Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аутсорсинг и аутстаффинг услуг ИБ: мнение экспертов

Аутсорсинг и аутстаффинг услуг ИБ: мнение экспертов

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Аутсорсинг и аутстаффинг услуг ИБ: мнение экспертов

Аутсорсинг позволяет освободить организационные, финансовые и человеческие ресурсы для концентрации усилий на более приоритетных направлениях. Аутстаффинг подразумевает “перенайм" сотрудников другого предприятия на ограниченное время. О том, как аутсорсинг и аутстаффинг работают в отношении услуг информационной безопасности, рассуждают эксперты нашего журнала.

Мона Архипова Операционный директор, sudo.su
Константин Саматов  Руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

Есть ли у вас успешный пример запуска и использования сервиса, заменяющего текущий процесс?
Есть ли сравнительная оценка изменения эффективности и стоимости?

Константин Саматов

Если говорить о Managed Security Service Provider (MSSP) – продажа услуг информационной безопасности как сервис, то на сегодняшний день внутренних потребностей в таких услугах у нас не было. При этом наша компания активно развивает указанное направление для своих заказчиков. Так, например, у нас есть опыт предоставления сервиса разработки и актуализации организационно-распорядительной документации по защите персональных данных, сервиса проведения категорирования объектов критической информационной инфраструктуры, сервиса проведения внешнего анализа защищенности. В настоящее время также активно развиваются сервисы SOC (Security Operations Center).

Крупные организации могут позволить себе нанять штатных специалистов по ИБ для выполнения сложных работ (включая пентест, редтиминг, SOC и др.). Но малым и средним компаниям этот вариант не подходит, и им стоит рассматривать возможность передачи подобных работ на аутсорсинг поставщикам услуг по управлению безопасностью. Это поможет практически исключить затраты на создание и обучение внутренней организационной структуры в компании, а также на приобретение необходимого оборудования и программного обеспечения.

Мона Архипова

Да, ряд решений позволяет существенно сократить как операционные затраты, так и капитальные. Отлично показывают себя решения, которые не требуют глубокого понимания "внутренней кухни" вашей инфраструктуры и приложений. Также хорошо работают истории сервисов "первой линии" – от коллцентра и хелпдеска до реагирования на типовые инциденты. В целом вся малая автоматизация рутинных задач – покупкой сервиса или же внутренней разработкой – помогает экономить время специалистов, а следовательно позволяет либо держать штат меньшей численности, либо высвобождать ресурсы на более перспективные задачи. Для небольших компаний использование внешних сервисов хорошо тем, что не требует больших единовременных затрат на лицензии, оборудование и персонал. Однако такая правктика увеличивает операционные затраты в единицу времени. В среднем график TCO (Total Cost of Ownership) сходится в промежутке от четырех до семи лет.

Рассматривали ли вы для себя возможность аутстаффинга? Если да, то какое решение приняли в итоге?

Константин Саматов

Аутстаффинг периодически нами используется. Например, последний раз мы использовали привлечение внешнего сотрудника для написания коннектора для соединения системы SIEM (Security Information and Event Management) с системой IRP (Incident Response Platform). Вообще, аутстаффинг выгоден для проведения разовых, неповторяющихся работ, требующих редких знаний, умений, навыков. Поэтому в сфере информационных технологий и безопасности информации аутстаффинг наиболее распространен в отношении труда программистов.

Мона Архипова

На протяжении восьми лет существования компании мы пробовали различные форматы построения команд как для себя, так и для наших заказчиков. Одно из подразделений разработки у нас работает полностью в формате аутстаффинга на протяжении последних пяти лет, имеется возможность сравнить затраты, сроки и качество работ. Аутстаффинг, в отличие от аутсорсинга, хорош тем, что:

  • можно достаточно оперативно расширять и сокращать команду под ту или иную задачу;
  • по суммарным затратам он сопоставим с наличием персонала в штате.

Целью организации банковской системы РФ при аутсорсинге процессов СОИБ является привлечение квалифицированного персонала и получение готовых процессов и развитой методологии, а также средств, систем и технологий обеспечения ИБ, необходимых для организации и эксплуатации СОИБ. Организации банковской системы РФ целесообразно рассматривать возможность аутсорсинга следующих процессов СОИБ:

  • выявление компьютерных атак на информационную инфраструктуру организации БС РФ, в т.ч. с использованием информации, получаемой от Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ);
  • управление средствами защиты информации организации БС РФ, в т.ч. системами обнаружения вторжений (IDS/IPS);
  • управление межсетевыми экранами (в т.ч. и на прикладном уровне по 7-уровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91), средствами антивирусной защиты и другими решениями по обеспечению ИБ;
  • анализ безопасности кода приложений;
  • мониторинг и анализ событий ИБ (Security Operation Center);
  • анализ защищенности и контроль конфигурации сетевого оборудования и операционных систем;
  • проведение тестирования на проникновение;
  • анализ защищенности информационной инфраструктуры;
  • обеспечение безопасности Web-доступа и электронной почты;
  • организация управления инцидентами ИБ;
  • оповещение о новых угрозах и признаках атак (Treat Intelligence);
  • повышение осведомленности по вопросам ИБ и проведение киберучений.

Следует применять соглашения об уровне предоставления сервиса ИБ (SLA) для контроля качества услуг аутсорсинга ИБ. SLA – это дополнение к соглашению об аутсорсинге между организацией банковской сферы и поставщиком услуг, определяющее предоставление сервиса с заданным уровнем качества. Количество метрик, включаемых в SLA, должно быть достаточным для проведения объективной оценки качества предоставления сервисов ИБ поставщиком услуг.

Из стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге СТО БР ИББС-1.4–2018"

Какие типы сервисов, по вашему мнению, из актуальных предложений рынка являются наиболее созревшими, чтобы их можно было порекомендовать для внедрения коллегам по отрасли?

Константин Саматов

На сегодняшний день два вида сервисов являются наиболее созревшими, это сервис внешнего анализа защищенности (включая Penetration Test) и сервисы SOC. Причина их высокой зрелости кроется в необходимости достаточно высокой компетенции и углубленной специализации людей, непосредственно выполняющих данные работы. Этот фактор при современном акценте на универсализацию внутри подразделений информационной безопасности не позволяет иметь таких специалистов in-house.

Кроме того, в свете реализации ФЗ "О безопасности критической информационной инфраструктуры" последние несколько лет активно начали набирать популярность сервисы проведения категорирования объектов критической информационной инфраструктуры.

Мона Архипова

Уверенная рекомендация от меня – сервис anti-DDoS от Qrator Labs. Он позволяет не тратить время вашей команды на реагирование в случае DDoS-атак, а также существенно сократить стоимость оборудования, обслуживающего периметр сети. Владельцам бизнеса и топ-менеджерам я, пожалуй, могу рекомендовать услуги, связанные с регулярным независимым аудитом процессов и технической составляющей ИТ и ИБ. Свежим взглядом порой можно увидеть очень много скрытого, и хорошо, если это будут только неработающие процессы.

Каких сервис-провайдеров в России вы знаете?

Константин Саматов

В части услуг SOC – это компания "Перспективный мониторинг", лидер данного рынка. За ней подтягиваются ГК "Информзащита" и "Ростелеком-Солар". По сути, это самые крупные игроки в данном сегменте на сегодняшний день. В сегменте анализа защищенности и Penetration Test – Positive Tehnologies, УЦСБ, Инфосистемы Джет, ARInteg. В сегменте anti-DDOS – "Лаборатория Касперского", Сторм Системс, ДДОС-Гвард. Сервисы категорирования объектов критической информационной инфраструктуры – УЦСБ, R-Vision.

Мона Архипова

Сервис-провайдеры есть практически у каждого интегратора, у кого-то как подразделение компании, у кого-то как выделенная компания. Да, MSSP покрывает от 80 до 90% рутинных инцидентов, но всегда нужно помнить, что те самые непокрытые истории могут оказаться фатальными для вашего бизнеса.

К сожалению, сервис-провайдеров, предлагающих полноценные решения MDR помимо типовых услуг MSSP, на нашем рынке я не встречала. Впрочем, на глобальном рынке подобные игроки уже имеются, а значит рано или поздно это дойдет и до нас.

Как вы считаете, будет ли меняться картина рынка предоставления услуг по аутсорсингу? Будет ли рынок разделен между ведущими игроками или будет более сильная фрагментация?

Константин Саматов

Сам рынок услуг MSSP (Managed Security Service Provider), по сути, имеет несколько сегментов, в каждом из которых будет своя картина. Так, рынок услуг SOC, скорее всего, будут делить между собой несколько десятков крупных интеграторов, так как существует достаточно высокий порог вхождения и достаточно серьезные требования к квалификации кадров (то, что часто называют "экспертиза"). А вот сегмент внешнего анализа защищенности и Penetration Test будут доступны уже и для мелких интеграторов ввиду отсутствия больших издержек на создание инфраструктуры, в отличие от сегмента SOC.

Мона Архипова

В рамках проектной деятельности большие "ситуативные" команды работают хорошо, позволяя более гибко управлять бюджетом и привлекать узкопрофильных экспертов для оценки и консультаций. На длинных же дистанциях выгоднее гибридная команда: специалисты junior/middle-уровня для поддержки и доработок, тимлид уровня senior в роли внутреннего эксперта-наставника и привлеченная внешняя экспертиза (консалтинг либо иные почасовые работы) для особо сложных задач. Если, конечно, безопасность не является вашим основным бизнесом. Не секрет, что в ИБ- и ИТ-отрасли существует дефицит специалистов. Трудно не только подобрать, но и удержать экспертов. Для себя мы выбрали адаптированную гибридную историю: в зависимости от подразделения перевес происходит в разные стороны, где-то в сторону аутстаффинга, где-то в аутсорсинг, где-то в привлечение к работам наших партнеров. Однако для основных наших направлений у нас собрана внутренняя команда экспертов.

Комментарий эксперта
Лев Палей
Начальник отдела ИТ-обеспечения защиты информации АО “СО ЕЭС”

В последнее время очевиден рост значимости информационной безопасности в разных сферах. Этому способствует накопившаяся практика, позволяющая в части некоторых процессов ИБ перейти к этапу совершенствования, а также уделить внимание ранее неприоритетным вопросам. При этом эффективность вложений в ИБ все так же остается если не загадкой, то вопросом довольно непрозрачным. Тут мнения (и приводимые аналогии) разнятся: одни объясняют это как страховку (постоянно платишь, чтобы снизить вероятный ущерб); другие выставляют KPI, исходя из потребности бизнеса (в своем понимании) и ориентируясь на принятые финансовые метрики; третьи говорят о полном соответствии как о полноценном доказательстве эффективности.

Все точки зрения имеют право на жизнь с корректировкой на курс самой компании. На мой взгляд, наиболее близок к реальности подход, учитывающий полярные точки зрения и воспринимающий их как набор
инструментов для реализации успешной стратегии ИБ. Измерить достижимость таких целей возможно только при точном понимании текущих затрат как в процессном, так и в техническом плане.

Из чего же складывается итоговая стоимость ИБ? Самые распространенные методы оценки включают в себя:

  1. Фонд оплаты труда подразделений, задействованных в процессах ИБ. Сюда также можно добавить трудозатраты специалистов, участвующих в процессах обеспечения, но не относящихся напрямую к направлению ИБ.
  2. Стоимость средств защиты и финансовых затрат на их эксплуатацию с учетом продления лицензий и необходимости технической поддержки использующихся комплексов и решений.
  3. Оценку возможного или понесенного ущерба при наличии процессов оценки рисков в компании.

А вот признанных инструментов снижения затрат на все перечисленное не так много. Один из них – аутсорсинг (включая аутстаффинг), который декларируется MSSP-провайдерами как панацея для быстрого старта и снижения затрат. Однако из собственного опыта использования и сравнения таких услуг могу сказать, что в существующих условиях данное утверждение неверно ни в одном из своих аспектов.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2019

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"