Рынок Аутсорс-услуг сегодня активно закрепился в бизнес-среде отечественных и зарубежных компаний. Услугами аутсорса пользуются не только маленькие фирмы, но и компании среднего размера, крупные поставщики и заказчики. Ни кого уже не удивишь деятельностью преданной на аутсорсинг: бухгалтерские услуги, юридическое сопровождение, логистика, администрирование ИТ-инфраструктуры. Пришла очередь и услуг информационной безопасности (ИБ), которые тоже стали представляться как сервис.

Довольно часто далеко не все компании, неважно малого или среднего размера, могут собрать в своем штате достаточное количество высококвалифицированных специалистов в области ИБ, а потому и приходится или ограничиваться тем уровнем ИБ, который можно обеспечить собственными силами, либо обратиться к внешним поставщикам. Важно отметить то, что даже тем организациям, которые могут позволить себе серьезную команду специалистов ИБ, все же иногда приходится прибегать к точечному аутсорсинга.

Аутсорсинг (от англ. Оutsourcing: (other-source-using) использование внешнего источника / ресурса) - передача организацией на основании договора, определенных бизнес-процессов или производственных функций на обслуживание другой компании, специализирующейся в соответствующей области.

В отличие от услуг сервиса и поддержки, имеющих разовый, эпизодический, случайный характер и ограниченных началом и концом, на аутсорсинг передаются обычно функции по профессиональной поддержке бесперебойной работоспособности отдельных систем и инфраструктуры на основе длительного контракта (не менее 1-го года). Наличие бизнес-процесса является отличительной чертой аутсорсинга от различных других форм оказания услуг и абонентского обслуживания. Базовая преимущество аутсорсинга для деятельности организации заключается в том, что аутсорсинг оптимизирует эту деятельность за счет того, что позволяет сконцентрировать функционирования на основном первоочередном направлении. За счет такой практической ценности аутсорсинг быстро и успешно прижился в бизнес-сфере как технология, помогает решить проблему сокращения скрытых расходов, повышение адаптации к условиям внешней среды, изменяются, улучшение качества услуг и выпускаемой продукции, квалифицированного управления рисками.

На западе уже давно существуют компании, специализирующиеся только на предоставлении услуг по аутсорсингу ИБ. Такие компании называются Managed Security Service Providers (MSSP) и предоставляют услуги аутсорсинга всех фундаментальных подсистем ИБ, например

• управления межсетевыми экранами;
• управления системами обнаружения и предотвращения вторжений (IPS / IDS);
• управления системы защиты от DDoS;
• управления системами контентной фильтрации электронной почты и веб-трафика;
• анализ уязвимостей и тестирования системы (включая проведение тестов на проникновение)
• управления антивирусными системами;
• управления системами сбора и обработки информации об инцидентах (SIEM)
• управления системами аутентификации и авторизации;
• управления криптографическими системами, включая построение виртуальных частных сетей (VPN) и инфраструктуры открытых ключей (PKI).

Обязательно необходимо помнить, что сервис-провайдер управляет инфраструктурой ИБ, ее сегментами или некоторыми процессами системы управления ИБ, но не несет ответственности за разработку корпоративной политики ИБ или требований к системе ИБ, хотя обязан их соблюдать.

В частности, при использовании аутсорсинга ИБ рекомендуется придерживаться следующих правил:

• Нельзя передавать на аутсорсинг задачу без метрик результативности и без понимания четкого результата.
• Нельзя передавать на аутсорсинг задачу, размер которой не соответствует размеру бизнеса сервис-провайдера.
• Нельзя передавать сервис-провайдера функцию «принятие рисков». При выполнении этих трех условий проекты по аутсорсингу информационной безопасности не должны вызывать проблем на стороне клиента.

В сфере ИБ-аутсорсинга существует два варианта реализации:

• Первый - когда существующие задачи и работы, а также ответственность за их выполнение передаваемых из внутреннего подразделения внешнем подрядчику.
• Второй - когда за аутсорсинг, компания-заказчик рассчитывает серьезно повысить уровень безопасности или получить качественно новые возможности.

В первом случае к аутсорсингу обращаются за ограниченности человеческих ресурсов. Во втором, как правило, компании оценивают в первую очередь скорость запуска сервиса ИБ и его долговременную стоимость.

Аутсорсинг актуален, например, когда требуется круглосуточное функционирование подсистем ИБ и оперативная реакция на инциденты в режиме 24/7, а также в условиях территориальной распределенности. Стандартной практикой стала передача на аутсорсинг процессов ИБ, требующих рутинных операций, круглосуточного мониторинга, оперативной реакции, а также высокой квалификации персонала: антивирусная защита, обслуживание периметровых средств защиты, обнаружения и предотвращения кибератак, управление криптографическими системами (VPN, PKI), сбор и анализ событий информационной безопасности. Это применимо в первую очередь для компаний, размещающих свои данные на внешних ресурсах, например в ЦОД.

Также аутсорсинг ИБ следует использовать в следующих ситуациях:

• Если необходимо получить объективную оценку (различные виды тестирования на соответствие требованиям, стандартам, на устойчивость к проникновению и т. Д.);
• Если экономическая эффективность посчитана и аутсорсинг будет значительно выгоднее для решения разовых или проблем, редко возникают;
• Если необходимо решить определенный круг сдач за ограниченное время.

Так же стоит отметить варианты ИБ-аутсориснга, а именно, первый вариант - полный аутсорс всей системы ИБ, и, второй - аутсорс отдельных бизнес-процессов.

Взаимосвязь ИТ и ИБ-аутсорсинг в наши дни

Услуги, предоставляемые сегодня аутсорсинговыми компаниями, включают и разработку на заказ любого программного обеспечения, и деятельности ИТ-инфраструктуры компании. Если заказывать ПО для собственных нужд могут позволить себе только действительно крупные компании. Имеющих серьезный доход, а вот второй вариант ИТ-аутсорсинга сегодня с успехом используют предприятия любого размера.

Сегодня тенденции развития сферы ИТ приводят к тому, что в этой сфере отчетливо формируется отдельная ниша - обеспечение информационной безопасности организаций. Из-за очень широкое применение информационных технологий, а также постоянно растущую важность данных в работе как коммерческих, так и государственных организаций, обеспечение информационной безопасности также все более порочные аспектом их работы. В наше время во многих компаниях работают специальные отделы информационной безопасности, обеспечивающих защиту корпоративных данных от самых разных угроз, как за пределами компании, так и существующих в ней самой.

Вместе с ростом стоимости обеспечения информационной безопасности сегодня все чаще возникает вопрос о том, каким образом можно сэкономить на этой статье расходов. Аутсорсинг выступает в этом случае одним из наиболее вероятных путей для решения проблемы.

Аутсорсинг и консалтинг в свете ИБ

Необходимо отделять аутсорсинг информационной безопасности от консалтинга ИБ в данной области. Хотя справедливости ради необходимо уточнить, что очень часто сами компании, которые предоставляют аутсорсинговые и консалтинговые услуги, путают эти сроки.

Консалтинг (англ. Consulting - консультировать) - это вид профессиональных услуг (как правило эти услуги платные), которые предоставляются корпоративным клиентам, интересующихся оптимизацией своего бизнеса.

К консалтингу обычно определяют разработку различных советов и требований, которые относятся к поддержке информационной безопасности организации на должном уровне. Типичные примеры тех работ, которые выполняют консалтинговые компании, специализирующиеся на ИБ, включают:

• Экономический анализ системы ИБ;
• Разработку методики для анализа защищенности организации;
• Разработку советов по защите информационной системы;
• Разработку требований к системе для защиты информации, которые соответствуют особенностям организации;
• Разработку технического задания для создания системы обеспечения информационной безопасности;
• Составления обзора ПО для обеспечения информационной безопасности по ранее заданным критериям;
• Разработку требований в плане квалификации сотрудников отдела информационной безопасности;
• Разработку нормативных актов и политики для обеспечения информационной безопасности.

Консалтинг в области безопасности данных, само собой, можно назвать достаточно важным компонентом для создания надежной защиты данных организации, он помогает оптимизировать расходы в этой графе бюджета компании. Но все-таки, консалтинг и аутсорсинг - разные вещи, которые органично дополняют друг друга.

Специалисты компании MO Group специализируются на аутсорсинге ИБ компаний, обеспечивающих управление межсетевыми экранами и системами обнаружения и предотвращения вторжений (IPS / IDS), проводят тесты на проникновение, контролируют системы аутентификаии и авторизации, обеспечивая полную информационную безопасность своих клиентов. Cпециалисты компании MO Group могут предоставить Вам всю необходимую информацию провести тестирование и проинформировать по поводу цен и сроков выполнения работ по телефонам +380 50 705 82 24 и +380 67 589 42 70

Данный материал подготовлен специалистами MO Group на базе публикаций зарубежной прессы.

Похожие