GlobalTrust: Аутсорсинг информационной безопасности в России и что о нем надо знать

Аутсорсинг информационной безопасности (ИБ-аутсорсинг) — это передача на постоянной основе определённых функций или задач по защите от внешних и внутренних угроз сторонней компании.

По различным оценкам объём российского рынка аутсорсинга услуг в области информационной безопасности может составлять около 15 млрд рублей. Из них около 10 приходится на сегмент Managed Security Service Provide (MSSP), а оставшиеся 5 млрд рублей — на сегмент SECaaS (аренда сервисов ИБ по подписке из облака).

В настоящее время уже около 80% российских компаний пользуются теми или иными видами услуг ИБ-аутсорсинга. Это особенно актуально для малого и среднего бизнеса, где экономически нецелесообразно содержать собственный штат специалистов.

Российский рынок ИБ-аутсорсинга и дальше продолжит развиваться в сторону увеличения объемов рынка и повышения уровня зрелости его участников. Некоторые другие прогнозы развития рынка:

• Улучшение качества и доступности услуг. Благодаря увеличившейся конкуренции, можно наблюдать тенденцию к улучшению качества и доступности услуг.
• Развитие технологий. ИИ позволит более точно анализировать данные, их источники и аномалии, а также значительно быстрее реагировать на угрозы.
• Стандартизация сложных aдутсорсинговых услуг. Стек технологий будет продолжать эволюционировать, предлагая новые возможности для оптимизации и инноваций.

Таким образом ИБ-аутсорсинг будет играть все более заметную роль в обеспечении корпоративной информационной безопасности. В связи с этим, рассмотрим основные моменты, которые заказчику следует принимать во внимание для принятия решения о передаче на аутсорсинг тех или иных процессов и систем ИБ.

Какие процессы ИБ можно и какие нельзя передавать на аутсорсинг

В состав ИБ-аутсорсинга может входить большинство процессов менеджмента ИБ, а также эксплуатации и сопровождения средств и систем защиты инфомрации. В их числе:

• Комплаенс. Анализ соответствия требованиям законодательства и регуляторов в области информационной безопасности.
• Управление рисками информационной безопасности. Оценка и обработка рисков. Формирование реестров активов и рисков, моделей угроз, планов обработки рисков.
• Сопровождение системы обеспечения информационной безопасности. Контроль функционирования системы защиты информации, в том числе разграничения доступа к данным, управление учётными записями работников, настройка SIEM, DLP, антивирусных средств и т.д.
• Реагирование на инциденты информационной безопасности, экспертный анализ свидетельств и данных об инциденте, подготовка отчётности для предоставления в федеральные органы исполнительной власти.
• Сопровождение проверок регуляторов. Определение необходимых и приоритетных мероприятий в рамках исполнения установленных предписаний и консультации по составлению ответов на запросы регуляторов.
• а также прочие процессы в рамках системы менеджмента информационной безопасности (СМИБ)

Решение о том, какие процессы информационной безопасности передать на аутсорсинг, должно приниматься руководством компании на основе индивидуальной оценки рисков.

Однако существуют процессы информационной безопасности, которые не рекомендуется передавать на аутсорсинг. К таким процессам можно отнести, в том числе, следующее:

• Функции, относящиеся к стратегическому уровню безопасности. Например, принятие рисков, планирование развития информационной безопасности в компании, контроль ключевых метрик и показателей эффективности ИБ.
• Управление доступом. В части согласования прав доступа.
• Процессы и системы, нанесение ущерба которым может привести к фатальным для бизнеса ситуациям. Это сверхкритичные системы, содержащие ноу-хау, обеспечивающие конкурентные преимущества, хранящие и обрабатывающие персональные данные клиентов и прочую важную для компании информацию. Доступ к таким системам должен контролироваться особо.
• Служебные расследования. Их нельзя полностью передавать на аутсорсинг, так как есть риск возникновения инцидента по вине специалиста аутсорсера.

Какие виды ИБ-аутсорсинга распространены в России

В настоящее время в России распространены главным образом следующие виды ИБ-аутсорсинга:

• Управление уже приобретёнными системами защиты. Заказчик сначала покупает средства безопасности, а потом задумывается о том, как ими управлять.
• Сдача ИБ-оборудования в лизинг или аренду. Это позволяет заказчику снизить налоги, уменьшить срок амортизации и своевременно обновлять систему защиты.
• Centrex-модель. Система защиты располагается на территории аутсорсинговой компании. Такая модель допустима для услуг отражения DDoS-атак, инспекции электронной почты и Web-трафика, сканирования безопасности и ряда других.
• Классический аутсорсинг MSSP (Managed Security Service Provider). Компания заказывает себе сервис ИБ на базе определённого набора средств защиты. Эксплуатацию инструментов берёт на себя MSS-провайдер.
• Облачный аутсорсинг SECaaS (Security-as-a-Service). Заказчик покупает для себя услуги ИБ в облаке провайдера. Их эксплуатацией, подразумевающей тонкую донастройку и мониторинг, занимается сам провайдер.

Кроме того, набирают популярность такие виды ИБ-аутсорсинга как:

• Предотвращение утечек информации из корпоративной сети
• Обработка и защита персональных данных в соответствии с 152-ФЗ
• Менеджмент информационной безопасности (СМИБ) в соответствии с ISO 27001

Каким организациям и для чего нужен ИБ-аутсорсинг

Тот или иной вид ИБ-аутсорсинга может быть выгоден самым разным компаниям, в зависимости от конкретных целей и задач.

Для небольших организаций такой формат обеспечения ИБ — это порой единственный способ удовлетворительно решить вопрос с защитой информации, например возможны следующие ситуации:

• в компании нет DLP-системы и службы безопасности, но потребность защищать данные назрела (более 50 компьютеров, работа с персональными данными, конкурентный рынок — есть опасность похищения производственных секретов или клиентских баз);
• в компании есть DLP-система, но её некому обслуживать;
• в компании есть служба безопасности, но она занимается физической или экономической безопасностью, а на ИБ времени не хватает.

Для крупных компаний аутсорсинг помогает решать задачи в области ИБ более эффективно, выделяя отдельный набор процессов, реализация которых без внешней помощи проблематична. Например, организация защиты от DDoS.

Как формируется стоимость услуг ИБ-аутсорсинга

Стоимость услуг аутсорсинга информационной безопасности определяется индивидуально для каждого клиента. При этом состав и содержание работ формируются на основе экспертного анализа существующей информационной инфраструктуры, систем обработки и защиты информации, опроса сотрудников компании, анализа внутренних нормативных документов и применимых требований к обеспечению безопасности.

На стоимость услуг аутсорсинга информационной безопасности влияют различные факторы, в том числе:

• Масштаб подключаемой инфраструктуры и объём работ. Например, для оценки численности группы мониторинга нужно рассчитать общую плановую трудоёмкость в человеко-днях, исходя из ожидаемого потока событий ИБ и среднего времени обработки одного события.
• Операционные расходы. К ним относятся затраты на продление технической поддержки оборудования и ПО, подписки и лицензии.
• Базовая стоимость услуги. Например, в случае SIEM, её можно рассчитать, разделив совокупную стоимость владения (ТСО) с учётом повышающего коэффициента на расчётное количество событий в секунду (EPS), которое поступает от информационных систем и средств защиты.
• Перечень источников клиента и соответствующее им количество EPS. Это позволяет сформировать итоговую стоимость услуги, зная базовую стоимость для 1 EPS.
• Норма прибыли и повышающие коэффициенты. Они учитываются при формировании тарифов на услуги.

Преимущества и недостатки ИБ-аутсорсинга

При принятии решение о переводе ряда ИБ процессов на аутсорсинг компаниям приходится взвешить все за и против. К преимуществам ИБ-аутсорсинга можно отнести следующее:

• Оптимизация затрат. Найм собственного персонала для выполнения определённых задач может быть дорогостоящим, в то время как аутсорсинг позволяет компаниям экономить на зарплатах, социальных отчислениях, аренде офисного помещения и т.д..
• Концентрация на основной деятельности. Аутсорсинг помогает компаниям сконцентрироваться на своём основном бизнесе, освобождая ресурсы и время для развития ключевых компетенций.
• Получение доступа к экспертным знаниям. Обращаясь за аутсорсингом, компания получает доступ к высококвалифицированным специалистам и экспертам в определённых областях.
• Гибкость и масштабируемость. Подрядчик может легко адаптироваться к потребностям компании, предоставляя дополнительные ресурсы или, наоборот, сокращая объём услуг.
• Увеличение скорости выполнения работ. Привлечение специалистов, находящихся на аутсорсе, может значительно сократить время, необходимое для выполнения определённых задач.

Кроме того, при ИБ-аутсорсинге часть ответственности за обеспечение ИБ и выполнение требований законодательства РФ перекладывается на экспертную организацию, что способствует минимизации рисков.

В то же самое время ИБ-аутсорсинг привносит и новые риски, которые следует принимать в расчет. К недостаткам ИБ-аутсорсинга можно отнести:

• Риск утечки данных. Передавая конфиденциальные данные стороннему поставщику, компания должна быть уверена в его надёжности.
• Некачественное предоставление услуг. Недобросовестные исполнители могут предоставлять неполные или недостаточно эффективные сервисы, что приведёт к неудовлетворительным результатам для заказчика.
• Зависимость от поставщика услуг. В случае расторжения договора компания может на какое то время остаться без надлежащей защиты.
• Необходимость настройки пакета услуг. Как правило, предлагаются типовые услуги, которые настраиваются под конкретного заказчика, что требует времени на согласование всех нюансов и порождает дополнительные сложности.
• Ослабление контроля критичных процессов. При аутсорсинге на долю заказчика ложиться только верхнеуровневый контроль в рамках договора.

Как снизить риски ИБ-аутсорсинга

Для того, чтобы снизить риски аутсорсинга информационной безопасности и в полной мере воспользоваться его преимуществами, рекомендуется выполнить следующие шаги:

• Тщательно выбрать провайдера услуг. Стоит обратить внимание на опыт, репутацию и финансовую стабильность компании. Также нужно убедиться, что провайдер располагает чёткими, хорошо проработанными соглашениями об уровне сервиса (SLA) и предоставляет надёжные гарантии безопасности.
• Проработать условия и договор с провайдером. В нём должны быть прописаны правила отчуждения, чтобы контент и результаты оказания услуг всегда оставались у заказчика.
• Заключить с провайдером соглашение о неразглашении конфиденциальной информации (NDA). Оно поможет снизить риск утечки данных.
• Заблаговременно продумать процесс смены провайдера. Чтобы в случае расторжения договора компания не осталась без защиты.
• Прописать в договоре обязательство подрядчика документировать внедряемую систему, оказываемые услуги и реализуемые процессы ИБ. Также можно прописать для него создание комплекта рабочих регламентов для сотрудников.

Кроме того, рекомендуется регулярно оценивать потенциал поставщика услуг, чтобы убедиться, что он в состоянии выполнять свои обязательства.

Распределение ответственности при ИБ-аутсорсинге

При аутсорсинге информационной безопасности необходимо уделить особое внимание распределению ответственности за выполнение бизнес-функций и соответствующие нарушения. В целом, ответственность обычно распределяется следующим образом:

• Руководство компании. Устанавливает политику и программу аутсорсинга, механизмы контроля уровня риска нарушения информационной безопасности в рамках соглашений с поставщиком услуг.
• Куратор со стороны заказчика. Содействует специалистам по ИБ-аутсорсингу, держит с ними связь и принимает решения по выявленным нарушениям. На эту роль обычно назначают руководителя либо рядового сотрудника службы безопасности или системного администратора.
• Поставщик услуг. Его обязанности и критерии их исполнения прописаны в соглашении об уровне сервиса (SLA), которое заключается между компанией и аутсорсером. Нарушение подрядчиком зафиксированных в SLA договорённостей означает нарушение договора аутсорсинга, и снимает с заказчика обязательства по оплате услуг.

При этом следует учитывать, что передача выполнения определенных бизнес-функций на аутсорсинг не снимает с компании-заказчика ответственности за возможные инциденты ИБ, утечки информации или невыполнение требований законодательства РФ.

Страхование ответственности при ИБ-аутсорсинге

Страхование ответственности при аутсорсинге информационной безопасности предполагает компенсацию клиентам ущерба, понесённого по вине провайдера при оказании им профессиональных услуг. Как правило, компенсация выплачивается страховой компанией напрямую клиенту.

Страховка обычно покрывает следующие виды рисков:

• непреднамеренные профессиональные ошибки (небрежности, упущения), в том числе ошибочная интерпретация законодательства;
• непреднамеренное разглашение конфиденциальных сведений, коммерческой тайны, персональных данных;
• технические ошибки, например, неавторизованный доступ и использование информации, заражение вредоносным ПО, искажение или уничтожение информации вследствие технических сбоев.

При выборе аутсорсера стоит обратить внимание на репутацию его страховой компании, поинтересоваться условиями страхования, размером покрытия, порядком и сроками выплаты возмещения.

Для минимизации остаточных информационных рисков можно использовать существующие программы киберстрахования. Таких программ в России пока немного, но они существуют. (например, «АльфаCyber» от АО «АльфаСтрахование» или SOGAZ CYBER SECURITY от «СОГАЗа»).

Как выбрать поставщика услуг ИБ-аутсорсинга

При выборе поставщика услуг ИБ-аутсорсинга следует обратить внимание на следующие факторы:

• Репутация и опыт работы на рынке. Сколько лет поставщик работакет на этом рынке, какие проекты были реализованы и насколько успешно. Также стоит запросить клиентские отзывы.
• Соответствие нормам и стандартам. Какие нормы и стандарты ИБ соблюдает поставщик услуг. Соответствие стандартам гарантирует, что поставщик применяет надёжные методы и процедуры для защиты данных.
• Наличие сертификатов и лицензий. Стоит убедиться, что поставщик имеет все необходимые разрешительные документы для оказания услуг по ИБ и его деятельность не идёт вразрез с действующим законодательством РФ.
• Проведение предварительных консультаций с потенциальным поставщиком. Это поможет понять, способен ли он решить проблемы заказчика, каков его уровень компетенций в целом.
• Уточнение условий сотрудничества, стоимости и сроков выполнения работ. Стоит получить предложения от нескольких поставщиков, чтобы сравнить цены и условия контракта. Они могут существенно различаться.

Выбор подходящего поставщика услуг ИБ-аутсорсинга — важное решение для любой организации, от этого выбора зависит безопасность информационных активов организации, а также её репутация и финансовое благополучие.

Источник: https://globaltrust.ru/autsorsing-informaczionnoj-bezopasnosti/