Аутсорсинг информационной безопасности

Дата: 23.11.2022. Автор: CISOCLUB. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
Аутстафинг ИБ и аутсорсинг информационной безопасности

Российский бизнес 5-10 лет назад был плохо знаком с такими терминами как «аутсорсинг» и «аутстафинг» информационной безопасности. Во многом это было связано с тем, что организации различных отраслей деятельности старались самостоятельно решить бизнес-задачи, связанные с обеспечением ИБ.

Сейчас аутсорсингом в России активно пользуются как крупные, так и средние по размерам компании. Вместе с этим, перейти на новый уровень, передав на аутсорсинг средства защиты информации и функции информационной безопасности решаются далеко не все.

Эксперты указывают на ежегодный рост аутсорсинга ИБ в России, но достаточно сдержанными темпами, если сравнивать с Северной Америкой и Европой. Наибольшим спрос в этом направлении наблюдается на услуги консалтингового и технического сопровождения систем защиты и обеспечения информационной безопасности, разработки внутренней документации по ИБ, повышению осведомленности сотрудников, а также аутсорсинг консалтинговых услуг, к примеру, в сегменте защиты персональных данных.

Причин, по которым конкретная компания решает передать часть функций ИБ на аутсорсинг, может быть множество: дефицит кадрового персонала, оптимизация собственной ИБ-службы, необходимость в поддержке в режиме 24/7, потребность в быстром старте сервисов или в экспертизе узкопрофильных специалистов по информационной безопасности, снижение издержек на обеспечение ИБ и т. д.

Редакция CISOCLUB поговорила с экспертами отрасли на тему аутсорсинга и аутстафинга ИБ в России. На наши вопросы ответили:

  • Алексей Голдбергс, заместитель генерального директора Infosecurity а Softline Company.
  • Андрей Дугин, руководитель МТС SOC.
  • Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».
  • Владимир Лунев, архитектор информационной безопасности, компания «Бастион».
  • Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC.

Как изменился рынок аутсорсинга ИБ за последний год?

Алексей Голдбергс, заместитель генерального директора Infosecurity а Softline Company:

Аутстафинг ИБ и аутсорсинг информационной безопасности
Алексей Голдбергс, заместитель генерального директора Infosecurity а Softline Company

«Спрос на услуги в области ИБ однозначно возрос. Это связано как с ужесточением требований со стороны регуляторов, так и с количеством и сложностью кибератак. Учитывая то, что кадровый голод в квалифицированных ИБ-специалистах не утихает, а только возрастает, это заставляет как коммерческие организации, так и государственные структуры обращаться к услугам поставщиков сервисов ИБ. В первую очередь это касается услуг мониторинга и реагирования на киберинциденты, а также консалтинга».

Андрей Дугин, руководитель МТС SOC:

«Рынок расширился. В первую очередь за счёт передачи на аутсорс тех функций, которые вдруг стали нужны бизнесу для его нормального функционирования, потому что они защищают от кибератак, которые, оказывается, могут вредить. В первую очередь это WAF и защита от DDoS. Следующим этапом — сервисы детектирования и отражения атак, такие как SOC».

Для кого актуальны услуги аутсорсинга в России?

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»:

Аутстафинг ИБ и аутсорсинг информационной безопасности
Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»

«Аутсорсинг можно разделить на услуги по защите от внешних и внутренних угроз. Аудитория первого типа услуг – крупные компании и государственные структуры, которые отнесены к КИИ. Эти организации по закону обязаны проводить мониторинг кибератак. Также в государственных структурах не всегда хватает рук, чтобы закрыть все ИБ-задачи, поэтому для защиты они привлекают сторонние компании.

Второй тип аутсорсинга – это услуги по защите от внутренних рисков: контроль использования рабочего времени, выявление мошенничества и предотвращение несанкционированного доступа к конфиденциальной информации. Такой аутсорсинг в первую очередь полезен малому и среднему бизнесу, которому проблематично выстраивать ИБ-отдел и выделять средства на закупку «железа». С помощью аутсорсинга МСБ не только может закрывать потребности ИБ, но и понять, в каком формате дальше выстраивать безопасность. Как показывает практика, крупный бизнес тоже заинтересован в аутсорсинге внутренней ИБ. Его мотивация в том, чтобы за счет внешних специалистов усилить собственные отделы информационной безопасности. При этом ПО, как правило, у них уже стоит».

Владимир Лунев, архитектор информационной безопасности, компания «Бастион»:

Аутстафинг ИБ и аутсорсинг информационной безопасности
Владимир Лунев, архитектор информационной безопасности, компания «Бастион»

«Аутсорсинг актуален для компаний из всех отраслей. Он позволяет быстрее выйти на требуемый уровень зрелости ИБ-процессов. При традиционном подходе руководитель разрабатывает концепцию защиты, формирует команду, налаживает взаимодействие ИТ и бизнес-подразделений на всех уровнях. Причем, все эти процессы параллельны.

В случае аутсорсинга ИБ компания-поставщик уже имеет все требуемые компетенции, знает подходы к реализации административных и технических мер защиты, и благодаря своему опыту готова предложить именно те меры, которые требуются конкретному заказчику. Со стороны заказчика требуется только уполномоченное контактное лицо – связующее звено между аутсорсинговой компанией и внутренними подразделениями. Таким образом, аутсорсинг сокращает сроки старта эффективной работы ИБ».

Андрей Дугин, руководитель МТС SOC:

«Аутсорсинг ИБ актуален всем, у кого есть задачи, но не хватает сотрудников. Например тем, кто может себе позволить технические средства защиты, но не полноценный штат для настройки и обработки результатов их работы. Тем, у кого ИБ не основной бизнес, такие услуги тоже актуальны».

Аутсорсинг и аутстафинг. В чем разница и что выгоднее для клиента?

Андрей Дугин, руководитель МТС SOC:

Аутстафинг ИБ и аутсорсинг информационной безопасности
Андрей Дугин, руководитель МТС SOC

«Аутстаффинг — аренда человека для потребления результатов его работы. Аутсорсинг — передача исполнения некоторой функции, результаты которой нужны. При всей очевидности иногда разница между этими понятиями может быть очень размытой».

Владимир Лунев, архитектор информационной безопасности, компания «Бастион»:

«Аутсорсинг подразумевает передачу всего процесса развития и поддержания информационной безопасности на исполнение внешней компании-подрядчику. При аутстаффинге компания-подрядчик предоставляет своих специалистов заказчику на определенный срок для решения конкретных задач. Причин для выбора того или иного подхода несколько: для выполнения большой функции или процесса выгоден аутсорсинг – подрядчик берет на себя обеспечение персоналом, оборудование, лицензии и т. д.

Аутстаффинг приобретает смысл, когда заказчику необходимо быстро найти высококвалифицированного специалиста на относительно короткий срок. С одной стороны, это повышает стоимость реализации проекта, но, с другой – существенно сокращает его сроки. Поэтому в конечном счете аутстаффинг позволяет сэкономить общий бюджет проекта. В целом выбор зависит от специфики задач, которые стоят перед каждым конкретным заказчиком, поэтому ответ на вопрос о выгодности того или иного подхода остается за ним».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»:

«Разница между двумя формами взаимодействия в том, что при аутсорсинге заказчик передает вендору функции по обеспечению ИБ, которые тот выполняет на договорной основе. При аутстафинге заказчик получает в команду дополнительного сотрудника, с которым можно совместно работать над задачами. Поэтому, если у заказчика есть инструментальная база и собственный ИБ-отдел, то выгоднее воспользоваться услугами аутстафинга. А вот компаниям, у которых не выстроены бизнес-процессы, нет выделенной службы безопасности и ресурсов для закупки оборудования, экстренно повысить уровень ИБ поможет аутсорсинг».

Алексей Голдбергс, заместитель генерального директора Infosecurity а Softline Company:

«Прибегая к услугам внешних поставщиков (аутсорсинг), компания не только получает гарантированный результат, который определяется условиями договора, но и снижает издержки на поиск, адаптацию, обучение и удержание персонала. В случае же аутстафинга, компания платит за штатную единицу ежемесячно, но результат при этом не гарантирован».

SECaaS и MSSP. Какая модель бизнеса выгоднее для клиента?

Владимир Лунев, архитектор информационной безопасности, компания «Бастион»:

«В модели MSSP инфраструктура ИБ принадлежит заказчику. Он инвестирует в оборудование, софт и лицензии. Персонал для обслуживания на условиях аутстаффинга предоставляют подрядчики. При таком подходе в договоре закрепляются нормочасы компетенций по каждой услуге. В рамках этой модели заказчик берет на себя ответственность за выбор решений и их жизненный цикл. Переход от решения к решению занимает продолжительное время, так как требуется время на выбор, закупку, поставку, найм персонала или переобучение, внедрение и введение в эксплуатацию. Потребителями модели MSSP являются заказчики, у которых нет возможности или потребности в выносе инфраструктуры из внутреннего периметра во внешнее «облако», а также заказчики, работающие с критической по своей важности информацией.

Модель SECaaS подразумевает размещение систем ИБ во внешней по отношению к заказчику инфраструктуре. В этом случае подрядчик предоставляет заказчику как инфраструктуру, так и компетенции по управлению. При таком подходе заказчик не зависит от своих вычислительных мощностей. Все вопросы масштабирования сервиса выполняются подрядчиком. Яркими примерами «облачных» сервисов ИБ являются Anti-DDoS, WAF, Antispam, AntiAPT.

Модель SECaaS позволяет быстро внедрять различные технические решения в рамках одного поставщика услуг или переходить от поставщика к поставщику практически без появления промежутка в защите, получить высокую скорость обновлений. SECaaS обеспечивает более выгодную стоимость владения по сравнению с моделью MSSP.

Ограничением может стать фактор доверия заказчика к подрядчику. Не всю информацию разрешено выводить во внешнее «облако», так как возрастает вероятность утечки данных. В остальных случаях модель SECaaS позволяет получить технологические и экономические преимущества благодаря гибкости «облачных» технологий».

Алексей Голдбергс, заместитель генерального директора Infosecurity а Softline Company:

«В большинстве случаев SECaaS выгоднее, поскольку чаще всего предполагает некий фиксированный набор возможностей по кастомизации. А там, где есть хоть какая-то стандартизация, чаще всего ниже издержки и больше возможностей для автоматизации, а значит и для снижения себестоимости и конечной стоимости продукта для потребителя. Другое дело, что такой фиксированный набор далеко не всем и не всегда подходит. В этом случае заказчику имеет смысл обращаться к модели MSSP, которая может предложить большую гибкость в формировании предложения для клиента».

Андрей Дугин, руководитель МТС SOC, подчеркнул, что здесь нельзя дать однозначного ответа, но, если говорить грубо, то «своя инфа — MSSP, облако — SECaaS».

Какие функции ИБ стоит передавать на аутсорсинг, а какие нет?

Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC:

Аутстафинг ИБ и аутсорсинг информационной безопасности
Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC

«Чтобы ответить на этот вопрос нужно понимать технические возможности, размер организации, цели и стратегию в области ИБ, а также наличие необходимых компетенций.

Наиболее целесообразно передавать на аутсорсинг сложные комплексные процессы информационной безопасности, требующие глубокой экспертизы и наличия профессионалов из разных отраслей. Большинство компаний не готовы содержать целый ряд узких специалистов, поскольку существуют следующие проблемы:

  1. Экономическая целесообразность, ввиду высокой стоимости таких специалистов.
  2. Поддержание уровня необходимых компетенций и обучения, развития сотрудников, так как информация очень быстро устаревает.
  3. Сложность поиска на рынке труда дефицитных кадров экспертного уровня.
  4. Поддержание мотивации и необходимого уровня загрузки.

Для решения данных проблем некоторые процессы информационной безопасности и передаются на аутсорсинг. В первую очередь, к ним относятся:

  1. Управление уязвимостями.
  2. Анализ на проникновение.
  3. Мониторинг и расследование (или реагирование) инцидентов информационной безопасности.
  4. Техническая и экспертная, а также эксплуатационная поддержка средств ИБ.

Как правило, мы предлагаем заказчикам выстраивать отношения поэтапно, начиная с технической поддержки (или, если необходимо, с аудита), и далее постепенно расширять перечень передаваемого функционала, углубляя взаимодействие. Накопленный опыт и знание инфраструктуры заказчика позволяют точнее подстраиваться под требования, развивать и обогащать предоставляемые услуги, а выделенный менеджер осуществляет контроль их качества».

Алексей Голдбергс, заместитель генерального директора Infosecurity а Softline Company:

«Следует передавать те функции, которые выполняются не постоянно, а с какой-то периодичностью, например, тестирование на проникновение. Вряд ли найдется много компаний с требованиями по еженедельному проведению подобных проверок. Следовательно, нет никакого резона держать внутри компании команду высококвалифицированных специалистов. Во-первых, это будет дорого, а во-вторых, они достаточно быстро заскучают и рано или поздно все равно покинут компанию.

Следующим, что напрашивается на передачу внешнему поставщику услуг, мониторинг событий и инцидентов. Подключившись к коммерческому SOC можно в короткие сроки наладить круглосуточный мониторинг вместо того, чтобы сначала несколько месяцев собирать первую и вторую линии, а потом постоянно заниматься их развитием и удержанием в них сотрудников, поскольку, как известно, в них как раз наибольшая текучка кадров».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»:

«Все функции, которые заказчик может выполнить собственные силами, лучше выполнять самостоятельно. В долгосрочной перспективе компаниям выгоднее закрывать ИБ задачи внутри компании, наращивать компетенции специалистов, расширять штат за счет внутреннего обучения и т.д.

Другое дело, что когда нужно экстренно закрыть какую-то задачу или разгрузить отдел и специалиста от рутинных задач, чтобы тот занялся более приоритетными – имеет смысл воспользоваться аутсорсингом. Тут уместна аналогия с арендой софта и облаков, например, покупка оборудования лучше в долгосрочной перспективе, аренда – в краткосрочной».

Владимир Лунев, архитектор информационной безопасности, компания «Бастион»:

«На аутсорсинг можно передавать любые функции ИБ. Вопрос лишь в стоимости услуг и соблюдении законодательства. Если аутсорсинг обеспечивает лучшее соотношение затрат и SLA по отношению к собственным ресурсам, то его стоит рассмотреть в обязательном порядке».

Андрей Дугин, руководитель МТС SOC:

«Нельзя передавать те функции, которые должны исполняться штатными сотрудниками в связи с регуляторными требованиями, а также функции по административному воздействию на сотрудников при расследовании инцидентов ИБ. Нужно передавать те функции, для исполнения которых невыгодно держать собственные ресурсы».

Как технически и организационно передаются функции, процессы, СЗИ на аутсорсинг?

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»:

«Заказчикам не приходится ничего менять для того, чтобы воспользоваться услугами аутсорсинга. Да, прикладные инструменты для аутсорсинга попадают внутрь инфраструктуры заказчика, но сама инфраструктура, как правило, сейчас не является полностью закрытой. Она распределенная и взаимодействует между собой через интернет.

Это ложится в общую концепцию организации инфраструктуры, принятую сейчас. Разделение на глобальную сеть и локальную больше не работает. Наверное, не осталось больше заказчиков, у которых закрытая локальная сеть, внутри которой все работает. В любом случае в компании есть сервисы, которые имеют доступ в Сеть, арендуются через интернет, расположены в интернете».

Андрей Дугин, руководитель МТС SOC, заявил, что всё это происходит в два этапа: сначала нужно понять, что такой передачей не происходит нарушения каких-либо законов, а затем требуется заключить договор и прописать в нём матрицу, SLA и результаты.

Какую ответственность несет поставщик услуг по аутсорсингу ИБ?

Владимир Лунев, архитектор информационной безопасности, компания «Бастион»:

«Ответственность поставщика услуг закрепляется договором с заказчиком и устанавливается в зависимости от специфики бизнес-процессов конкретной компании. В большинстве случаев договор формулируется широко и покрывает все возможные инциденты. Также поставщик услуг несет ответственность перед государством за соблюдение законодательства при выполнении работ, требующих лицензирования».

Андрей Дугин, руководитель МТС SOC:

«В каждом договоре есть ответственность сторон. Есть функции, которые поставщик не может выполнить, даже если очень хочет. Например, SOC оповестил об инциденте вовремя, предоставил всю информацию, а клиент не выполнил рекомендации по реагированию и устранению причин. При этом запоздалая реакция нарушила работу важной системы заказчика. Стоит модернизировать процесс реагирования на инциденты у заказчика, либо предоставить SOC возможность выполнять изменения в системах заказчика».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»:

«Поставщик обязан обеспечить безопасную работу и сохранность секретов клиента. Поэтому обязательно подписание NDA – это документальное оформление ответственности. Что касается технических мер, в нашем, например, случае – это работа на сервере клиента, запрет на копирование информации, а также двойная система контроля аналитика (т.е. его работу мониторит другой «безопасник»). Но бывают и другие требования. Некоторым важна сертифицированная среда, другим нужно разрешение на работы по технической защите информации у исполнителя».

Какие параметры следует закладывать в SLA для аутсорсинга?

Владимир Лунев, архитектор информационной безопасности, компания «Бастион»:

«В SLA обязательно нужно закладывать качество и количество выполнения работ (согласовывается с заказчиком), время возможного простоя, технологические «окна» для выполнения регламентных работ, промежуток в течение суток для предоставления услуг или круглосуточно, доступность сервиса в течение договорного периода, время принятия в работу поступившей от заказчика задачи в оговоренных рамках критичности, время решения проблемы в рамках оговоренной критичности, время уведомления заказчика о возникшей проблеме, время предоставления отчета о решении проблемы».

Андрей Дугин, руководитель МТС SOC, обозначил следующие параметры: время оповещения об инциденте и предоставление рекомендаций, либо время отражения атаки, если есть такая опция.

Как оценить эффективность аутсорсинга?

Андрей Дугин, руководитель МТС SOC:

«Появится время и ресурсы для дальнейшего применения внутри компании результатов работы аутсорсинговых функций».

Владимир Лунев, архитектор информационной безопасности, компания «Бастион»:

«Эффективность работы аутсорсинга проверяется соответствием фактического качества выполненных работ качеству, заложенному в договоре на оказание услуг. Без базовый компетенций по ИБ оценить эффективность аутсорсинга может быть сложно. Наилучшим выходом будет приглашение независимой аудиторской компании для оценки».

По каким критериям выбирать поставщика услуг по аутсорсингу?

Владимир Лунев, архитектор информационной безопасности, компания «Бастион», перечислил следующие критерии:

  • Репутация на рынке услуг.
  • Наличие необходимых компетенций, подтвержденное сертификатами вендоров.
  • Спектр возможных услуг.
  • Количество специалистов поставщика по требуемой заказчику услуге.
  • Качество SLA, которое поставщик обязуется предоставить заказчику.
  • Наличие у поставщика списка успешно выполненных проектов с возможностью референса их у заказчиков.

Андрей Дугин, руководитель МТС SOC, считает, что выбирать поставщика услуг по аутсорсингу необходимо по экспертизе.

Перспективы российского рынка аутсорсинга ИБ

Алексей Голдбергс, заместитель генерального директора Infosecurity а Softline Company:

«Равно как это сейчас происходит практически во всех отраслях экономии, рынок ИБ будет укрупняться. Это коснется как производителей средств защиты информации, так и поставщиков услуг. Я не удивлюсь, если через 2-3 года их общая численность сократится в 2 раза, а квалифицированные специалисты по ИБ распределяться между ними и крупными корпорациями с большим штатом подразделений ИБ».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»:

«Мы рассчитываем, что уже в следующем году отечественный рынок ИТ-услуг дойдет до той фазы популярности аутсорсинга, которую западные страны прошли еще пять лет назад. Основной тренд вижу не в регуляторике, а в ужесточающихся требованиях или желании заказчика попробовать современные технологии, а в том, что этот год подорвал доверие к иностранным поставщикам услуг и продуктов. Сейчас заказчики не могут быть уверены в том, что иностранное решение и услуга завтра не перестанет работать. Сейчас даже частный бизнес, который юридически не обязан использовать отечественное ПО, все равно переориентируются на услуги отечественных вендоров».

Владимир Лунев, архитектор информационной безопасности, компания «Бастион»:

«Рынок аутсорсинга будет расширяться с возрастающей скоростью. Цифровизация бизнеса требует увеличения штата специалистов. К тому же, постоянно возникают новые и новые виды угроз, на которые бизнес должен реагировать. Не успев закрыть уязвимость сегодня, уже завтра можно столкнуться с массовой или целенаправленной атакой, которая остановит работу предприятия. Для предотвращения таких негативных событий компаниям нужны большие команды специалистов ИБ, их необходимо постоянно обучать, вкладывать ресурсы в развитие систем защиты и т. п.».

Андрей Дугин, руководитель МТС SOC, среди перспектив отечественного рынка аутсорсинга ИБ видит облака и MSSP.

Об авторе CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Читать все записи автора CISOCLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *