Аутсорсинг ИБ: pro&contra

Аутсорсинг ИБ: pro&contra

Олег Кириллов, генеральный директор ООО "ЭКОН Технологии"

ОСНОВНОЙ задачей для руководителей малого бизнеса, с точки зрения ИБ, является правильная оценка рисков, оптимизирующая расходы на ИТ-безо-пасность и не превращающая этот процесс в самоцель или разорительную кампанию. Для таких предприятий единственно эффективным и относительно недорогим мероприятием, которое помогает также и в снижении налогового бремени за счет увеличения расходной части бюджета компании, является аутсорсинг безопасности.

Проблемы доверия к сторонней организации

Опираясь на реалии российского рынка, можно сказать, что вопрос доверия к аутсорсинговой организации сильно зависит от того, насколько прозрачной является деятельность предприятия. В настоящее время аутсорсинг бухгалтерии, о котором несколько лет назад нельзя было мечтать, не является выдающимся событием. Более того, риски, связанные с неправильным ведением бухгалтерской отчетности, ложатся на компанию, обеспечивающую ее аутсорсинг. Тот же подход можно применить и для ИТ-безопасности.

У некоторых заказчиков появляются опасения по поводу специалистов, которых проверяла служба безопасности сторонней компании. Это действительно достаточно серьезная проблема. Даже при наличии договора между компаниями нельзя исключать человеческий фактор.

Как показывает практика и жизненный опыт, уровень доверия к компании обычно определяется уровнем доверия к отдельным, ключевым сотрудникам аутсорсинговой компании. Чаще всего им предоставляется повышенный уровень доступа, в отличие от обычных сотрудников аутсорсинговой фирмы. Ключевые сотрудники обычно являются ведущими специалистами, поэтому уровень доверия к компании напрямую определяется их количеством. Их недостаток приводит к тому, что часто заказчик меняет подрядчика в случае перехода таких сотрудников в другую организацию.

Однако аутсорсинг ИБ нельзя целиком и полностью отдавать внешней компании. Профиль безопасности предприятия должен определять специально выделенный для этой цели сотрудник отдела ИБ или сторонняя компания, которая может за счет проводимого обследования собрать информацию о состоянии ИТ, обобщить ее и подготовить консолидированный отчет по полученным данным. Такой документ не является догмой и призван лишь помочь "собственно бизнесу" определить наиболее критичные для него участки информации и постараться устранить возможные последствия их потери, утечки или искажения. Именно поэтому наличие подписи топ-менеджера (со стороны бизнеса) на таком документе облегчит согласование бюджета И Б руководителю указанного направления.

Следовательно, необходим достаточно разумный и сбалансированный подход в ограничении области применения сотрудников одной компании. Другими словами, обслуживанием средств физического доступа и видеонаблюдения должна заниматься одна компания, обслуживанием средств антивирусной защиты - другая, межсетевыми экранами - третья и т.д. Также необходимо помнить, что применение технических средств только одного производителя, с одной стороны, увеличивает риск осуществления угрозы безопасности, с другой - упрощает управление и контроль. Использование средств от разных производителей усложняет управление ими и требует дополнительного персонала.

Никакой головной боли

На первый взгляд кажется, что оперативность собственных сотрудников выше, чем специалистов сторонней организации. На самом деле при наличии специальных соглашений об уровне сервиса (SLA) сторонняя организация несет финансовую и репута-ционную ответственность. Более того, оперативность реагирования на угрозы является головной болью руководства компании-аутсорсе-ра, которая несет в этом случае основную моральную, а иногда и юридическую и финансовую ответственность.

Что же касается стоимости услуг, то на нее влияет множество побочных факторов. Например, уровень обслуживания (SLA), мера ответственности, места размещения сотрудников (на собственной территории или на территории заказчика), наличие соцпакета, риски в случае возникновения угрозы, уровень прозрачности предприятия. Чаще всего, стоимость услуг внешней компании оказывается не намного дешевле, чем услуги собственных сотрудников, но удобство управления, возможность использования дополнительных ресурсов, перераспределение задач оказываются существенным фактором для руководителей ИТ при принятии решения о привлечении аутсорсинговой компании. У большинства предприятий не хватает финансовой возможности или политической воли для содержания двух служб ИТ -службы развития и службы эксплуатации. Чаще всего такие функции выполняют одни и те же сотрудники. Поэтому для целого ряда предприятий наличие договора аутсорсинга позволяет сэкономить реальные и достаточно большие средства на проектирование систем ИБ за счет использования труда собственных сотрудников, функции которых по обслуживанию установленных систем на данном отрезке времени выполняет аутсорсинговая компания.

Препятствия для развития аутсорсинга

Основным препятствием для развития аутсорсинга являются согласование уровня и меры финансовой ответственности компании-аутсор-сера перед заказчиком в случае осуществления угрозы ИБ. От указанных условий напрямую зависит и цена предоставляемых услуг. Не секрет, что в подавляющем большинстве случаев утечка информации происходит по вине собственных сотрудников, которые не могут и не должны подчиняться персоналу компании-аутсорсера.

Поэтому при проектировании системы ИТ-безопасности обязательно должен быть проведен комплекс технических и организационных мероприятий. К ним относятся: регулярные аттестации сотрудников, их обучение основам И Б, обязательное юридическое закрепление ответственности (подписка о неразглашении и соблюдении правил безопасности), своевременное резервирование критичных данных, регулярная модернизация оборудования, наличие постоянных обновлений ПО, обязательное проведение регламентов и т.п. Подобные мероприятия зачастую являются более эффективными и дешевыми по сравнению с применением различных технических средств ИТ-безопасности, однако отсутствие указанных технических средств резко увеличивает риск потери информации за счет непреднамеренных (ошибочных) действий или осуществления внешних угроз.