В последнее время некоторые владельцы бизнеса по разным причинам освобождаются от непрофильных функций, получая при этом дополнительные финансовые возможности и увеличивая прозрачность бизнеса. Вследствие таких тенденций формируются компании, предоставляющие свои профессиональные услуги на условиях аутсорсинга. Обычно на аутсорсинг передаются хозяйственные и транспортные услуги, ИТ, логистика и многое другое. Все чаще на аутсорсинг переводятся некоторые составляющие информационной безопасности.
По мнению Михаила Левашова, директора по методологии компании «Инфосекьюрити Сервис», основные недостатки аутсорсинга проявляются при определении необходимого уровня обслуживания, характеристик услуги и ее параметров, а также часто связаны с повышенной стоимостью таких услуг. «Скептики говорят, что обеспечение информационной безопасности — это особая функция, которая всегда должна быть неотделима от основного бизнеса, — рассуждает Левашов. — Однако отдельные компоненты обеспечения информационной безопасности уже давно предлагаются внешними фирмами. Хотя о полном аутсорсинге речь не идет».
Для грамотного и надежного выполнения требований информационной безопасности предприятие должно содержать значительный штат профильных специалистов высокой квалификации, что могут себе позволить только крупные и «богатые» организации. В противном случае предприятия обращаются к внешним организациям, которые готовы принять на полный или частичный аутсорсинг решение вопросов информационной безопасности. Ведь такие организации располагают штатом специалистов высокой квалификации, которые решат все задачи и обеспечат требования регуляторов на принципиально ином качественном уровне, чем это сделали бы специалисты самого предприятия.
Бытует мнение, что аутсорсинг дешевле, чем исполнение работ силами собственных сотрудников. Однако при ближайшем рассмотрении выясняется, что это не так. «Чтобы предоставить сравнимых (или лучших) по квалификации сотрудников, компания-аутсорсер будет вынуждена платить такую же заработную плату и все сопутствующие налоги. Поскольку аутсорсер оказывает услуги, к зарплатным налогам добавятся еще налоги на прибыль. Естественно, что часть денег аутсорсер должен получить в качестве прибыли. Просуммировав все эти затраты, видим, что даже при использовании максимально выгодной упрощенной системы налогообложения, аутсорсер просто не впишется во входной бюджет, ведь затевать сыр-бор ради 5% прибыли никто не будет», — считает Денис Муравьев, генеральный директор группы компаний «4х4», президент ассоциации RISSPA.
Причинами использования аутсорсинга могут стать также жесткое ограничение штата персонала, имеющееся в некоторых компаниях, и дефицит квалифицированных ресурсов. Первая особенность характерна для российских филиалов крупных международных корпораций. Если человека нельзя нанять в штат, его функции передаются на аутсорсинг, таких примеров много на российском рынке. Дефицит кадров имеет место, если речь идет о специалистах очень узкой квалификации.
«ИБ — не та область, где персонал меняется постоянно, скорее наоборот. Значит, издержками, которые компании несут при поиске нужных специалистов, можно пренебречь. Если же аутсорсер предоставляет функции значительно дешевле, чем ему обходятся собственные сотрудники, следует задаться вопросом — за счет чего он это делает? Скорее всего, за счет потери качества или принятия значительно большего, чем допустимый, уровня риска. И то и другое плохо для потребителей услуг аутсорсинга», — считает Муравьев.
Портрет провайдера
Левашов считает, что на аутсорсинг можно отдавать большинство функций, кроме тех, что связаны с особо охраняемыми сведениями. Эффективность аутсорсинга при этом можно оценивать по многим параметрам, но ключевыми из них будут отсутствие претензий к компании-заказчику со стороны регуляторов и контролирующих органов, а также со стороны клиентов и партнеров и поддержание информационных рисков на приемлемом уровне.
В настоящее время деятельность по защите информации требует лицензирования по некоторым аспектам, что в отдельных ситуациях вступает в противоречие с законодательством, регулирующим основную деятельность. По словам Левашова, в банковской сфере регулирование вопросов информационной безопасности проявляется наиболее комплексно, при этом число регуляторов постоянно растет: Банк России, ФСТЭК, ФСБ, Минкомсвязь, Роскомнадзор и пр. «Основной регулятор — Банк России — продолжает издавать многочисленные документы, относящиеся к информационной безопасности: пакет стандартов в разных редакциях, документы, регулирующие защищенные технологии платежной системы, различные нормативно-инструктивные материалы и пр.
В данном случае аутсорсинг рассматривается как возможность оптимизировать издержки и переложить ответственность и часть задач по защите данных на провайдера, при этом ответственность, в частности за сохранность персональных данных в соответствии с федеральным законом № 152-ФЗ, остается на операторе, а третье лицо ответственности за целостность персональных данных не несет в принципе. Другими словами, пока все идет штатно, то все хорошо, но если что-то случается, то виноват будет оператор персональных данных. Получается, что данные и активы третьему лицу доверили, деньги за это перечислили, а проблемы с ответственностью за последствия инцидентов остались на заказчике...
Но! Эта странность в партнерских отношениях может быть устранена, если правильно проработать договор на оказание аутсорсинговых услуг. Существует форма договоров, рекомендованная Еврокомиссией, и это позволяет привлечь третье лицо к ответственности, если не за нарушение целостности и защиты персональных данных или прав субъекта персональных данных, то по крайней мере за нарушение договорных условий. При этом оператор будет нести ответственность уже как минимум не в одиночку.
К сожалению, операторы персональных данных не всегда понимают, что именно надо включать в договор. Чаще всего в договоре фиксируется пункт об обязательствах обеспечить конфиденциальность и безопасность персональных данных, но без детализации этого будет явно недостаточно.
Рассказывает Александр Невский, руководитель департамента информационной безопасности КБ «Ренессанс Кредит»:
В нашем банке на аутсорсинг переданы ИТ-компетенции, которые, в основном, не представляются ключевыми. Как правило, это вспомогательные процессы и системы, достаточно широко представленные на рынке и не имеющие банковской специфики. В качестве примера можно назвать систему Service Desk, мониторинг доступности систем, ИТ-сервисов и ресурсов. Нашей основной мотивацией использования аутсорсинга является снижение издержек.
Системы информационной безопасности на аутсорсинг не передавались. Аутсорсингом ряда сервисов ИБ с некоторым допущением можно считать привлечение на периодической основе к тестированию защищенности отдельных информационных систем банка как сторонних компаний, так и специалистов высокой и редкой квалификации. Держать таких специалистов в штате нам невыгодно.
Для выбора провайдера аутсорсинговых услуг в банке стандартизована политика в области закупок и проведения тендеров. Офис закупок совместно с подразделением — инициатором проведения конкурса подготавливают требования к компаниям-участникам. В тендерной документации обязательно указываются критерии выбора компании-победителя. Эти критерии изменяются исходя из целей и задач того или иного тендера. К базовым требованиям, безусловно, можно отнести цену предложения и опыт компании на рынке. Кроме того, для принятия решения о целесообразности перевода той или иной функции на аутсорсинг еще до проведения тендера строится финансовая модель, позволяющая оценить экономическую эффективность такого аутсорсинга.
Задача мониторинга состояния ИБ для приложений и данных, переданных провайдеру, сохраняет свою актуальность. Как правило, она решается стандартными средствами. Департаментом создана достаточно развитая система мониторинга информационной безопасности, включающая в себя как коммерческие продукты, так и собственные разработки. Стоит отметить, что в отношении сотрудников компаний, оказывающих банку услуги аутсорсинга, используются дополнительные политики и процедуры информационной безопасности, ограничения прав доступа к ресурсам банка.
Полагаю, аутсорсинг будет успешно развиваться. Применительно к информационной безопасности я бы отметил такие направления, как поиск и обучение персонала, консалтинг, внешний аудит, мониторинг событий безопасности и ресурсов, администрирование отдельных систем безопасности. Однако стоит помнить, что в ряде случаев возможности передачи систем или сервисов на аутсорсинг в рамках действующего законодательства или нормативных актов уполномоченных органов существенно ограничены.
При любом обсуждении вопросов о передаче провайдеру «сокровенного» решение должно не только быть обосновано экономически, но и учитывать возможные риски и необходимость использования дополнительных механизмов контроля. В первую очередь речь идет о рисках несоблюдения требований законодательства РФ (банковская тайна, персональные данные и т. п.).