Аналитики констатируют устойчивый рост популярности услуг ИТ-аутсорсинга во всем мире. Согласно недавним исследованиям агентств Datamonitor и Everest Group, общая стоимость аутсорсинговых контрактов в 2004 году увеличилась по сравнению с предыдущим годом на 37% и составила 163 млрд долл. В свою очередь, IDC прогнозирует, что к 2008 году объем этого сегмента достигнет 780 млрд долл.

О том, насколько востребованы такие сервисы в нашей стране, можно только гадать. Например, Market-Visio оценивает объем отечественного рынка ИТ-аутсорсинга примерно в 80-90 млн долл. Проверить истинность этих цифр не представляется возможным: во-первых, среди российских специалистов до сих пор нет единого мнения о точном значении термина «аутсорсинг», а во-вторых, далеко не все заказчики готовы предоставлять информацию об участии в подобных проектах. Но даже если предположить, что указанная сумма отражает реальную ситуацию на рынке, большая часть сделок приходится на разработку заказного ПО и поддержку службы Help Desk сторонними фирмами.

А оценить в нашей стране долю аутсорсинга систем информационной безопасности (СИБ) вообще не возьмется ни один специалист. Тем не менее нас интересует именно эта составляющая сегмента услуг, вызывающая столько споров и кривотолков. Мы обратились к ведущим специалистам отрасли, чтобы выяснить, каково состояние российского рынка аутсорсинга СИБ, насколько востребованы такие сервисы, какие преимущества дает внедрение соответствующей бизнес-модели на предприятиях и с какими проблемами оно сопряжено. И вот что у нас получилось.

«Классическая» модель

Прежде всего, внесем ясность в ключевые понятия. Под аутсорсингом (outsourcing) подразумевается частичная или полная передача компанией сторонней организации функций управления и поддержки ее ИТ-ресурсов. На обслуживание могут отдаваться поддержка отдельных бизнес-приложений, администрирование данных и серверов, обеспечение информационной безопасности и многое другое. Если в ведение стороннего исполнителя переходит вся ИТ-инфраструктура организации, говорят о полном аутсорсинге. Важно отметить, что контракты на предоставление таких услуг чаще всего заключаются на длительный срок (не менее года).

В области ИБ третьей стороне может быть поручено безопасное конфигурирование операционных систем, приложений и межсетевых экранов (МСЭ). Кроме того, отдаются на обслуживание антивирусное сканирование, фильтрация вредоносного контента и спама, создание защищенных виртуальных сетей и дата-центров, управление системами обнаружения вторжений (IDS) и средствами мониторинга событий в сети.

Надо сказать, специалисты неоднозначно относятся к аутсорсингу СИБ, причем мнения по этому поводу фактически разделяются на две категории. «Пессимисты» полагают, что рынок аутсорсинга ИБ в России просто не существует. Они заявляют, что им неизвестны случаи реального подписания контрактов на предоставление подобных услуг, включающих в себя четко регламентированные параметры SLA (соглашения об уровне обслуживания). По их мнению, такой аутсорсинг сводится к обычной проектной работе, а значит, имеет разовый (хотя и протяженный по времени) характер.

Рисунок1.

В свою очередь, представители противоположного лагеря, в число которых входят сотрудники компаний, предоставляющих услуги обеспечения информационной безопасности, утверждают, что специализированный рынок услуг «аренды» СИБ в России уже существует и постепенно развивается. Однако даже «оптимисты» констатируют крайне незрелое состояние этого рыночного сегмента, подчеркивая, что на пути его становления существует множество сложностей.

Андрей Калашников, директор управления информационно-технического консалтинга компании IBS (в состав которой входит подразделение DATA FORT) отмечает, что российский рынок услуг ИТ-аутсорсинга в целом недостаточно развит. «Остаются неудовлетворительными соотношение цены и качества услуг, а также надежность большинства внешних поставщиков, — говорит он. — Кроме того, постоянно возникают сложности с формализацией требований к исполнителю, с заключением соглашений об уровне сервиса и контролем над исполнением задач».

Как часто бывает в подобных случаях, истина, вероятнее всего, находится где-то посередине. С одной стороны, успешные примеры предоставления услуг аутсорсинга ИБ в нашей стране уже имеются, причем год от года их становится все больше. С другой, большинство специалистов сходятся во мнении, что аутсорсинга в том «классическом» виде, в каком он существует на Западе, в России нет, поскольку ни одна компания не хочет полностью доверить обеспечение своей информационной безопасности сторонней организации.

Услуги в ассортименте

Чтобы составить «качественное» представление об уровне развития в нашей стране этого направления ИТ-услуг, рассмотрим предложения рыночных игроков. Подчеркнем, что ограниченный выбор исполнителей — один из основных недостатков аусорсинга ИБ «по-русски». О серьезной конкуренции поставщиков услуг говорить пока преждевременно. Основными игроками в данном секторе являются телекоммуникационные провайдеры и отдельные фирмы, специализирующиеся на информационной защите.

Что касается представителей первой категории, они предлагают услуги поддержки СИБ «в пакете» с основными телекоммуникационными сервисами. По мнению вице-президента и директора направления информационной безопасности «ТрансТелеКом» Александра Золотникова, клиенту удобнее всего заключать соглашение о передаче части функций обеспечения ИБ именно с оператором связи, с которым уже налажены длительные партнерские отношения. В этом случае дополнительные услуги защиты корпоративной сети «могут быстро вписаться в принятую схему деловых контактов».

Телекоммуникационные провайдеры (в том числе «ТрансТелеКом», «Эквант» и «Инфотекс Интернет Траст») в основном берутся за организацию виртуальной частной сети на основе MPLS или с механизмами криптографической защиты по протоколу IPSec. Некоторые операторские компании, недавно начавшие развивать управляемые защищенные сервисы (например, «РТКомм.Ру»), довольствуются предоставлением выделенных каналов с межсетевым экранированием.

Пожалуй, среди российских провайдеров самый широкий спектр управляемых сервисов в области ИБ предлагает компания «Эквант». Как рассказал начальник отдела ИТ-услуг Максим Гарусев, его фирма готова удовлетворить практически все потребности заказчиков в области защиты информации. Услуги «Экванта» по аутсорсингу СИБ включают в себя создание и управление VPN-сетью с шифрованием по алгоритмам ГОСТ (Equant Managed Crypto VPN), межсетевое экранирование (Equant Secure Gateway), антивирусное сканирование, управление системами обнаружения вторжений (Equant Managed IDS), анализ защищенности ИС (Equant Managed Active Audit), контроль над доступом персонала к важным ресурсам и аутентификацию пользователей (Equant Secure Authentication).

Специализированные компании, удаленно занимающиеся круглосуточной поддержкой клиентских систем ИБ и управлением ими, в нашей стране можно пересчитать по пальцам. Пожалуй, наиболее ярко и успешно в этой области действует подразделение DATA FORT фирмы IBS. По словам Андрея Калашникова, центр обработки данных компании создавался специально для обслуживания клиентов с жесткими требованиями к конфиденциальности информации. Поэтому его специалисты готовы не только обеспечить поддержку инфраструктурных элементов в режиме 24х7х365, но и предложить самый широкий выбор дополнительных сервисов.

В перечень коммерческих предложений DATA FORT включены аутсорсинг оборудования и инфраструктуры (аренда аппаратно-программных комплексов, администрирование и техническая поддержка, организация защищенных сетей, в том числе локальных), услуги управления системами и сетями, основанные на многоуровневой модели ИБ, функции контроля и блокирования вредоносного контента (включая вирусы и спам), управление системами IDS и аутентификации, а также средствами, использующими механизмы шифрования.

Немаловажно, что DATA FORT предлагает «в аренду» заказчикам собственных ИТ-специалистов, в том числе администраторов СИБ. В распоряжении этого поставщика услуг — штат профессионалов, обладающих необходимыми инженерными сертификатами основных вендоров оборудования и ПО (Cisco, HP, ISS, Sun и Microsoft).

Осознанная необходимость

Хотя выбор поставщиков услуг аутсорсинга СИБ в нашей стране весьма ограничен, потенциальные клиенты, взвесив все «за» и «против», могут подобрать оптимальный вариант решения своей проблемы. Однако сначала заказчику стоит выяснить, при каких условиях целесообразно доверить обеспечение ИБ сторонней фирме и какие выгоды сулит его бизнесу использование таких сервисов.

Основных причин принятия решения о переходе на новую бизнес-модель всего три. Первая: ограниченные финансовые возможности компании, связанные с содержанием штата квалифицированных специалистов. Вторая: ИТ не являются профильным направлением деятельности фирмы, а потому ее собственную инфраструктуру не стоит развивать. Наконец, третья: стремление сократить расходы на внедрение и/или поддержку жизнеобеспечения комплексной системы защиты. Конечной целью перехода на модель аутсорсинга может быть как оптимизация затрат, так и повышение эффективности основного бизнеса.

Рисунок 2.

Прежде чем заключить контракт на аутсорсинг ИБ, необходимо определить, какие именно элементы защиты стоит поручить третьей фирме. Начальник отдела департамента безопасности холдинга «Связьинвест» Михаил Емельянников убежден, что «на откуп» можно отдавать эксплуатацию сложных систем защиты, требующую высокой квалификации и хорошей методической подготовки персонала. Это, к примеру, системы предотвращения вторжений, межсетевые экраны, серверы антивирусной поддержки и средства фильтрации вредоносного контента. Как подтверждает практика, на отечественном рынке востребованы, в первую очередь, услуги мониторинга и управления средствами защиты, расположенными по периметру корпоративной сети. Гораздо реже идет речь о внешнем управлении такими «внутренними» компонентами, как системы IDS/IPS.

Специалисты подчеркивают, что нельзя увлекаться популярной моделью поддержки ИТ-процессов и делегировать сторонним провайдерам все защитные функции. Ключевые механизмы управления СИБ, такие как формирование политики безопасности, стратегическое планирование систем, а также доступ к конфиденциальным ресурсам, требующий привилегированного статуса, заказчику лучше оставить в собственном ведении.

При поиске заказчиков провайдеру услуг аутсорсинга ИБ необходимо исходить из специфики отраслевого бизнеса, как и из типичных требований к конфиденциальности и критичности информационных ресурсов у разных категорий предприятий. Теоретически, чем меньше компания, тем больше шансов, что ей понадобятся услуги третьих фирм для управления значительной частью дорогостоящих процессов ИТ, включая обеспечение безопасности. Однако на практике такие российские компании еще не готовы платить за полный пакет сервисов и предпочитают ограничиваться установкой лишь нескольких элементов в собственной сети, например антивирусов и МСЭ. Отдельные услуги аутсорсинга СИБ, скорее всего, придутся по душе средним по размеру организациям, если провайдеры будут предлагать их по гибким тарифным планам, отвечающим финансовым возможностям заказчиков.

Чем крупнее фирма, тем более высокий уровень конфиденциальности информации ей требуется, а значит, тем меньше функций защиты информационных ресурсов она может передавать на аутсорсинг. К тому же солидные компании чаще всего имеют в своем распоряжении службы, отделы и даже целые управления по обеспечению ИБ, а потому в услугах внешних организаций не нуждаются вовсе. Риск потери информации или выхода из строя ИС в данном случае больше, чем расходы на содержание собственного штата специалистов. Но если ИТ не являются для компании профильным направлением деятельности и не слишком интегрированы в поддержку основных бизнес-процессов, то ее руководство может предпочесть аутсорсинг развитию собственной службы ИБ.

Если говорить о рынке ИТ-услуг в целом, приходиться констатировать, что в нашей стране у каждого заказчика свое понимание аутсорсинга. Помимо частичного и полного аутсорсинга СИБ в России существует и так называемый «внутренний» аутсорсинг, порожденный реалиями отечественной экономики. В последнее время крупные государственные и коммерческие структуры (особенно в нефтегазовой сфере) нередко организуют «внутри себя» специальные службы или даже самостоятельные фирмы, занимающиеся поддержкой ИТ материнской организации. Такую модель широко используют и на Западе, но в нашем случае отпочковавшаяся структура оказывается законсервированной в своем развитии, так как она «заточена» под нужды материнской компании и подчас служит лишь прикрытием для распределения немалых ИТ-бюджетов.

Безопасность и аутсорсинг

Выбор исполнителя по договору аутсорсинга СИБ осложняется и рядом «сопутствующих» проблем, непосредственно связанных с особенностями российского менталитета. Одной из главных трудностей является тотальная нехватка доверия клиентов к поставщикам услуг. Поручая сторонней организации защиту собственной сети, заказчик должен удостовериться, что доступ к его внутренним ресурсам не будет открыт для хакеров, конкурентов и т.п.

Естественно, клиенты ожидают увидеть в договоре на обслуживание пункт о компенсации ущерба в случае утечки конфиденциальной информации или нарушения целостности ИС. Однако компании, предлагающие в России услуги аутсорсинга СИБ, пока не готовы открыто обсуждать границы своей финансовой ответственности за возможные инциденты. Такие вопросы обговариваются напрямую с заказчиками, и решения принимаются в сугубо индивидуальном порядке.

Более конкретную информацию о размерах ответственности провайдеров услуг нам предоставили в «РТКомм». Как рассказала советник генерального директора компании Наталья Ананьева, при заключении соглашений на оказание услуг связи (в том числе защищенной) в «РТКомм» предусмотрена стандартная ответственность оператора в размере 1/720 от величины абонентской платы за каждый час простоя. Если учесть, что в календарном месяце — примерно 720 часов, получается, что исполнитель попросту возмещает заказчику стоимость простоя без компенсации его возможных бизнес-убытков.

По мнению Максима Гарусева из «Экванта», финансовая ответственность исполнителя должна обговариваться индивидуально при реализации каждого проекта. Определение уровня конфиденциальности и ценности информации — процесс сугубо «интимный» для любой компании, поэтому о каких-либо общепринятых стандартах не может быть и речи. Порой случайный инцидент в сети приводит к убыткам в размере сотен тысяч долларов, и тогда компенсация, пропорциональная абонентской плате, воспринимается как насмешка.

Эффективным решением проблемы возмещения ущерба от инцидентов может оказаться страхование информационных рисков. Подробно останавливаться на данной теме мы не будем, поскольку уже писали об этом раньше (см. Сети, 2004, №10, статья «Когда экономить нельзя, но хочется»). Скажем лишь, что лицензию на предоставление услуги страхования информационных рисков в нашей стране имеют не больше десятка фирм (наиболее известные из них — ИНГОССТРАХ и «Страховой сервис»). Компенсационные выплаты по договорам об ИТ-аутсорсинге пока являются весьма скромными. Но, как говорится, это лучше, чем ничего.

Обезопасить себя и свой бизнес от возможных проблем можно и юридическим путем, составив с провайдером услуг грамотное соглашение SLA. Специалисты считают, что в этом документе должны быть прописаны срок действия договора, территория и объекты обслуживания, время реакции на запрос или происшествие, форма отчетности, метрики оценки качества услуг. Кроме того, в документ SLA следует включить целевые уровни качества обслуживания и число поддерживаемых конечных пользователей (рабочих мест).

Грамотный контракт SLA дает возможность заказчику контролировать работу исполнителя по заранее определенным критериям и метрикам, в случае нарушения которых накладываются штрафные санкции. Одновременно такой документ защищает права «аутсорсера», позволяя ему выполнять лишь заранее оговоренный объем работы. В дополнение к контракту SLA нелишне подписать соглашение о нераспространении конфиденциальной информации, которое может (хотя бы частично) обезопасить заказчика от попадания его секретных данных в распоряжение конкурентов или иных «заинтересованных» лиц.

А стоит ли?

Еще одной немаловажной составляющей проблематики отечественного ИТ-аутсорсинга в целом является пресловутая «цена вопроса». Трудно не согласиться с тем, что использование услуг данного класса позволяет сократить расходы заказчика на обеспечение ИБ. Действительно, единовременные затраты компании, решившей построить комплексную систему защиты, могут оказаться весьма внушительными. Придется не только приобрести программные и аппаратные средства, лицензии, но и выложить приличную сумму за работу квалифицированных специалистов и консалтинговые/внедренческие услуги. Применение модели аутсорсинга СИБ значительно сокращает расходы на обучение персонала, амортизацию оборудования, модернизацию установленных систем и т.д.

Тем не менее компании, предлагающие «безопасность в аренду», почему-то умалчивают о том, что переход на модель аутсорсинга в российских условиях обязательно подразумевает оставление части функций защиты ИС у заказчика, как это ни парадоксально. Выходит, что заказчику не становится принципиально легче: регулярные выплаты сторонней фирме вкупе с собственными регулярными затратами выливаются в кругленькую сумму.

Конкретные подсчеты экономии средств затруднены нежеланием фирм-аутсорсеров открыто обсуждать финансовые составляющие проектов. Как и в случае ответственности за простои, исполнители сообщают, что стоимость услуг обсуждается индивидуально с каждым заказчиком. И все же некоторые данные нам удалось получить.

По сведениям представителей «РТКомм.Ру», абонентская плата за подключение клиентского оборудования передачи данных к порту коммутатора Ethernet в сегменте сети, защищенном при помощи МСЭ класса Cisco PIX Firewall, составляет от 10 долл. (за 5 Гбайт ежемесячного трафика) до 50 долл. (за 100 Гбайт). Хотя это совсем недорого, подобный защищенный сервис может заинтересовать лишь небольшой сегмент предприятий.

Более вероятно, что заказчики предпочтут воспользоваться расширенным спектром предложений, включающих управляемые VPN-сервисы уровней 2 и 3. Они есть в портфелях решений как компании «РТКомм», так и ее конкурентов «ТрансТелеКом» и «Эквант». Впрочем, за разнообразие и качество услуг придется заплатить больше.

Как рассказал Максим Гарусев, стандартное конфигурирование самого простого МСЭ обойдется клиенту в 1 тыс. долл. за подключение и 700 долл. ежемесячно. Таким образом, в первый год обслуживания за управляемую услугу межсетевого экранирования ему нужно выложить порядка 9,4 тыс. долл. Если же в пакет сервисов будут дополнительно включены антивирусная защита, контроль над доступом, поддержка VPN, аутентификация пользователя, управление IDS и системы анализа защищенности, счет пойдет на десятки и сотни тысяч долларов в месяц. Ну что ж, главное, чтобы потребности заказчиков совпадали с их возможностями.

Крупные компании, с которыми преимущественно и работает «Эквант», могут себе позволить подобные затраты на защиту информационных ресурсов. Но если контракт на услугу межсетевого экранирования заключит средняя фирма, то помимо упомянутых 9,4 тыс. долл. она будет вынуждена потратить на собственную деятельность по обеспечению минимального уровня ИБ свыше 15 тыс. долл. (антивирусы, аппаратные средства, зарплата специалистов). В итоге общая сумма вложений в рамках «типового» проекта с частичным аутсорсингом составит 25 тыс. долл., а это — серьезная цифра для бюджета небольшой компании.

Правда, как подчеркнул Максим Гарусев, «мы и не беремся утверждать, что аутсорсинг обязательно приводит к снижению операционных затрат». Данный вид услуг, по его словам, призван обеспечить более высокий уровень информационной защиты, а тем самым повысить эффективность бизнеса заказчика. Таким образом, ответ на вопрос о дороговизне или доступности сервисов зависит от целей компании.

Андрей Калашников из DATA FORT высказался по этому поводу еще откровеннее: «Аутсорсинг ИТ-услуг, в том числе информационной безопасности, практически всегда обходится дороже, чем самостоятельное решение этой проблемы». По его мнению, на такой шаг организацию могут подвигнуть лишь особые обстоятельства.

Итак, сегодня в России подписание контракта на получение услуг аутсорсинга СИБ может рассматриваться лишь как вынужденная мера. Это свидетельствует о том, что рынок соответствующих услуг находится на зачаточной стадии развития. Если учесть, что у основных его игроков число клиентов достигает в лучшем случае 30, то можно хотя бы примерно представить, насколько малую долю оборота формирует такой сервис в бизнесе провайдеров услуг.

Увеличение количества внешних угроз, усложнение систем защиты, необходимость в постоянной модернизации технических решений и базы знаний, безусловно, будут и дальше стимулировать предложения в этой области. Но для того, чтобы аутсорсинг СИБ стал полноценным зрелым сегментом рынка, коммерческие структуры и государственные органы должны умело коррелировать свою деятельность. Властям необходимо строить адекватную нормативно-правовую базу, а компаниям, предлагающим такие услуги, — расширять их ассортимент и внедрять более гибкую ценовую политику. Лишь тогда проблемы доверия сторон будут сняты, и использование сторонних ресурсов для обеспечения ИБ станет экономически оправданным.