Аутсорсинг безопасности и безопасность аутсорсинга

Наталья Зосимовская
Ведущий специалист департамента маркетинга компании "Информзащита"

Александр Шахлевич
Ведущий специалист департамента маркетинга компании "Информзащита"

Тема аутсорсинга информационной безопасности продолжает который год оставаться одной из наиболее обсуждаемых на российском рынке ИБ, Но главный парадокс состоит в том, что востребованность такого рода сервисов российскими заказчиками пока что невысока, но тенденция к их развитию и росту очевидна.

Если посмотреть на популярность определенных сервисов аутсорсинга ИБ, то, по результатам исследования Forrester, наиболее популярными являются услуги удаленного управления межсетевыми экранами и контентная Web/e-mail-фильтрация. То же самое подтверждают результаты исследования компании Infonetics (рис. 1).

Причины, по которым компании используют сервисы аутсорсинга ИБ, со временем по большому счету не меняются. Как и раньше, к ним относятся: сокращение затрат на технологии безопасности, их менеджмент, найм и обучение сотрудников; возможность получения доступа к экспертизе аутсорсера; общее повышение уровня безопасности и в некоторых случаях достижение соответствия требованиям регуляторов.

Но при всей видимой выгоде от обозначенных услуг существует ряд обоснованных угроз и опасений клиентов. Одним из наиболее главных является опасение риска утечки информации ограниченного доступа, как касающейся самого проекта, так и получаемой в ходе осуществления работ.

Как с этим бороться?

Во-первых, естественно, необходимо закрепить ответственность путем подписания договора, соглашения о конфиденциальности и SLA. В соглашении о конфиденциальности традиционно отражаются обязательства сторон по неразглашению и обеспечению режима защиты конфиденциальной информации.  SLA представляет собой соглашение об уровне сервиса, в котором указываются все параметры сервиса, гарантии и ответственность сторон. Кроме того, следует осуществлять контроль действий сотрудников аутсорсера. Зачастую одним из параметров сервиса по аутсорсингу ИБ является предоставление доступа клиенту на специализированный Web-портал. На данном портале фиксируются не только все события и выявленные инциденты ИБ, но и все действия аутсорсера, совершаемые в их отношении. Если аутсорсер совершает какие-то действия в отношении средств защиты клиента, то он должен делать это только после подтверждения клиентом запланированных действий и в рамках оказываемого сервиса (это должно быть четко прописано в SLA). Ну и не стоит забывать о разграничении прав доступа и своевременном удалении ак-каунта аутсорсера (если такой заводился в сети).

Что касается безопасной передачи данных, то необходимо использовать технологию VPN, позволяющую передавать информацию в зашифрованном виде, тем самым повышая ее защищенность. Помимо этого клиент может попросить исполнителя представить информацию об используемых технологиях физической безопасности центра, в котором будут храниться и обрабатываться данные, полученные с его средств защиты (смарт-карты для контроля доступа в помещения; отдельная серверная; промышленный кондиционер; UPS для всех серверов и рабочих станций; современная система пожаротушения и т.д.). Также желательно прояснить вопрос о средствах и методах обеспечения информационной безопасности (МЭ; антивирус; разграничение доступа и т.п.).

Виртуализация: развитие и перспективы

Теперь хотелось бы остановиться непосредственно на развитии и распространении виртуализации, побуждающей все больше и больше компаний предлагать услуги аутсорсинга ИБ. Почему виртуализация становится все более популярной у сервис-провайдеров? Дело в том, что данные технологии предлагают экономичную, гибкую, масштабируемую и динамически развивающуюся платформу для предоставления услуг аутсорсинга. Двукратные темпы роста рынка виртуализации в последние годы и активизация всех крупных вендоров аппаратных платформ и программного обеспечения (в части разработки продуктов для виртуальных сред) показывают несомненную заинтересованность в технологии и ее востребованность.

Преимущества использования технологии виртуализации и   перспективы   расширения списка услуг, предлагаемых на ее основе, несомненны и уже очевидны большинству аут-сорсинговых компаний. Но, тем не менее, многие из них до поры до времени не обращают должного внимания на угрозы информационной безопасности, возникающие в виртуальных средах.

Угрозы виртуализации

Гибкость и обширные возможности систем виртуализации одновременно порождают многообразие новых угроз. Большинство проблем связано с появлением нового уровня операционного управления (ring-1) - гипервизора и, собственно, самого принципа работы технологий виртуализации. Необходимо обеспечить защиту гипервизоров, системы управления виртуальной инфраструктурой, систем хранения данных и самих серверов виртуализации, каналов репликации, организовать сегментирование сети на зоны (DMZ) с динамической поддержкой миграции виртуальных машин. К примеру, если нарушитель получает доступ к средству управления виртуальной инфраструктурой, проникновение в которые дает возможность получить доступ к гипервизорам серверов виртуализации, то фактически вся информационная система оказывается скомпрометирована. И это еще не полный список угроз.

Существуют разные причины, почему до сих пор защита виртуальных сред не так сильно занимает умы общественности: это новизна технологии и недостаточная ее изученность, слабая осведомленность компаний о новых угрозах и отсутствие формализованных требований со стороны регуляторов. Но времена, когда виртуализация будет использоваться повсеместно, - не за горами. Аут-сорсинговым компаниям уже сейчас нужно начинать думать о безопасности своих систем и предлагаемых услуг, ведь именно этот показатель является решающим для многих компаний при выборе поставщика.