Достаточно выделить лишь несколько минут на поиск в отечественной прессе публикаций, посвященных аутсорсингу информационной безопасности, чтобы убедиться – в последние два года эта тема исчезла с полос печатных и интернет-изданий. Если еще пару лет назад большинство экспертов сходилось во мнении, что российский рынок аутсорсинга ИБ находится на стадии формирования, то текущее положение вещей уже способно заинтересовать специалистов. На пороге 2017 г. у ведущих системных интеграторов в портфеле появилось достаточное количество успешно реализованных аутсорсинговых проектов. Из года в год их количество кратно увеличивается, а рост экономических и технологических преимуществ аутсорсинга демонстрирует зрелость российских сервис-провайдеров и заказчиков.
Что теперь представляет собой аутсорсинг информационной безопасности, какие тенденции и перспективы ему свойственны? Прежде всего, необходимо разделить понятия технической поддержки, сопровождения, профессиональных сервисов и аутсорсинга. Последовательно эти услуги часто являются эволюционной дорожной картой перехода к аутсорсингу по сервисно-ориентированной модели служб, отвечающих за ИБ.
Техподдержка СОИБ
Техническая поддержка систем обеспечения информационной безопасности (СОИБ) – это процесс обеспечения работоспособности оборудования или программного обеспечения. Другими словами, техническая поддержка – это описываемая соглашением об уровне обслуживания SLA (Service Level Agreement) совместная деятельность службы ИБ заказчика, сервисных центров интегратора и производителя по ремонту, восстановлению работоспособности аппаратного и программного обеспечения, а также предоставление консультаций по работе СОИБ.
В наиболее часто встречающуюся конфигурацию услуг технической поддержки в России входят:
- прием, регистрация и диспетчеризация обращений по работе СОИБ в режиме 9×5 или 24×7;
- мониторинг, диагностика, локализация инцидентов и восстановление работоспособности СОИБ;
- ремонт и замена оборудования, выпуск и установка патчей или исправлений ошибок (bugfix) для аппаратных прошивок и программного обеспечения;
- консультации и рекомендованные производителем регламентные работы;
- контроль качества и отчетность по оказываемым услугам.
Степень вовлеченности в оказание технической поддержки собственных служб ИБ заказчиков, поставщиков решений и производителей зависит от наличия компетенций в разрешении инцидентов СОИБ. Сегодня технологии технической поддержки шагнули далеко вперед: от реактивных сервисов к проактивной и предиктивной технической поддержке (от англ. predictive – предсказывающий).
Услуга сопровождения
Услуга сопровождения систем обеспечения информационной безопасности помимо описанной выше технической поддержки включает меры по обеспечению соответствия функций СОИБ потребностям конечных пользователей и заказчиков (часто понятия заказчика и конечного пользователя рекомендуется разделять).
В России наиболее востребован следующий набор сервисов сопровождения:
- техническая поддержка СОИБ;
- запросы на изменения конфигурации СОИБ, включая обновление версий и расширение функциональности;
- функциональный мониторинг и решение сбоев функционирования СОИБ;
- оптимизация количественных и качественных параметров функционирования СОИБ;
- регламентированное выделение человеческих и технических ресурсов для профилактических работ и обеспечения актуальности эксплуатационной документации;
- эксплуатационные аудиты и расширенная отчетность о функционировании СОИБ.
Как видно из содержания услуг, входящих в сопровождение СОИБ, основной особенностью является нацеленность на решение конкретных задач обеспечения безопасности информационной инфраструктуры: ИТ-инфраструктуры, базовых информационных, прикладных и технологических систем.
Профессиональные сервисы
Следующим видом в описываемой нами цепочке используемых заказчиками услуг являются профессиональные сервисы. Они отличаются от технической поддержки и сопровождения тем, что в них выше ценятся профессионализм, опыт и ответственность за результат, чем, скажем, скорость реакции сервисных служб на инциденты. В России профессиональные сервисы в области информационной безопасности можно разделить на две группы: учебно-аттестационные и экспертные.
К первой группе профессиональных сервисов принято относить:
- обучение и сертификацию специалистов;
- проведение аудитов информационной безопасности;
- проверку соответствия требованиям законодательства и регуляторов.
Экспертные сервисы отличаются многообразием и призваны предоставлять заказчикам высокий уровень профессиональных компетенций:
- проектирование, инсталляции и внедрение;
- стендирование решений;
- проведение расследований, в том числе юридически значимых;
- миграция и разовые работы, например надзор;
- консалтинг.
Легенды и мифы аутсорсинга
Прежде чем перейти к описанию услуги аутсорсинга и ее применимости в области информационной безопасности, нам придется сделать одно лирическое отступление. Существует несколько мифов относительно моделей аутсорсинга.
Миф № 1. «Противостояние и противопоставление инсорсинга и аутсорсинга».
На самом деле любой выбор способа «сорсинга» информационной безопасности – это управленчески и экономически обоснованный способ выбора решения задач обеспечения информационной безопасности. Как показывает анализ листингов руководителей в области ИТ и ИБ, номинированных на различные профессиональные премии, нет ни одного менеджера, который бы не использовал и грамотно не интегрировал обе модели управления и делегирования функций.
Миф № 2. «Обеспечение информационной безопасности нельзя передавать на аутсорсинг».
Да, в каждой компании или организации есть уникальные информационные объекты охраны, процессы управления и сопровождения бизнеса. Как и в ИТ-аутсорсинге, специфичные, неотделимые от компании функции не рекомендуется передавать на аутсорсинг. Например, функции определения стратегии информационной безопасности, принятия решений в области управления рисками, распределения прав доступа к информационным и технологическим системам класса mission & business critical (критически важные для бизнеса).
Миф № 3. «Никто не сможет решить эту задачу лучше меня».
Этот миф год за годом разрушает эволюция. Разделение видов деятельности по функциям и передача функций профессиональным управленцам и исполнителям сделали из человека «all-in-one» современного «профильного специалиста-профессионала». Если бы этого не происходило, каждый из нас оставался бы одновременно охотником, охранником, пахарем и строителем. Поэтому история цивилизации – это история развития аутсорсинга.
Миф № 4. «Передача функций на аутсорсинг небезопасна с точки зрения утечек».
Достаточно сравнить стоимость компенсации, получаемой компанией в случае кражи информации внутренним сотрудником и сервис-провайдером ИБ-аутсорсинга. Штраф в размере одного месячного размера ФОТ одного сотрудника против штрафных санкций, прописанных в договоре, которые могут достигать семизначных значений. Очевидно, что уважаемые на рынке сервис-провайдеры ИБ-аутсорсинга оснащены сегодня самыми современными системами безопасности, включая DLP и ISP.
Аутсорсинг информационной безопасности
Итак, вернемся к услуге аутсорсинга ИБ или, как ее еще называют, комплексной услуге по поддержке и сопровождению систем информационной безопасности. Сегодня под аутсорсингом понимают исполнение внешним сервис-провайдером функций внутренней службы заказчика. Как правило, аутсорсинг включает в себя и техническую поддержку, и сопровождение, и определенный набор профессиональных сервисов.
Российскую традицию использования услуг аутсорсинга в области информационной безопасности можно описать типичным примером из практики: появилась угроза или реализовался риск – начинается поиск решения, которое может предотвратить негативные последствия в будущем. В течение нескольких месяцев выполняются обзор рынка, множество обследований и демонстраций, на основании которых дается бюджетная оценка и готовятся конкурсные процедуры. Далее месяцы внедрения, и заказчик получает решение. Затем начинается этап эксплуатации, который приводит к ряду неутешительных просчетов: собственный персонал нуждается в количественном и качественном увеличении, закупленная во время проектов внедрения техническая поддержка производителя не может обеспечить высоких требований к скорости реакции и времени разрешения инцидентов и событий информационной безопасности. В итоге спустя год или два заказчик понимает, что требования надежности и доступности заявленных функций информационной безопасности нужно обеспечивать на принципиально другом уровне – организационном, техническом и финансовом.
Одним из лучших способов эффективного решения задач обеспечения информационной безопасности является построение сервисно-ориентированной модели. В этом случае путем описания основных сервисов, предоставляемых службой информационной безопасности, формируется структурно-функциональная модель обеспечения СОИБ. Каждому сервису ИБ определяются критерии эффективности и финансовая оценка реализации. Подобный подход легко интегрируется с риск-менеджментом и позволяет руководителям принимать экономически и организационно обоснованные решения, а также планировать стратегию обеспечения информационной безопасности, сформированной на оценке детерминированных угроз.
По оценкам, сформированным на основании обращений наших заказчиков с 2014 по 2016 г., процент использования сервисно-ориентированной модели в обеспечении информационной безопасности вырос с 3 до 12%. Тренды показывают, что в 2017 г. этот показатель может увеличиться до 25%.
Заказчики обычно используют следующие преимущества аутсорсинга:
- самые эффективные компетенции: цена, качество и доступность;
- cсоответствующий требованиям бизнес-процессов SLA;
- независимость и объективность (в том числе для расследований и отчетности);
- повышение производительности труда собственных сотрудников;
- быстрая масштабируемость ресурсов;
- рыночное снижение цены за счет конкуренции предложений;
- исключение затрат на «автоматизацию автоматизаторов»;
- разрешение инцидентов на стыках технологий и разных производителей;
- более высокая скорость внедрения услуги;
- возможность отказаться от услуги.
Имеются и недостатки услуги аутсорсинга. Например, любые работы, выходящие за рамки оговоренных SLA-соглашением с сервис-провайдером аутсорсинга ИБ, потребуют от вас дополнительных относительно больших затрат.
К услугам аутсорсинга относят и так называемые управляемые услуги (managed-services: SaaS, PaaS). Они позволяют заказчику решать задачи обеспечения безопасности комплексно: в эту услугу входят проектирование решения, поставка оборудования и программного обеспечения, внедрение и сопровождение. За заказчиком остаются лишь определение требований к услуге и контроль их выполнения. Крупнейшие российские производители систем ИБ готовы в 2017 г. выпустить несколько своих продуктов по MSSP-модели (MSSP – Managed Security Service Provider). Для западных игроков рынка ИБ продажа решений как услуг становится не просто модным трендом, а устойчивой бизнес-моделью сотрудничества «производитель – провайдер – заказчик».
Аутсорсинг ИБ в России
Последние пару лет в России отмечается резкий рост спроса на услуги на базе Центра мониторинга информационной безопасности, существующего в составе SOC (Security Operations Center – центр операций безопасности), который за несколько лет накопил опыт реализации аутсорсинговых проектов в ведущих сферах отечественной экономики: банковской, телекоммуникационной, транспортной и ритейле.
Услуги ИБ-аутсорсинга строятся на данных, полученных из системы мониторинга событий информационной безопасности SIEM (Security Information and Event Management), которая собирает информацию об инцидентах информационной безопасности, а также события со всех СОИБ. Разработанные сервис-провайдером правила обработки событий, алгоритмы корреляции событий позволяют выявлять потенциальные и реальные инциденты, факты мошенничества (фрод). Процессы регулярных регламентов, выполняемых круглосуточно, и оперативная реакция инженеров по каждой из обслуживаемых СОИБ обеспечивают высокий уровень безопасности заказчика. Профессиональные сервисы реализуют периодический аудит правил детекции событий и расследований с подготовкой юридически значимых данных для принятия решений службами безопасности заказчика.
Комплексный подход при проектировании и реализации услуг аутсорсинга информационной безопасности обеспечивает:
- предоставление услуг обеспечения информационной безопасности по всему спектру систем информационной защиты: безопасность ИТ-инфраструктуры, информационных систем, бизнес-процессов и технологических систем;
- круглосуточный мониторинг событий и инцидентов информационной безопасности;
- проведение регулярных регламентов по сопровождению функционирования СОИБ;
- обеспечение технической поддержки СОИБ в режиме 24×7×365;
- регулярный аудит и развитие процессов мониторинга в соответствии с экспертными практиками борьбы с появляющимися угрозами;
- отчетность, необходимую для оценки эффективности проведенных мероприятий обеспечения информационной безопасности и используемую для объективного планирования развития средств защиты информационных ресурсов и технологических процессов заказчика.
Итог
К настоящему времени в России построено и загружено заказами только два полноценных SOC, однако растущий спрос дает надежду заказчикам получить конкурентный рынок предоставления услуг аутсорсинга ИБ. Это последний тренд развития комплексного обеспечения информационной безопасности, и в 2017 г. мы ожидаем как минимум удвоения объемов предоставляемых услуг аутсорсинга ИБ.