Аутсорсинг ИБ: заказчику и исполнителю есть повод договориться
Минувший год оказался богатым на прогнозы и амбициозные заявления российских интеграторов, причем самые смелые касались сегмента аутсорсинговых услуг. Именно эта ниша казалась той самой "землей обетованной", десантировать на которую стремился чуть ли не каждый поставщик ИТ-сервисов. И впрямь, количество заключенных контрактов в 2008 году заметно возросло (при значительном снижении стоимости самих контрактов), но всегда ли их можно отнести в копилку аутсорсинга, решают ли они вопросы информационной безопасности, и существует ли рынок аутсорсинга ИБ в чистом виде на российских просторах?Как показывает практика, решение о передаче специфических задач ИТ под ответственность аутсорсера чаще всего принимают руководители с западным типом мышления. Их выделяет умение делегировать принятие ответственных решений своим лучшим сотрудникам и желание выстраивать более гибкие бизнес-модели, что вполне отвечает концепции аутсорсинга. В какой-то степени – это один из показателей зрелости компании: чем лучше проработан какой-либо из ее внутренних процессов, тем легче и эффективнее переложить контроль за его выполнением сторонней организации.
Аутсорсинг ИБ: необъяснимо, но факт
Умение говорить на одном языке с заказчиком – первый шаг на пути к выгодному контракту, но в сфере аутсорсинга ИБ, по всей видимости, он еще не сделан, так как поставщики зачастую путают его с таким направлением, как консалтинг. Например, в перечне предоставляемых услуг в рамках аутсорсинга ИБ некоторые компании декларируют проведение внешнего и внутреннего аудита с целью выявления и устранения имеющихся уязвимостей (в том числе: тест на проникновение, инструментальный контроль защищенности систем, анализ информационных рисков) – традиционно консалтинговые услуги.
В данном случае вполне очевидное желание ИТ-компании расширить бизнес-портфель и заявить о себе как об аутсорсере оборачивается против всех участников рынка: с одной стороны, в профессиональной сфере активно обсуждается потенциальный спрос на решения, а с другой – размываются границы понятий и отсутствует понимание того, что товар можно продавать лишь тогда, когда он имеет вполне конкретное объяснение и характеристики. Ключевые из них содержатся в определении – с точки зрения маркетинга так наиболее проще выйти на заказчика и донести до него рыночную выгоду от сделки.
Что же говорят интеграторы и заказчики об ИТ-аутсорсинге ИБ? В первую очередь, они трактуют его как процесс передачи ряда внутренних функций сторонней организации с целью минимизации затрат на решение задач ИБ. И на этом единодушие заканчивается, так как начинается расхождение в вопросе того, что именно и на какой период перекладывается в зону ответственности аутсорсера. Смещение акцентов в сторону консалтинга, о котором уже говорилось, здесь не случайно – аутсорсинг в чистом виде связан с реализацией постоянных функций и бизнес-процессов предприятия (а не разовых проектов или заданий) на долгосрочной основе, но законодательная база и ситуация на отечественном рынке существенно тормозят развитие, казалось бы, перспективного и долгожданного явления.
Аутсорсер.В результате, типичный аутсорсер в лице генерального директора компании "Онланта" (ГК "Ланит") Сергея Тарана в свою трактовку термина вынужден добавить: "Данный вид услуги относится к тем функциям, которые не затрагивают ключевые процессы ИБ, а являются вспомогательными и находятся, если можно так сказать, снаружи "периметра безопасности" предприятия".
Заказчик. Вполне состоявшийся потенциальный заказчик услуг по аутсорсингу ИБ более скептичен. Так, по мнению заместителя директора департамента информационной безопасности финансовой корпорации "Открытие" Игоря Калганова, в российской практике передать такие основополагающие функции ИБ, как определение перечня и категорий конфиденциальной информации, документированное введение ограничений для конфиденциальной информации, назначение лиц, ответственных за защиту информации вообще невозможно. А без реализации указанных действий система защиты конфиденциальной информации, в соответствии с отечественным законодательством, будет нелегитимной.
В бизнес-портфель российского аутсорсера ИБ иногда попадают и чисто консалтинговые услуги
Помимо этого, Игорь Калганов отмечает недостаточную проработанность законодательства России в вопросах защиты коммерческой тайны в части защиты от конкурентной разведки. Доказать в суде, что основные свойства (конфиденциальность, доступность, целостность) какой-либо информации были нарушены или утрачены посредством использования уязвимостей в системе её защиты, а также получить какие-либо существенные компенсации в России практически невозможно. Поэтому компания всегда оставит у себя небольшой штат специалистов в области ИТ и ИБ для обеспечения конфиденциальности критически важной для ее бизнеса информации.
Таким образом, говорить об аутсорсинге в полном понимании данного термина не приходится ни поставщику услуг, ни заказчику. В российской действительности при употреблении термина "аутсорсинг ИБ" речь чаще всего идет о передаче под управление одного или нескольких групп сервисов. Реализовать аутсорсинг процесса ИБ по циклу Шухарта-Деминга (Plan-Do-Check-Act) в сегодняшних условиях практически невозможно. В период кризиса такое положение досадно вдвойне – ИТ-компаниям необходим стимул и средства для развития, а их клиентам – возможность экономии издержек на поддержание непрофильных активов. Тем не менее, оперируя хоть и условной терминологией, игроки рынка отлично понимают, что не выдают желаемое за действительность, а возможный заказчик достаточно зрел и относится к российскому аутсорсингу ИБ со здравой долей скепсиса.
Бизнес-портфель российского аутсорсера ИБ
В типичном портфеле аутсорсера ИБ (если не брать уже рассмотренные выше услуги в области консалтинга, которые декларируются как аутсорсинговые) присутствуют такие виды сервисов, как: управление межсетевыми экранами; управление системами обнаружения и предотвращение вторжений; управление антивирусными системами; защита корпоративного почтового трафика от спама; мониторинг информационных атак, направленных на ресурсы автоматизированной системы; управление криптографическими системами, включая построение виртуальных частных сетей и инфраструктуры открытых ключей; оказание технической поддержки по вопросам эксплуатации средств защиты, установленных на площадке заказчика.
На аутсорсинг передаются лицензируемые функции безопасности, но работа с внутренними инцидентами и распределение прав доступа, контроль ключевых систем защиты организация всегда оставляет за собой.