Аутсорсинг безопасности идет по стопам IТ

Игорь Богачев
Руководитель практики комплексных систем
информационной безопасности, “Астерос ИБ"

– Информационная безопасность является одной из самых чувствительных для бизнеса областей. Возможна ли в принципе передача части ИБ-процессов на аутсорсинг при современном уровне зрелости рынка?
– Не просто возможна, а необходима. Начнем с того, что часть функций по обеспечению безопасности уже сейчас продается как сервис. Это не совсем аутсорсинг, но первый шаг уже сделан: задачи идентифицированы, формализованы и, что самое важное, посчитаны. Речь идет как о консалтинговых услугах, среди которых наиболее популярны тесты на проникновение и аудит систем ИБ, так и об обеспечении ИБ с использованием арендованных инструментов. Например, организация интернет-провайдером защиты от DDoS-атак, а также защита систем, размещаемых на арендуемых ресурсах коммерческих ЦОД, как виртуальных, так и физических.

Ни для кого не секрет, что ИБ обходится бизнесу достаточно дорого. Не являясь профильным объектом для инвестиций, ИБ требует наличия высококвалифицированных специалистов, компетенции которых необходимо постоянно актуализировать. В основе использования аутсорсинговой модели – качество за разумные деньги. В этом ИБ ничем не отличается от IT.

– Да, но тогда неясно, по каким причинам аутсорсинг ИБ до сих пор не распространен так, как, например, аутсорсинг IT.
– На мой взгляд, это связано не столько с "чувствительностью для бизнеса" ИБ, сколько в непонимании этой области в принципе. Безопасность для бизнеса даже не черный ящик, который хоть и непонятно как, но работает, а скорее черная дыра, в которой исчезают деньги, а результат зачастую неосязаем. Прежде чем отдавать информационную безопасность на аутсорсинг, бизнесу нужно найти с ней общий язык. Таким языком должна стать СУИБ, построенная вокруг анализа рисков. Найдите хотя бы "владельца" риска, и дело уже сдвинется с мертвой точки. К сожалению, большинство СУИБ, которые строят заказчики самостоятельно или с помощью интеграторов, исходят из других принципов и сводятся к написанию достаточно объемного и столь же дорогого пакета макулатуры, который кладется на полку мертвым грузом, а реальные процессы простаивают.

– Почему это происходит?
– Потому что для запуска процессов информационной безопасности необходимы воля руководства компании и огромные усилия СБ, так как речь идет об ограничениях, которые не помогают, а, наоборот, мешают. Поэтому построение ИБ достаточно часто напоминает бег с препятствиями в условиях постоянной смены трассы. Это особенно трудоемкий процесс, если организационно ИБ подчиняется IT. Поскольку цели этих подразделений не только разные, но зачастую и противоположные, безопасники нередко оказываются заложниками ситуации и вынуждены лавировать, соблюдая интересы IT, но стараясь при этом обеспечить приемлемый уровень защищенности информационных ресурсов. В результате общая картина сильно искажается, так как никто не может определить реальный уровень защищенности системы и тем более оценить финансовые затраты на ИБ. Выходом из этой ситуации является аутсорсинг. Внешние исполнители менее зависимы, чем внутренние, они обязаны предоставлять объективные данные, и их работа, равно как и ее результаты, прозрачны для заказчика и регулируются SLA.

– Что может стать толчком для популяризации услуг ИБ на аутсорсинге?
– Если проводить параллели с IT, исторически оно проходило через все те же препятствия. Тем не менее IT-аутсорсинг стал набирать обороты после прихода ITIL, который стал тем самым языком, на котором бизнес может говорить с IT.

Сегодня в крупных корпорациях, если IT еще не на аутсорсинге, то на все 100% готовы к нему. Взаимоотношения между компанией и IT-службой строятся по сервисной модели: все процессы регламентированы и IT-служба может быть выведена за штат, как только содержать ее станет невыгодно для бизнеса. Аналогичным путем пойдет и ИБ – стандарты серии ISO 2700Х должны сыграть для нее ту же роль, что и ITIL для IT.

– Какие аспекты ИБ ни в коем случае не передаются на аутсорсинг и почему?
– На аутсорсинг можно отдавать только то, чем вы научились управлять, то, что уже достаточно формализовано и оценено.

Конечно, существует ряд специфических задач ИБ, результаты которых носят конфиденциальный характер. К ним, например, относятся внутренний аудит или служебные расследования. Существуют также и риски нарушения работоспособности, если средства защиты тесно интегрированы в IT-инфраструктуру или защищаемую систему. Но в каждом отдельно взятом случае вы должны иметь ответ на вопрос: есть ли финансовый смысл в том, чтобы содержать штат высокооплачиваемых специалистов и не "выносить сор из избы"? Или, может быть, все же пригласить аутсорсеров, которые "набили руку" на оказании таких услуг и хорошо знают, что делать? В конце концов, кто вам сказал, что ваши специалисты окажутся более добропорядочными, чем внешние? Перед принятием решения не нужно руководствоваться тем, как "принято". Не ленитесь, посчитайте, что на самом деле выгодно. С одной стороны, стоимость услуги при аутсорсинге с уровнем качества, прописанным в SLA, и определенным риском, связанным с возможными нарушениями, ответственность за которые несет аутсорсер, а не вы. С другой – затраты на поддержание компетенций собственной службы ИБ и, как параметр, расходы на повышение лояльности своих сотрудников с целью снижения рисков. Сравнив одно с другим по каждому из аспектов, мы получим ответ на вопрос, что отдавать на аутсорс, а что нет.

– Как строится SLA при ИБ-аутсорсинге? Является ли это соглашение более жестким, чем, допустим, для IT-процессов?
– Параметров оценки работы ИБ гораздо больше, чем IT. Если основной целью работы последней является доступность системы, соответственно все KPI нацелены на данный показатель (время простоя системы, скорость внесения изменений в конфигурацию), то ИБ отвечает еще за целостность и конфиденциальность информации, за исключение НСД к ПО и оборудованию, за compliance.

Основной процесс ИБ – анализ рисков, все остальное – следствие. Представьте себе ситуацию, когда средство защиты блокирует нормальную работу информационной системы. Если SLA будет требовать от ИБ такой же доступности, как от IT, а решить проблему в отведенные два часа невозможно, то единственным решением будет отключить средство защиты вообще. Приемлемо это или нет? Что выгоднее, оставить систему без защиты на один день или выключить ее? А если нужно два дня? Ответ лежит в плоскости анализа рисков.

Что важнее, безопасность или работоспособность? Все помнят недавнюю историю, когда банкоматы перестали принимать пятитысячные купюры, то есть для банков безопасность оказалась важнее работоспособности системы. А как бы поступили в такой ситуации другие компании?

В аутсорсинге ИБ есть прогнозируемые задачи, для которых SLA должно требовать сохранить параметры работы системы, например аудит или эксплуатация средств защиты, которая, к слову, полностью оценивается как IT. Но в то же время есть плохо прогнозируемые инциденты ИБ, учитывать которые в SLA нужно аккуратно, в соответствии с анализом рисков.

– Известны ли вам положительные примеры передачи тех или иных ИБ-функций на аутсорсинг?
– В моей практике довольно много таких примеров. Один из заказчиков отдал нам на аутсорсинг несколько своих систем, развернутых в масштабах всей страны, пользователями которой потенциально являются все граждане РФ. Отдал полностью, вместе с инфраструктурой и, конечно же, безопасностью. Поскольку вся система попала в одни руки, было достаточно легко получать все исходные данные, проводить согласованные с другими подразделениями изменения конфигурации и выполнять аудит. По сути, порядок защиты полностью определяли мы, неся ответственность не просто за работоспособность и развитие системы, а за ее безопасную работу. Не обошлось, правда, без "бочки дегтя". В связи с тем что заказчик не предъявлял требований по ИБ, которые не добавляли системе ни функциональности, ни качества, ни надежности, то внимание безопасности уделялось по остаточному принципу, что не позволяло построить полноценную СУИБ со всеми необходимыми атрибутами. Однако за все время эксплуатации ущерб от инцидентов был нулевым, и, мне кажется, это большой успех, учитывая масштаб и известность систем.

Чаще встречаются более простые задачи – эксплуатация подсистем защиты, включающая их поддержание в рабочем и актуальном состоянии, внесение изменений в политику защиты по заявкам заказчика и прочие. В подобных случаях все решения принимает заказчик, и он же несет полную ответственность за результат. Аутсорсер является лишь его руками, когда собственную компетенцию поддерживать нецелесообразно.

– С чего начинается партнерство по модели ИБ-аутсорсинга?
– С построения СУИБ, все остальное логично вытекает из этой отправной точки. Аутсорсинг в данном случае в кавычках, потому что это не будет договором в привычном понимании. Наши специалисты регулярно консультируют заказчиков, помогая им выстроить работу службы ИБ, научиться разговаривать на одном языке с бизнесом и в конце концов защитить бюджет на ИБ. Образовательная работа всегда приносит плоды: заказчики начинают понимать, зачем вкладываться в безопасность и с кем лучше работать.

– Как вы считаете, какие отрасли в наибольшей степени готовы к ИБ-аутсорсингу сегодня и почему?
– Чем сильнее исторически были развиты IT и соответственно ИБ в отрасли, тем выше готовность. Активное развитие эти направления получили там, где они соответствуют основной деятельности компании, или там, где в IT-активы вливались значительные средства. Это телеком, финансовые учреждения, топливно-энергетический комплекс. С другой стороны, кроме самой готовности, нужно обращать внимание и на потребность компании в услуге, а она, как правило, обратно пропорциональна готовности из-за высокого собственного уровня зрелости. Гораздо больше потребность в аутсорсинге как раз в менее IT-зависимых отраслях, и наша задача – первым делом подготовить таких заказчиков к ИБ-аутсорсингу.