Разумный аутсорсинг информационной безопасности
Экспертный комментарий Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."
Что из ИБ стоит отдать внешним поставщикам и как выстроить отношения с ними, чтобы за разумные деньги добиться от них необходимой поддержки в обеспечении ИБ?
Далеко не все организации могут собрать в своём штате достаточное число высокопрофессиональных специалистов в области ИБ, а потому приходится либо ограничиваться тем уровнем ИБ, который можно обеспечить собственными силами, либо обратиться к внешним поставщикам. Впрочем, даже тем организациям, которые могут позволить себе серьёзную команду специалистов ИБ, приходится иногда прибегать к точечному аутсорсингу.
Владимир Дрюков, руководитель направления аутсорсинга ИБ центра информационной безопасности компании "Инфосистемы Джет", рекомендует различать два основных типа аутсорсинговых услуг ИБ. Первый — когда существующие задачи и работы, а также ответственность за их выполнение передаются из внутреннего подразделения внешнему подрядчику. Второй — когда, используя аутсорсинг, компания рассчитывает серьёзно повысить уровень безопасности или получить качественно новые возможности. В первом случае к аутсорсингу обращаются из-за ограниченности человеческих ресурсов. Во втором, как правило, компании оценивают в первую очередь скорость запуска сервиса ИБ и его долговременную стоимость.
"Аутсорсинг актуален, например, когда требуется круглосуточное функционирование подсистем ИБ и оперативное реагирование на инциденты в режиме 24/7, а также в условиях территориальной распределённости, — рассказывает Сергей Лышенко, руководитель отдела специальных проектов и технической защиты информации центра разработок компании "Аквариус". — Стандартной практикой стала передача на аутсорсинг процессов ИБ, требующих рутинных операций, круглосуточного мониторинга, оперативной реакции, а также высокой квалификации персонала: антивирусная защита, обслуживание периметровых средств защиты, обнаружение и предотвращение кибератак, управление криптографическими системами (VPN, PKI), сбор и анализ событий информационной безопасности. На наш взгляд, это применимо в первую очередь для компаний, размещающих свои данные на внешних ресурсах, например в ЦОД".
По мнению Евгения Чугунова, директора по работе с корпоративными заказчиками, эксперта направления информационной безопасности компании "Крок", аутсорсинг ИБ можно применять, если сама архитектура системы защиты предполагает возможность передачи части функций ИБ сторонней организации. Кроме того, должны работать механизмы, которые минимизируют возможные угрозы, исходящие от сотрудников аутсорсинговой организации. Какие именно функции и процессы ИБ можно отдать на сторону, зависит от специфики деятельности конкретной организации, защищаемой информации, ИТ-архитектуры, а также актуальных угроз ИБ и особенностей системы защиты.
Диаграмма |
Сергей Котов, эксперт по информационной безопасности компании "Аладдин Р.Д.", считает, что, помимо уже упомянутых случаев, аутсорсинг ИБ следует использовать в следующих ситуациях: если необходимо получить объективную оценку (различные виды тестирования на соответствие требованиям, стандартам, на устойчивость и проникновение и т. п.); если экономическая эффективность посчитана и аутсорсинг будет заметно выгоднее; для решения разовых или редко возникающих проблем; если требуется решить определённый круг задач за ограниченное время.
"Хочу добавить, что в нашей практике были случаи, когда компания, первоначально планировавшая аутсорсинг части функций ИБ, отказывалась от этого, вкладывая большие ресурсы на этапе интеграции подсистемы ИБ и получая более детально проработанные регламенты и инструкции по обслуживанию компонентов подсистемы ИБ, что сокращало совокупную стоимость её владения", — отмечает Лышенко.
Оставить за рамками
Есть ли функции ИБ, которые не следует передавать на аутсорсинг? По наблюдениям Чугунова, как правило, не передаются внешним подрядчикам сервисы ИБ, критичные для бизнеса организации. "Всё зависит от угроз, с которыми сталкивается организация, — поясняет Чугунов. — Если она полностью доверяет аутсорсинговой компании, можно передать ей все функции ИБ".
Котов считает, что в принципе можно отдавать на аутсорсинг любые функции ИБ, но "при здравом размышлении". Следует помнить, что решение оперативных задач при передаче их на аутсорсинг может замедлиться, и если такие задачи возникают часто, то их лучше оставить на попечение штатных специалистов. Кроме того, в условиях аутсорсинга отчётность может оказаться более "формальной". Уменьшить такую "формализацию" можно, оставив часть функций внутри компании. Наконец, может пострадать гибкость реагирования на происходящие изменения в структуре ИТ (или в структуре управления компанией, так же как в ряде других случаев, плохо формализуемых контрактами). Таким организациям лучше использовать аутсорсинг отдельных задач или направлений.
"Не следует отдавать на аутсорсинг процессы, напрямую затрагивающие обеспечение защиты конфиденциальной информации, — в частности, процессы разграничения прав доступа сотрудников к защищаемой информации, предотвращения утечек информации, а также управление системой ИБ в целом, — считает Лышенко. — Необходимо учитывать все возможные риски и фиксировать их в соглашении SLA с компанией, предоставляющей соответствующие услуги".
Можно сформулировать и более общие ограничения. Дрюков, в частности, выделяет три "нельзя" аутсорсинга: нельзя передавать задачу без метрик и без чёткого результата; задачу, размер которой не соответствует размеру бизнеса аутсорсера; решения о "принятии" рисков.
Оценка эффективности
Как можно оценить эффективность аутсорсинга ИБ? Эксперты в целом считают, что это сложно. "Формально аутсорсинг ИБ можно оценивать по количеству выявленных инцидентов, времени реагирования и восстановления бизнес-процессов, разнице между количеством осуществленных и отражённых атак. Но эти критерии не всегда отражают уровень защищённости и эффективность предоставления услуг ИБ, — замечает Чугунов. — Важно также контролировать и сопоставлять ежемесячную статистику по перечисленным характеристикам и учитывать типы инцидентов, которые могут являться как следствием типовых угроз (например, проникновение известного вируса), так и результатом уникальных точечных атак".
Котов рекомендует обращать внимание в первую очередь на экономическую эффективность аутсорсинга. Также следует учитывать мнение госрегуляторов. Если необходимо, можно нанять независимого оценщика. Главным же критерием является то, насколько руководство компании удовлетворено состоянием дел в области ИБ.
Дрюков считает, что, поскольку услуги ИБ гораздо сложнее привести к итоговым метрикам и измеримым параметрам, уровень контакта и взаимодействия между компанией и аутсорсером должен быть более тесным и более доверительным: "Важно понимать, что никакой SLA не закроет всех "серых" зон ответственности, поэтому первым показателем измеримости в аутсорсинге ИБ становится удовлетворённость заказчика качеством и результатами оказываемых ему услуг". Что касается финансовой эффективности аутсорсинга, то, по мнению Дрюкова, её необходимо оценивать комплексно: "Прежде всего необходимо учитывать сроки, на которые процесс передается на аутсорсинг. Как правило, в долгосрочной перспективе аутсорсинг дороже, но зато компания в периоды "дешёвого" аутсорсинга может направить освободившиеся ресурсы на развитие как ИТ, так и ИБ".
Ну и конечно, чтобы аутсорсинг ИБ оказался эффективным, им необходимо уметь управлять. Нужны специалисты, которые, с одной стороны, умеют выстраивать и развивать нужные отношения с поставщиками услуг ИБ, с другой — знают особенности своей компании и её потребности в услугах ИБ. Поэтому одними из первых шагов после принятия решения об аутсорсинге ИБ должны стать поиск кандидатов на работу в службу заказчика услуг ИБ и обучение их премудростям управления подрядчиками.