Специалисты, работающие в области информационной безопасности, — люди, как правило, осторожные, осмотрительные. И неудивительно, что они с осторожностью относятся к идее передачи функций ИБ внешним подрядчикам. Определенный скепсис вызывают и предложения использовать облачные сервисы безопасности в качестве инструментов для работы служб ИБ. Тем не менее аутсорсингом в этой области многие организации пользуются — кто в меньших масштабах, кто в больших... А есть ли направления или функции ИБ, которые никак нельзя отдавать на аутсорсинг, в том числе облачный?
Опасный аутсорсинг
Как, по каким признакам или на основе каких принципов можно определить, какие именно функции информационной безопасности организация не должна передавать вовне? Чтобы ответить на этот вопрос, Владимир Дрюков, руководитель направления аутсорсинга ИБ центра информационной безопасности компании «Инфосистемы Джет», предлагает задаться вопросом: а может ли аутсорсер отвечать за целевые показатели обсуждаемой функции так, как это необходимо бизнесу заказчика? Очевидно, из сферы аутсорсинга придется исключить все функции, которые принято относить к стратегическому уровню безопасности: принятие (или непринятие) рисков, планирование развития ИБ в компании, а также контроль ключевых метрик и показателей эффективности ИБ. Второй вопрос, на который предлагает ответить Дрюков: готов ли потенциальный потребитель услуги ИБ-аутсорсинга предоставить доступ к информации, необходимой для полноценного решения задачи? Вероятно, полный аутсорсинг функций DLP и нетехнических аспектов расследования инцидентов ИБ в этом плане малоперспективен. И третий вопрос: может ли компания реализовать обсуждаемую функцию своими силами? Ответив на эти вопросы, можно определить, стоит ли передать функцию на аутсорсинг.
В первую очередь, предостерегает Юрий Лысенко, начальник управления информационной безопасности банка «Хоум Кредит», нельзя отдавать на аутсорсинг контроль за утечками конфиденциальной информации, также не следует передавать вовне, например, согласование прав доступа. Зато можно передать ряд других функций: защиту от DDoS-атак (проще и дешевле обеспечить ее посредством аутсорсинга), предотвращение вторжений, некоторые виды аудита ИБ (например, на соответствие требованиям стандартов PCI DSS, СТО БР, пентесты и т.п.) Это связано с тем, что необходим свежий, независимый, взгляд на ИБ со стороны.
Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.», считает, что однозначно нельзя передавать на аутсорсинг направления и функции ИБ, которые напрямую связаны с возможностью получения несанкционированного доступа к критически важным данным со стороны третьих лиц (ими могут быть, например, сервисные организации, выполняющие отдельные функции по принципу аутсорсинга).
По мнению Михаила Башлыкова, руководителя направления информационной безопасности компании «Крок», спектр направлений ИБ, которые не должны выходить за пределы организации, следует определять на основе взвешенной оценки ее рисков. Так, нельзя отдавать на аутсорсинг процессы и системы, нанесение ущерба которым может привести к фатальным для бизнеса ситуациям. Это, в частности, сверхкритичные системы, содержащие ноу-хау, обеспечивающие конкурентные преимущества, хранящие и обрабатывающие персональные данные клиентов и прочую важную для компании информацию. Доступ к таким системам должен контролироваться особо.
Рискованные функции
Обсуждая риски бизнеса и информационной безопасности, которые обычно связаны с аутсорсингом ИБ, Сабанов рекомендует разделить их на четыре основные группы: операционные, репутационные, финансовые, а также риски, связанные с проверками регулирующих органов. «Для проведения в конкретной организации качественного анализа рисков с учетом особенностей бизнеса необходимо наличие развитого риск-менеджмента, — считает Сабанов. — Хорошо, если в организации имеется департамент рисков, который управляет всеми рисками, в том числе касающимися ИБ, но таких организаций пока не так много. Оценка рисков ИБ — непростая задача, и связано это во многом с тем, что пока нет общеизвестных среди специалистов по безопасности методик такой оценки, пользующихся признанием и доверием со стороны сообщества ИБ».
Дрюков рекомендует обратить внимание на такие риски аутсорсинга ИБ, как ограниченные возможности контроля деятельности аутсорсера и его работы с критичными данными организации-клиента, уровень прозрачности и гибкости инструмента управления подрядчиком как с точки зрения финансов, так и с точки зрения качества оказания услуги, а также зависимость от услуг конкретного сервис-провайдера: «Крайне сложно организовывать как возврат в инсорсинг переданной когда-то вовне функции, так и передачу ее исполнения другому сервис-провайдеру».
Можно ли определить пороговые характеристики рисков передачи отдельных функций или направлений ИБ в аутсорсинг, при превышении которых будет ясно, что аутсорсинг в данных случаях неприемлем? По мнению Башлыкова, определение пороговых значений рисков — вопрос индивидуальный, и ответ на него зависит в первую очередь от уровня зрелости организации, а также от сферы, в которой она работает. «Только руководство компании может принять решение, какими рисками можно пренебречь и получить комплексное увеличение эффективности благодаря аутсорсингу, а какими — нельзя ни в коем случае», — добавляет Башлыков. И хотя сверхкритичные системы и процессы обычно не отдаются на аутсорсинг, для выбора и построения эффективной модели аутсорсинга услуг информационной безопасности может быть привлечен внешний подрядчик, способный проанализировать конфигурацию ИТ-инфраструктуры организации и зрелость ее процессов управления ИБ, а затем рекомендовать, какие области ИБ организация вполне может отдать на аутсорсинг, а какие отдавать нецелесообразно.
«К сожалению, подавляющее большинство организаций попросту не готовы к сравнениям и анализам, необходимым для количественной оценки рисков, — сетует Сабанов. — Основной способ, которым пользуется значительная часть организаций, — основанная на качественной оценке рисков методика, рекомендованная ФСТЭК России и некоторыми стандартами. Такой метод позоляет определить три уровня рисков: низкий, средний и высокий. Для перехода к корректным количественным характеристикам рисков необходима серьезная база инцидентов ИБ, которая в идеале могла бы быть собрана, скажем, в отраслевом центре. Но организация такой работы и, главное, ее согласование займут очень много времени».
Что делать с тем, что нельзя отдать вовне?
Итак, организация выявила направления и функции ИБ, которые нельзя передать на аутсорсинг. Что с ними делать — обеспечивать их своими силами и средствами, если они есть, а если их нет, то просто принять риски и сложа руки отслеживать ход событий?
«Грамотные руководители заранее анализируют, какой ущерб может нанести тот или иной инцидент, поэтому организуют в своих компаниях штатные службы, обеспечивающие необходимый спектр функций ИБ, — отмечает Лысенко. — Но нередко бывает, как в известной пословице — пока гром не грянет, мужик не перекрестится: пока крупный инцидент не произойдет, иной руководитель об информационной безопасности не задумывается».
В большинстве случаев, уверен Дрюков, можно добиться разумного декомпозирования обсуждаемой задачи информационной безопасности на фрагменты: одну часть отдать на аутсорсинг под строгим контролем, вторую закрывать собственными ресурсами, третью — оставить за гранью проводимых мероприятий, приняв возможные риски. Одна из организаций, с которой Дрюкову довелось работать, передала подрядчику процесс технической эксплуатации и оперативного оповещения о фактах критичных утечек. Другой процесс — инвентаризация и классификация критичных данных — выполняется совместными усилиями. Функции нетехнического анализа и подтверждения утечки организация предпочла сохранить за собой. «Безусловно, в организации остается пласт данных (об инцидентах, классифицированных как некритичные), которые аутсорсер анализировать не может (поскольку у него нет доступа к ним), а организация-заказчик осуществляет контроль непостоянно (у нее недостаточно для этого человеческих ресурсов). Тем не менее реализованный подход существенно снижает вероятность того, что крупный инцидент окажется незамеченным», — добавляет Дрюков.
«Как правило, о рисках ИБ можно либо не знать совсем, либо знать и снижать их с помощью организационных и технических средств защиты, либо пытаться их переложить на кого-то, в том числе на аутсорсинговую компанию, — делится опытом Сабанов. — Если о высоких рисках знают, их всячески стараются снизить. В любом случае отслеживать ход событий сложа руки — не самый лучший выход из положения».
Сабанов напоминает, что теория управления рисками разработана, причем достаточно давно, но, к сожалению, ею далеко не все пользуются: «Одних стандартов по анализу и управлению рисками ИБ можно насчитать как минимум полтора-два десятка». Что касается перехода к облачным вычислениям, то основные риски, по словам Сабанова, уже достаточно подробно описаны, и сегодня надо просто выполнять сформулированные специалистами рекомендации по их снижению еще на стадии подготовки.
Как видим, эксперты сходятся во мнении о том, что на аутсорсинг нельзя отдавать решение стратегически важных вопросов ИБ и функций, связанных с доступом к конфиденциальной информации. Также не следует отдавать функции, передача которых вовне несет большие риски для данной организации. Однако, если функции решено не передавать на аутсорсинг, их следует обеспечивать своими силами, поскольку принятие связанных с ними рисков может обойтись слишком дорого.