Отдать нельзя оставить

Владимир Дрюков, эксперт Центра информационной безопасности компании «Инфосистемы Джет»

Тематика аутсорсинга ИБ является одной из самых неоднозначных на рынке услуг информационной безопасности. Одним из ключевых факторов существующих противоречий является отсутствие четких договоренностей и понимания, какие именно услуги стоит относить к аутсорсингу ИБ и что вообще вкладывать в этот термин. Специалисты сферы ИТ, как правило, оценивают роль подразделения ИБ очень узко и понимают под словами «аутсорсинг информационной безопасности» техническое сопровождение используемых в компании средств защиты, руководство крупных компаний, со своей стороны, под этим термином подразумевает гораздо более широкую задачу — обеспечение безопасности организации и бизнеса.

Целью нашей статьи является попытка классифицировать и систематизировать функции подразделения информационной безопасности, выделить основные подходы к их реализации и определить возможности передачи данных задач на аутсорсинг. Весь цикл обеспечения ИБ крупной компании можно условно разделить на 3 уровня:

  • Оперативный: включает в себя задачи сотрудников подразделения ИБ по прямому обеспечению информационной безопасности
  • Тактический: включает в себя задачи по контролю процесса обеспечения ИБ, ответственность за него лежит на руководителе подразделения ИБ
  • Стратегический: является задачей куратора информационной безопасности от руководства, на нем происходит определение общих целей и программы развития ИБ в компании

Указанное разделение и основные задачи вкратце приведены на рис. 1.


Рис. 1. Уровни обеспечения ИБ и соответствующие им задачи

При этом обсуждение вопросов аутсорсинга стоит начать с оперативного уровня как наиболее понятного и простого. Эти вопросы можно разделить на 2 области задач: технологические, основой реализации которых являются используемые в компании средства ИБ, и методологические, которые отталкиваются от нормативных требований и внутренних регламентов ИБ. Давайте рассмотрим каждую из областей подробнее.

Оперативный уровень — эксплуатация средств защиты или сервис безопасности

В рамках оперативных технологических функций отдела информационной безопасности можно выделить следующие основные задачи:

  • Обеспечение работоспособности систем ИБ компании. Несмотря на кажущуюся простоту, данная задача является одной из самых ресурсоемких в текущей жизни сотрудников ИБ. Количество систем информационной безопасности в компаниях с каждым годом растет и зачастую достигает двух десятков, сами системы одновременно с наращиванием своих функциональных возможностей становятся все более сложными в диагностике и ежедневном обслуживании.

    Передача этой задачи внешнему подрядчику уже давно воспринимается компаниями достаточно естественно. Все чаще в тендерных конкурсах на построение системы можно видеть требования к последующему сервисному обслуживанию, включающие в себя ответственность интегратора за доступность и работоспособность системы в течение 3–5 лет и явно обозначающие необходимость проактивного мониторинга и контроля ее состояния.

  • Администрирование системы ИБ, которое часто включает в себя не только типовые активности по управлению конфигурацией (запуск/остановка процессов, установка агентов, изменение системных параметров), но и содержательную с точки зрения информационной безопасности задачу по администрированию и созданию политик ИБ в рамках системы. Передача этих активностей внешнему подрядчику составляет большую сложность для компании, поскольку в случае online-системы интегратор осуществляет прямое управление доступом к тем или иным ресурсам, offline-системы — получает большой объем информации о реализации корпоративных политик ИБ и общем уровне защищенности компании. Передача этой чувствительной и конфиденциальной задачи возможна только при высоком уровне доверия к подрядчику.

  • Реализация процессов обеспечения безопасности, которые практически неотделимы от соответствующей технологической платформы (контроль защищенности, управление инцидентами ИБ или контроль утечек конфиденциальной информации) и для которых задачи по обеспечению работоспособности и администрированию являются вспомогательными. Их построение и реализация собственными силами требуют как существенных изменений в кадровой структуре подразделения ИБ, например, выделения круглосуточной дежурной смены, так и наличия достаточно специфических компетенций у сотрудников, напрямую задействованных в их функционировании. Поэтому привлечение крупного интегратора, обладающего требуемыми компетенциями и ресурсами и способного обеспечить надлежащий уровень конфиденциальности получаемой информации, выглядит логичным ходом в развитии уровня безопасности компании.

    Но эта задача, тем не менее, оставляет много вопросов как с точки зрения разграничения доступа к обрабатываемой информации, так и относительно эффективности применения внешних ресурсов для очень чувствительных к внутренним изменениям компании процессам. Например, при аутсорсинге управления инцидентами такие работы, как оценка влияния инцидента на бизнес-процессы, проверка применимости и согласование мер по противодействию ему, нетехническая сторона расследования, в том числе взаимодействие с внутренней службой безопасности и руководителями сотрудника, чаще всего практически невозможно отдать «на сторону». Сервис-провайдер, предоставляющий услугу, не в состоянии отслеживать и контролировать все внутренние структурные изменения в компании и обладать полной информацией о ее инфраструктуре и особенностях протекания бизнес-процессов, конечно, если он не оказывает услуг также и по их аутсорсингу. В связи с этим существует вероятность того, что противодействие инциденту информационной безопасности средней критичности негативно скажется на функционировании основных бизнес-процессов, что, безусловно, недопустимо. Поэтому вопрос о возможности передачи этих процессов на аутсорсинг требует детального исследования в каждом конкретном случае с учетом технической и организационной специфики их реализации.

Оперативный уровень — безопасность как сервис

В настоящее время можно часто наблюдать ситуацию, когда компании имеют острую необходимость в повышении собственного уровня безопасности за счет внедрения новых технологических платформ и построения сопутствующих им процессов, но не обладают возможностью совершать капитальные вложения в собственную инфраструктуру. Выходом из сложившейся проблемы может стать реализация процессов информационной безопасности на сервисной основе, когда программное обеспечение, лицензии, а зачастую и аппаратные средства предоставляются сервис-провайдером в аренду в формате ежемесячной/годовой подписки. Это направление аутсорсинговых услуг носит название MSS (Managed Security Services) и сейчас активно развивается на российском рынке как со стороны компаний-производителей, так и среди крупнейших системных интеграторов и телеком-операторов.

Какая часть технологических задач оперативного уровня при этом закрывается сервис-провайдером? Это напрямую зависит от того, какую задачу безопасности решает предоставляемая технологическая платформа.

  • В случае основных сервисов безопасности — межсетевые экраны, VPN, антиспам. Сервис-провайдер со своей стороны только гарантирует работоспособность платформы и зафиксированные в договоре метрики доступности. Но так как данные системы практически не отнимают времени ответственного сотрудника и не требуют специфических компетенций в области ИБ для своей эксплуатации, то большего объема услуг компании не требуется.
  • При работе с более кастомизированными сервисами — категориальная фильтрация трафика, контроль приложений, антивирусы. Нередко в базовый пакет услуг включены и работы по администрированию системы, чтобы сократить внутренние расходы компании на ИТ-персонал.
  • Если же речь идет о сервисах ИБ, осуществляющих технически сложные процессы, например, о SIEM- или DLP-решениях, зачастую сервис-провайдер готов также предоставлять услуги по частичной реализации сопутствующего системе процесса обеспечения безопасности — мониторинг и реагирование на выявленные утечки/инциденты ИБ.

Такой подход к предоставлению сервисов существенно повышает гибкость рынка услуг информационной безопасности — компания освобождается от риска капитальных вложений в систему, которая через достаточно короткое время не оправдает ее ожиданий. За разумную арендную стоимость она получает возможность детально оценить особенности технологической платформы и использовать опыт и компетенции крупных системных интеграторов в ежедневном процессе обеспечения своей безопасности.

Оперативный уровень — организационные мероприятия безопасности

Но при этом работа службы информационной безопасности не ограничивается эксплуатацией систем ИБ и включает в себя существенный объем организационных мероприятий. Перечислим основные из них:

  • ведение и актуализация политик ИБ и сопутствующих им должностных инструкций персонала;
  • внутренние аудиты информационной безопасности, направленные на обеспечение и контроль выполнения требований регуляторов, соблюдение внутренних корпоративных политик ИБ, поддержание актуальности существующей информации об их состоянии;
  • непосредственная работа с сотрудниками компании, включающая в себя инструктирование и обучение пользователей, внутренние аудиты подразделений для контроля осведомленности о корпоративных политиках безопасности и др.

Эти мероприятия также несут в себе существенную трудоемкость и требуют достаточно специфических квалификаций от сотрудников службы ИБ. При этом они должны учитывать постоянные изменения в законодательстве и предписаниях регулирующих органов, специфику работы различных подразделений и решаемых ими задач, новые угрозы и сценарии нарушения и обхода корпоративных политик. Поэтому резонно рассматривать передачу этих задач в руки внешней компании, специализирующейся на такой активности и использующей свои навыки, являющиеся аккумулированным опытом проведения аналогичных мероприятий в других организациях.

Отметим, что все описанные задачи могут функционировать в компании как в «условно непрерывном» режиме, когда эти работы являются частью ежедневной активности службы ИБ, так и выполняться на регулярной основе согласно заранее согласованному и спланированному графику. Можно ли во втором случае говорить об аутсорсинге? Да, если данные работы компания доверяет одному и тому же подрядчику на системной основе и не привлекает сторонние ресурсы для их реализации.

Тактический уровень — сопровождение процесса обеспечения ИБ

Все описанные выше задачи являются должностными обязанностями и ответственностью обычных сотрудников службы ИБ и связаны с поддержанием и внутренним совершенствованием текущего уровня защищенности. Но этих, безусловно, нужных мероприятий недостаточно для качественного роста и систематизации состояния информационной безопасности. Контроль общего процесса ИБ является задачей руководителя подразделения информационной безопасности и включает в себя в том числе:

  • анализ рисков ИБ и обоснование необходимых изменений в структуре обеспечения безопасности перед руководством компании;
  • развитие и совершенствование применяемых в компании средств защиты и систем ИБ, в том числе принятие решений о необходимости расширения их состава;
  • внутренний контроль службы ИБ и внешних подрядчиков, оказывающих подобные услуги;
  • проверка надежности применяемых в компании защитных мер для реализации нормативных и корпоративных требований по ИБ.

Аутсорсер может взять часть операций в перечисленных процессах на себя, например, если говорить об управлении рисками ИБ, он может обеспечивать инвентаризацию активов, определение их уязвимостей и связанных угроз, а также расчет уровня риска по имеющейся в компании методике. При этом аутсорсер без привлечения представителей заказчика (в частности, бизнес-подразделений и высшего руководства) не сможет определить ущерб от реализации тех или иных угроз, а также приемлемый уровень риска. Если говорить о внутреннем контроле безопасности, то партнер может выявить проблемы и несоответствия, дать рекомендации по устранению их причин, но конечное решение (в том числе связанное с выделением дополнительных ресурсов) должна принимать компания. В этом случае интегратор выступает в роли «рук» для сбора и агрегации информации по различным аспектам ИБ, а заказчик принимает окончательные решения по изменению процессов и мер обеспечения ИБ.

Стратегический уровень

За границей нашего рассмотрения остался последний, самый высокий и критичный уровень обеспечения безопасности. Безусловно, идея передачи всей непрофильной для компании активности по ИБ в надежные руки может выглядеть привлекательно и вызывать интерес у некоторых организаций. Но передача сопутствующей ответственности за принятие решений, бюджетирование и развитие информационной безопасности, включая продвижение этого направления в глазах высшего руководства, не выглядит оправданной мерой. При этом на текущий момент на российском рынке не существует компаний, готовых оказывать услуги подобного рода с полноценной финансовой и репутационной ответственностью за результаты своей работы. Поэтому говорить об аутсорсинге стратегического уровня информационной безопасности пока преждевременно.

Как можно видеть, вариативность услуг по аутсорсингу ИБ достаточно велика. Она позволяет как сократить прямые или сопутствующие расходы на персонал службы информационной безопасности, занимающийся технической эксплуатацией систем ИБ или организационными мероприятиями, так и получать экспертно-аналитические услуги по ежедневному сопровождению критичных процессов обеспечения безопасности или управлению ИБ. Главное — определить самые актуальные и сложные для компании задачи информационной безопасности и выбрать надежного сервис-провайдера.

Контактная информация

Наши сайты: www.jet.su, www.jetinfo.ru. Электронная почта: info@jet.su.

Другие статьи раздела «От ИБ к безопасности бизнеса»