Аутсорсинг в области безопасности

Все более широкое использование услуг внешних организаций (аутсорсинг) применительно к информационным технологиям - общемировая тенденция. Аутсорсинг в области информационной безопасности является одним из наиболее быстро развивающихся сегментов этого рынка. По прогнозам Gartner Group, в 2005 г. свыше 60% крупных компаний в мире передадут часть функций по обеспечению безопасности своих ресурсов на аутсорсинг внешним организациям. По оценкам компании IDC, в 2004 г. объем работ по аутсорсингу в области информационной безопасности показал примерно 35%-ный годовой рост.

В России повышение интереса к аутсорсингу, как и к ИТ-услугам в целом, наблюдается в последние три-четыре года. У отечественных предприятий более 50% затрат на услуги в области информационных технологий составляют расходы на поддержку аппаратного и программного обеспечения. Определить среди них долю аутсорсинга довольно сложно, по существующим оценкам это не менее 10% рынка ИТ-услуг.

Как уже отмечалось, рынок информационной безопасности, в том числе сегмент услуг, отстает от ИТ-рынка, но уже сегодня многие российские компании (как правило, имеющие практику передачи ИТ на аутсорсинг) пользуются услугами специализированных фирм-аутсорсеров. Под аутсорсингом в области безопасности понимается полная или частичная передача функций обслуживания и управления системой защиты внешнему исполнителю в течение определенного срока. При этом исполнитель должен обеспечивать заданный уровень качества выполнения этих функций (гарантированное время реакции на запрос, гарантированный период восстановления защитных функций в случае сбоев и т.д.). Работы в рамках аутсорсинга могут осуществляться как на площадке компании-заказчика, так и на стороне компании-исполнителя.

Потребность в услугах внешних сервисных компаний

Основных причин, по которым компании используют услуги сторонних специалистов в области информационной безопасности, как и в области ИТ, две.

Первая - это экономическая целесообразность, связанная со стремлением сократить расходы на обслуживание и управление системой безопасности. Эта задача для многих предприятий становится все более значимой, но при ее решении собственными силами возникают вопросы стоимости и эффективности. В идеале, нужно содержать несколько узкоспециализированных сотрудников, организовать и оборудовать для них рабочие места, периодически оплачивать их обучение и установить им высокие зарплаты. Использование же услуг сторонних специалистов позволит существенно повысить эффективность вложения средств.

В России среди тех, кто признает экономическую выгодность обращения к аутсорсингу, подавляющее большинство составляют крупные компании, предприятия с западным стилем управления или представительства иностранных фирм.

Вторая причина - квалификационная - заключается в дефиците специалистов, обладающих глубокими знаниями и практическим опытом в определенных узких областях, таких как информационная безопасность. Внешняя же фирма-исполнитель (по крайней мере, достаточно квалифицированная) имеет в своем арсенале передовые технологии и инструменты и способна предоставить высокое качество услуг (которое сложно обеспечить собственными силами). Например, в государственных структурах системы безопасности часто бывают достаточно дорогими и сложными, поскольку речь идет о закрытой информации, требующей "особого" обращения. Но при этом уровень оплаты труда не позволяет содержать специалистов высокой квалификации.

В небольших компаниях для обслуживания систем защиты не всегда целесообразно вводить новую штатную единицу. Бывают ситуации, когда функций по обеспечению защиты недостаточно, чтобы поручать их отдельному сотруднику, но в то же время слишком много, чтобы нагружать ими существующих работников в качестве дополнения к их основной деятельности. Аутсорсинг в таких случаях позволяет приобрести на год "виртуальную половину сотрудника", который имеет достаточно высокую квалификацию и на должном качественном уровне выполнит необходимые работы.

Во многих организациях практикуется жесткое планирование расходов, например, на год. Государственные предприятия, как правило, не могут выделять незапланированные средства на обучение или подбор персонала и тому подобные вещи. Аутсорсинг позволяет стабилизировать ежегодные затраты на сервис: нужно столько и не больше.

Еще один довод в пользу аутсорсинга - существование во многих организациях текучки кадров (например, из-за невысокой зарплаты трудно удерживать квалифицированных специалистов). В таких условиях жизненно необходима эксплуатационная структура, не зависящая от конкретных людей. Аутсорсинг обеспечивает необходимый уровень сервиса независимо от болезни, отпуска или увольнения сотрудника. Грамотный поставщик сервисных услуг строит взаимоотношения с заказчиком таким образом, что сама защищаемая система и все действия в ней жестко регламентированы, поэтому ИТ-система перестает быть "черным ящиком", известным одному сотруднику, от которого зависит эффективность защиты ресурсов.

И наконец, многие компании, в которых ИТ и безопасность не являются профильным направлением деятельности, решают, что собственную инфраструктуру развивать не стоит. Передача в аутсорсинг функций поддержки систем информационной безопасности позволяет им сконцентрироваться на более важных для бизнеса задачах.

Барьеры и страхи

Основными препятствиями в обращении к ИТ-аутсорсингу являются страх потери контроля над собственными ресурсами и системами и недоверие к внешнему исполнителю. Примерно те же "барьеры" проявляются и в случае аутсорсинга в области безопасности. Одним из основных страхов для руководства предприятий является боязнь утечки или потери конфиденциальной и критически важной информации. Заказчик таких услуг, естественно, хочет быть уверен, что его внутренние ресурсы не будут доступны хакерам, конкурентам и т.д.

В качестве ответа на эти опасения приведем результаты исследований Digital Research, согласно которым в компаниях, использующих аутсорсинг, основной канал утечки информации - это действия штатных сотрудников (почти 60% случаев). Оставшиеся чуть более 40% случаев потери информации также не связаны с аутсорсером: их причиной была банальная халатность пользователей (потеря ноутбуков, документов, носителей информации и т.д.).

Кроме того, если сравнить сервис в области информационных технологий и информационной безопасности, то следует заметить: при обслуживании внешней сервисной организацией баз данных, серверов, систем резервного копирования и некоторых других ИТ-компонентов внешние сотрудники имеют непосредственный доступ к хранимой информации. Сотрудники же сервисной компании в области безопасности имеют доступ только к средствам защиты, не имея доступа к самой информации.

Основными гарантиями того, что конфиденциальная информация и критичные системы не станут более уязвимыми при переходе на аутсорсинг, являются высокая квалификация, дисциплина и ответственность компании-аутсорсера.

Высокая, как принято считать, стоимость аутсорсинга - препятствие сомнительное и устранимое методом изучения существующих на рынке сервисных предложений и оценки собственных затрат на аналогичные работы. В крупной сервисной компании, оказывающей услуги большому количеству клиентов, стоимость услуг вполне приемлема в силу того, что они оказываются массово (например, мониторинг новых угроз безопасности и уязвимостей в ИТ-компонентах проводится одним отделом для всех заказчиков, а самим заказчикам будет гораздо дороже держать такие отделы у себя). Трудность в этом вопросе скорее представляет методика расчетов экономической целесообразности аутсорсинга и оценки качества услуг.

Компании (в основном крупные) с высоким уровнем автоматизации, имеющие повышенные требования к безопасности и обеспечению непрерывности работы, считают препятствиями для перехода на аутсорсинг слабое знание сервисной компанией специфики их системы и неудовлетворительный уровень качества услуг. Эти недостатки присущи далеко не всем поставщикам сервисных услуг в области безопасности и остаются полностью на совести некоторых из них.

Ну и, конечно, имеет значение то обстоятельство, что данный сегмент рынка услуг в области безопасности в настоящее время является самым молодым и пока недостаточно цивилизованным и зрелым. Сервисных компаний в области безопасности, способных предоставлять действительно качественные услуги, пока немного. Если выбор невелик, то у пользователя нет возможности сравнивать и в случае неудовлетворительного качества услуг сменить поставщика будет сложно. У потенциальных потребителей аутсорсинга возникает естественное недоверие к поставщикам в силу того, что большинство из них имеют непродолжительную историю работы в этом качестве и небольшой "пул" клиентов.

Тем не менее, при соблюдении определенных условий вполне реально подобрать оптимальный вариант. На российском рынке информационной безопасности достойных компаний достаточно, хороших сервисных ИТ-компаний - тоже. Остается лишь найти пересечение этих двух множеств и грамотно построить отношения с выбранным поставщиком услуг.

Аутсорсинг: виды и уровни услуг

Весь набор предлагаемых сегодня аутсорсинговых услуг можно разделить по видам (обслуживание средств и систем безопасности, аналитические задачи и т.д.) и уровням (администрирование, контроль безопасности). В трактовке компании "Инфосистемы Джет" некоторые услуги, не относящиеся в чистом виде к поддержке уровня защищенных информационных систем (экспертиза проектов, разбор сложных инцидентов безопасности и другие), оказываются в рамках центра компетенции по вопросам информационной безопасности. В комплексе эти две группы сервисных услуг позволяют решить практически любую задачу по защите ресурсов любого предприятия.

Аутсорсинг выбирается предприятием в соответствии с его нуждами и особенностями - набором применяемых решений по защите, существующей практикой эксплуатации информационной системы, имеющимися человеческими и техническими ресурсами и т.д.

Администрирование средств защиты информации

Минимальный уровень услуг, которые можно поручить внешнему исполнителю, - администрирование и обслуживание средств защиты. На аутсорсинг чаще всего передаются сложные средства обеспечения безопасности, управление которыми требует очень высокой квалификации и глубокого понимания механизмов их работы. К ним относятся системы обнаружения атак и контроля защищенности, анализа содержимого и фильтрации трафика и другие средства, требующие "тонкой" настройки, корректной трактовки генерируемых ими событий и в целом довольно большого внимания в процессе эксплуатации. Для сотрудников компании-заказчика может быть также предоставлена круглосуточная служба приема и обработки запросов, связанных с обслуживаемыми средствами защиты.

Внешняя сервисная компания может оказывать услуги по внедрению и интеграции средств защиты информации, осуществлять их круглосуточное сервисное обслуживание и техническую поддержку, проводить штатные модификации программного обеспечения, по мере необходимости корректировать их настройки, производить резервирование аппаратных компонентов оборудования. При этом разработка политик и правил работы средств защиты, а также получение отчетов от них остается в ведении службы безопасности компании-заказчика, аутсорсер обеспечивает только настройку средств защиты в соответствии с требованиями политики безопасности.

Аутсорсинг систем безопасности

Следующий уровень - передача на аутсорсинг всей системы информационной безопасности. В этом случае сервисная организация несет ответственность не просто за работоспособность и корректную конфигурацию применяемых средств защиты, а за надежный уровень защищенности ресурсов, обеспечиваемый всем комплексом средств.

Для этого помимо функций, перечисленных в предыдущем пункте, аутсорсер проводит постоянный мониторинг состояния безопасности системы (в режиме off-line или в реальном времени): анализ происходящих событий и их интерпретацию; мониторинг состояния и изменения критичных системных параметров (косвенно свидетельствующих о возможности атак и других важных событий); предпринимает меры по реагированию на события (или выдает соответствующие инструкции персоналу компании-заказчика); в случае необходимости совершает аварийный выезд для решения особо критичных проблем.

Служба безопасности компании-заказчика осуществляет контроль качества услуг, оказываемых внешней сервисной организацией, на основании журналов работы, которые ведет аутсорсер и в которых фиксирует свои действия, и предоставляемых сервисной компанией отчетов о произошедших инцидентах безопасности, причинах, последствиях и предпринятых мерах.

Аналитические задачи

По разным причинам целесообразно передавать на аутсорсинг также аналитические задачи, требующие значительных человеческих и технических ресурсов, а также наличия у специалистов не только высокой квалификации, но и большого опыта работы. К ним относятся сбор и анализ данных о появлении новых угроз безопасности, уязвимостей и способов атак, оценка их опасности для защищаемой информационной системы и ликвидация слабостей в защите ресурсов (либо выдача рекомендаций по ликвидации персоналу).

Состав работ в принципе тот же, что в услуге "Анализ и контроль защищенности ресурсов", предоставляемой в течение определенного периода времени. Другие аналитические услуги - расследование инцидентов в области безопасности, оценка изменений в информационной системе с точки зрения информационной безопасности и т.д. - подробно описаны в главе "Центр компетенции по вопросам информационной безопасности".

Подготовительные мероприятия по передаче функций ИБ на аутсорсинг

В первую очередь руководителю любой организации стоит выяснить, при каких условиях целесообразно доверить обеспечение защиты своих ресурсов сторонней фирме и какие выгоды сулит его бизнесу использование такого сервиса. Если необходимость в услугах внешней организации очевидна, то прежде всего необходимо определить, какие именно функции, задачи и элементы защиты передать на аутсорсинг.

Учитывая, что передача систем обеспечения безопасности во внешнее обслуживание предполагает возникновение дополнительных рисков и угроз, следует провести комплекс подготовительных мероприятий, особенно в крупных компаниях со сложной организационной структурой. Часть подготовительных работ также может быть выполнена внешним исполнителем, но при руководящей функции службы безопасности и обязательном контроле с ее стороны.

Для подготовки к переводу на аутсорсинг нужно провести анализ существующей практики эксплуатации ИТ-системы и системы защиты, а также других специфических особенностей компании. Исходя из этих данных разрабатываются требования по поддержанию режима информационной безопасности и схема обеспечения безопасности в условиях внешнего сервисного обслуживания. Результатом является план организационно-технических мероприятий по вводу этой схемы в действие: этапность перевода средств и систем во внешнее обслуживание, необходимые условия и ресурсы (например, дополнительные программно-технические средства) и т.д. Важной частью разработанной схемы являются регламенты отношений с внешней организацией с точки зрения информационной безопасности, а также определение новых задач службы информационной безопасности предприятия, связанных с мониторингом и протоколированием действий внешних организаций.

Задача контроля действий внешней сервисной компании является критически важной и должна быть основной для внутренней службы безопасности. Для ее эффективного решения потребуется создать или дополнить существующую систему мониторинга. Понадобятся дополнительные средства управления компонентами системы информационной безопасности и ИТ-компонентами (сетями, серверами, прикладными системами и т.д.), фильтрации и анализа журналов регистрации событий (лог-файлов). Кроме того, необходимы средства контроля: информации, передаваемой по вычислительным сетям организации, действий системных и прикладных пользователей, методов доступа к информационным ресурсам и системам, способам аутентификации и т.д. Должен быть определен порядок эксплуатации системы мониторинга: компоненты, подлежащие контролю, частота контрольных действий, форма соответствующих отчетов, порядок хранения информации, включая лог-файлы. После этого система мониторинга передается на эксплуатацию внутренней службе безопасности предприятия.

Еще одно важное условие: при выполнении аутсорсером своих функций удаленно необходимо обеспечить безопасность и надежность всех удаленных соединений. Для этого внешняя сервисная компания должна организовать виртуальную частную сеть с компанией-заказчиком и резервирование этих защищенных каналов.

Выгоды аутсорсинга

Основные выгоды, которые получают потребители аутсорсинга (при грамотной организации работ), это оптимизация расходов на эксплуатацию систем информационной безопасности, решение кадровых проблем и повышение качества выполнения соответствующих работ.

Использование технологий аутсорсинга снижает риски нанесения ущерба компании, поскольку аутсорсер имеет большой опыт выполнения работ и все необходимые ресурсы. Высококвалифицированные специалисты узких специальностей, специальные программно-технические средства и тестовые стенды - все это работает в круглосуточном режиме. При этом система защиты ресурсов становится отчуждаемой как от сотрудника компании-заказчика, который ее обслуживает, так и от обслуживающей фирмы. Надежность и работоспособность этой системы перестает зависеть от обстоятельств у компании-заказчика.

Некоторые аналитические задачи в области безопасности - сбор и анализ информации о появлении новых угроз, "дыр" и уязвимостей, способов атак, оценка их влияния на защищенность компонентов информационной системы - сложно решать собственными силами, поскольку это требует слишком много времени, специалистов и знаний. Но они имеют существенное значение для безопасности ресурсов, система защиты должна соответствовать последним тенденциям, поэтому игнорировать их нельзя.

Передача ответственности за выполнение непрофильных функций аутсорсеру позволяет сконцентрироваться на решении основных бизнес-задач и повысить эффективность основного бизнеса.