Контакты
Подписка
МЕНЮ
Контакты
Подписка

Сервисы аутсорсинга ИБ

Сервисы аутсорсинга ИБ

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Сервисы аутсорсинга ИБ

Михаил Левашов, начальник отдела методологии и аудита финансовой корпорации "ОТКРЫТИЕ"

Константин Чигирев, генеральный директор ООО "Инфосекьюрити Сервис"

ОПТИМИЗИРУЯ СВОИ затраты (особенно в период кризиса), бизнес добивается максимальной "прозрачности" доходов, расходов и других своих показателей. Этот тезис относится и к той части бизнеса, которая обеспечивает управление его информационной безопасностью. Существуют разные методы оценки стоимости услуг обеспечения ИБ. Эти методы действуют при решении вопросов ИБ в разных организационных условиях.

Подразделение ИБ внутри компании

Первый, наиболее распространенный вариант – нахождение подразделения ИБ внутри компании. В этом случае расходы на ИБ, рассчитанные разными способами, будут давать разные результаты, иногда весьма далекие от истинных затрат. Обычно в подобные подсчеты включена зарплата работников подразделения ИБ, траты на специализированное программное обеспечение и его поддержку, стоимость используемого "железа" и его поддержка. Затем эти суммы "размазываются" различными способами по тем продуктам/услугам бизнеса, которые приносят ему прибыль. Варианты этого "размазывания" могут быть разнообразны и зависят от конкретных работ по обеспечению ИБ.

В качестве примеров подойдут:

  • количество зарегистрированных (произведенных) крип-тоключей;
  • количество найденных и элиминированных вредоносных программ;
  • количество отраженных DDOS и других интернет-атак и т.д.

При таком подходе, как правило, не учитываются затраты на аренду занимаемых подразделением ИБ помещений, на поддержку и управление сетевой инфраструктурой, на бухгалтерское, хозяйственное и другое обслуживание. Поэтому подобная оценка стоимости услуг обеспечения ИБ весьма приблизительна и не дает бизнесу ответа на главные вопросы – о стоимости и эффективности деятельности в рассматриваемой области. Всегда остается неопределенность как в оценке всех затрат на ИБ, так и в вопросах оптимизации этих затрат.

Аутсорсинг

Второе, пусть менее распространенное, однако интенсивно развивающееся направление – это вынесение всех ИБ-серви-сов (или основной их части) за пределы бизнеса, то есть аутсорсинг. В этом случае расходы на ИБ очевидны. Это общая стоимость купленных (заказанных) бизнесом услуг ИБ. При таком подходе ситуация в корне меняется. Расходы бизнеса на ИБ прозрачны, так как бизнес сам заказывает и оплачивает ту или иную услугу и знает, зачем ему эти услуги. Указанные расходы сопоставимы, так как можно сравнить стоимость аналогичных услуг, предоставляемых различными специализированными компаниями на рынке. При этом бизнес всегда вправе отказаться от ряда услуг, считая допустимыми соответствующие риски, возникающие в силу отсутствия некоторых опций ИБ.

Нормативно-правовые документы

В основе всех предлагаемых услуг по обеспечению (управлению) ИБ лежит вполне конкретная нормативная база, содержащая как российские, так и международные нормативные документы разных уровней.

Среди них:

  • Гражданский кодекс РФ (в редакции последующих изменений);
  • Налоговый кодекс РФ (в редакции последующих изменений);
  • Трудовой кодекс РФ (в редакции последующих изменений);
  • Уголовный кодекс РФ (ст. 272, 273, 274, 183);
  • Основы законодательства РФ "Об охране здоровья граждан" № 5487-1 1993 г. (в редакции последующих изменений) для медицинских и других учреждений, где имеется медицинское обслуживание;
  • ФЗ "О коммерческой тайне" № 98-ФЗ 2004 г. (в редакции последующих изменений);
  • ФЗ "О связи" № 126-ФЗ 2003 г. (в редакции последующих изменений) для операторов связи;
  • ФЗ "О персональных данных" № 152-ФЗ 2006 г. (в редакции последующих изменений), включая соответствующее Постановление Правительства РФ и ряд документов регулирующих органов РФ; ФЗ "Об электронной цифровой подписи" № 1-ФЗ 2002 г. (в редакции последующих изменений);
  • ГОСТ Р ИСО/МЭК 13335;
  • ГОСТ Р ИСО/МЭК 27001;
  • ГОСТ Р ИСО/МЭК 27002;
  • ISO 19011;
  • СТО БР ИББС - 1.0-2008 для банков;
  • PCI DSS v 1.2 для всех, чья деятельность касается процесса обработки данных держателей платежных карт;
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К).

Перечень услуг в области обеспечения ИБ

В настоящее время перечень услуг в области обеспечения ИБ может включать в себя следующие сервисы:

  1. Разработка нормативно-методических документов, регламентирующих построение и функционирование системы управления ИБ.
  2. Обеспечение сертификации средств обработки информации на соответствие требованиям по ИБ.
  3. Аттестация автоматизированных систем, информационных систем персональных данных и защищаемых помещений (ЗП).
  4. Реализация программы повышения осведомленности работников по вопросам ИБ.
  5. Анализ рисков для информационных активов.
  6. Аудит ИБ.
  7. Обработка событий информационной безопасности.
  8. Защита информационных систем от вредоносного кода.
  9. Представление интересов заказчика при взаимодействии с внешними сторонами.
  10. Криптозащита информации.
  11. Обеспечение деятельности (поддержка) удостоверяющего центра.
  12. Предотвращение утечек конфиденциальной информации.
  13. Служебные расследования инцидентов, связанных с нарушением политик ИБ и защиты конфиденциальных сведений.
  14. Защита от Web-угроз.
  15. Оценка защищенности конфиденциальной информации от утечки по техническим каналам и спецобследование защищаемых помещений.
  16. Инструктирование работников по вопросам ИБ.
  17. Выявление, исследование уязвимостей.
  18. Согласование документов, действий, взаимоотношений с третьими лицами.
  19. Управление проектами.

На практике

Выделение функций по управлению системой информационной безопасности за пределы предприятия не противоречит требованиям регуляторов отраслей. В частности, Банк России считает, что аутсорсинг ИБ возможен при выполнении двух важнейших условий:

  • охранение рисков нанесения ущерба клиентам за кредитно-финансовой организацией (банком);
  • выполнение аутсорсером всех функций подразделения ИБ (если такого в банке не будет) либо части функций, которые подразделением ИБ банка передаются аутсорсеру.

Указанные выше услуги уже предлагаются на рынке специализированными фирмами, сотрудники которых имеют огромный практический опыт работы в подразделениях ИБ различных отраслевых структур, включая кредитно-финансовую отрасль, отрасль телекоммуникаций (операторы связи), крупные промышленные холдинги и т.д.

Комментарий эксперта

Игорь Писаренко, к.т.н., доцент, заместитель начальника отдела информационной безопасности Управления обеспечения безопасности ВТБ 24 (ЗАО)

К аутсорсингу информационной безопасности на сегодняшний день в России специалисты относятся достаточно неоднозначно, отдавая на откуп внешним аутсорсерам лишь некоторые, как правило, не критичные процессы, связанные с проведением аудита, разработкой документации, аттестацией информационных систем, обучением и т.п.

Особенно явно это проявляется в крупных компаниях, которые могут создавать собственные службы безопасности и нанимать высококвалифицированных специалистов по информационной безопасности.

Такое положение дел прежде всего связано с тем, что существует риск утечки важной корпоративной информации, а доступ к ней получат не уполномоченные на это стороны. Более того, компания, отдающая свои информационные системы и сети на аутсорсинг, попадает в определенную зависимость от аутсорсера, который будет иметь легальный доступ ко всем системам и информации.

Немаловажным фактором, снижающим эффективность аутсорсинга, является слабое знание специфики деятельности заказчика и общей обстановки, а также невысокая степень оперативности и управляемости при решении возникающих проблем.

И действительно, зачастую свой специалист, находящийся всегда рядом и знающий особенности бизнес-процесса и коллег, с которыми можно решить возникающие вопросы, будет полезнее, чем эпизодический специалист, пусть и более высокой квалификации.

С другой стороны, аутсорсинг позволяет компании-заказчику сократить издержки и снизить трудоемкость и затраты на эксплуатацию информационных систем и приложений, сконцентрироваться на основных бизнес-процессах, не отвлекаясь на вспомогательные, при этом появляется возможность освободить соответствующие организационные, финансовые и людские ресурсы, чтобы развивать новые направления или сконцентрировать усилия на существующих, требующих повышенного внимания.

В этих условиях подход к использованию аутсорсинга информационной безопасности может существенным образом отличаться для различных компаний.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2010
Посещений: 13484

Приобрести этот номер или подписаться

Статьи по теме

  Автор

Михаил Левашов

Михаил Левашов

Начальник службы информационной безопасности банка "Союзный"

Всего статей:  5

  Автор

Константин Чигирев

Константин Чигирев

Генеральный директор ООО "Инфосекьюрити Сервис"

Всего статей:  1

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций