-за пределов компании, так и существующих в ней самой.

Вместе с ростом стоимости обеспечения информбезопасности сегодня все чаще возникает вопрос о том, каким образом можно сэкономить на этой статье расходов. Аутсорсинг видится в данном случае одним из самых вероятных путей для решения проблемы.

Аутсорсинг и консалтинг в  свете ИБ

Необходимо отделять аутсорсинг информационной безопасности от консалтинга ИБ в данной области. Хотя справедливости ради нужно уточнить, что очень часто сами компании, которые предоставляют аутсорсинговые и консалтинговые услуги, путают эти термины.

Консалтинг (англ. consulting — консультирование) — это вид профессиональных услуг (обычно это услуги платные), которые предоставляются корпоративным клиентам, интересующимся оптимизацией собственного бизнеса.

К консалтингу обычно определяют разработку различных советов и требований, которые относятся к поддержке информационной безопасности организации на должном уровне. Типичные примеры тех работ, которые выполняют консалтинговые компании, специализирующиеся на ИБ, включают:

• Экономический анализ системы ИБ;
• Разработку методики для качественного анализа защищенности организации;
• Разработку советов по защите информсистемы;
• Разработку требований к системе для защиты информации, которые отвечают особенностям организации;
• Разработку технического задания для создания системы обеспечения информбезопасности;
• Составление обзора ПО для обеспечения информбезопасности по ранее заданным критериям;
• Разработку требований в плане квалификации сотрудников отдела информационной безопасности
• Разработку нормативных актов и политики для обеспечения информбезопасности.

Консалтинг в области безопасности данных, само собой, также можно назвать довольно важным компонентом для создания надёжной защиты данных организации, он помогает оптимизировать расходы в этой графе бюджета компании. Но все-таки, консалтинг и аутсорсинг – разные вещи, которые органично дополняют друг друга. Тема консалтинга в области ИБ, конечно, достойна отдельного рассмотрения, но за рамки этой статьи она все же выходит.

И на последок, небольшая презентация по рынку ИБ-аутсорс услуг в России