Рост рынка ИТ в России делает актуальным аутсорсинг в сфере ИБ.
Хотя во всем мире и наблюдается настоящий бум аутсорсинга, некоторые его сферы вызывают сомнения в их целесообразности и сопряжены с серьезными рисками. Как бы то ни было, по оценкам IDC, на рынке услуг в области информационных технологий именно аутсорсинг демонстрирует наибольший потенциал. По прогнозам Gartner, к 2005 г. около 30% крупнейших европейских компаний будет пользоваться подобными услугами, включая аутсорсинг бизнес-процессов и контакт-центров. А в 2004 г. сегмент аутсорсинга обгонит по темпам роста европейский рынок прочих услуг в сфере ИТ более чем на 3%, к 2008 г. этот показатель достигнет 8%.
При разумном подходе к аутсорсингу компании получают возможность повышения уровня обслуживания клиентов при меньших затратах. Именно снижение издержек и концентрация на основном бизнесе — главные стимулы перехода на новый вид услуг. Однако аналитики советуют подходить к аутсорсингу осторожно и четко указывать в контракте все обязанности исполнителя, способы контроля над расходами и внесения изменений. Нынешний год должен стать годом развенчания иллюзий и неоправданных ожиданий: компании оценивают сферу аутсорсинга все более трезво.
Аутсорсинг информационной безопасности (ИБ) как особый вид бизнеса составляет во всем мире лишь малую долю рынка аутсорсинга в целом, однако на волне популярности аутсорсинга, особенно оффшорного (перевода в «менее дорогие» регионы мира операторских центров, разработки приложений, бухгалтерии, биллинга или ИТ), вызывающего многочисленные дискуссии в развитых странах на самых различных уровнях, многие компании проявляют к нему все больший интерес.
В НАЧАЛЕ ПУТИ
В России аутсорсинг ИБ развивается вместе с ростом рынка информационных технологий, однако находится лишь в самом начале пути, и для его развития предстоит преодолеть немало трудностей. Он во многом схож с аутсорсингом ИТ: клиенты получают те же преимущества, поскольку забота о безопасности поручается поставщику услуг, у которого имеется опыт работы с целым рядом клиентов и уже опробованная на аналогичных решениях практика реализации защиты. Подразумевается, что клиент сможет заметно сократить расходы, сэкономить на таких рутинных процедурах, как регулярная смена паролей, мониторинг системы безопасности, управление системами защиты, антивирусная защита и фильтрация электронной почты, а также получить доступ к разнообразным ресурсам.
Очевидно, этот пока еще совсем молодой рынок будет развиваться по привычным законам — от выполнения всех работ своими силами до использования услуг профессионалов, однако пока лишь небольшое число компаний решилось доверить обеспечение безопасности сторонней организации, да и поставщиков подобных услуг в России немного. Среди них как крупные интеграторы, для которых обеспечение ИБ является одним из профильных видов бизнеса, так и операторы связи и провайдеры, предлагающие подобный вид сервиса в комплекте с другими услугами.
Росту внимания заказчиков к этой сфере услуг должно способствовать развитие российского рынка ИБ. По прогнозам «Ассоциации защиты информации», до 2007 г. данный сегмент будет ежегодно расти на 25%, а доля расходов на ИБ в бюджете отечественных компаний увеличится с 2 до 7%.
ПРЕОДОЛЕВАЯ ПРОБЛЕМЫ
Многочисленные конференции по ИБ, проходящие ежегодно и в России, и в других странах, подтверждают серьезность существующих проблем и продолжающийся рост угроз. Далеко не все организации в состоянии выделить собственные ресурсы для обеспечения безопасности, поэтому ставшая весьма популярной в конце 90-х гг. идея аутсорсинга становится все более востребованной. Однако если охрану «физического периметра» многие компании с готовностью поручают внешним структурам и охранным агентствам, то защита «информационного периметра» традиционно обеспечивается внутренними ресурсами. Между тем услуги технических специалистов, подготовка которых не поспевает за ростом рынка, обходятся все дороже, а значит, растут расходы на обучение персонала и поддержку телекоммуникационной инфраструктуры, обеспечение ее надежной и бесперебойной работы.
Проблемы, мешающие развитию такого вида услуг на отечественном рынке, обсуждались, в частности, на второй ежегодной конференции по ИБ, проведенной издательством «Открытые системы» и компанией IDC. Дискуссии на тему «Аутсорсинг в области информационной безопасности: утопия или выход из тупика?» показали различие мнений и подходов к этому вопросу со стороны как поставщиков, так и потребителей услуг аутсорсинга ИБ, однако позволили выделить некоторые общие направления. Обзор услуг аутсорсинга в области ИБ с анализом практических примеров был представлен и на апрельской конференции «Эффективные системы информационной безопасности: методики создания и аудита», организованной «Корпорацией ЮНИ». Очевидно, актуальность темы уже не вызывает сомнений.
Преимущества аутсорсинга ИБ понятны. В зависимости от характера и масштаба проект окупается через три года, и в долгосрочной перспективе (три года и более) позволяет клиенту, по оценкам специалистов «Эквант», сэкономить на обеспечении безопасности 30—40%. Кроме того, как при любом аутсорсинге, устраняется необходимость капитальных затрат на данную сферу. Однако роль экономического фактора чаще всего ничтожна, поскольку выгоды от аутсорсинга пока невелики.
Одной из ощутимых проблем является отсутствие практики передачи стороннему исполнителю функций, связанных с обеспечением безопасности корпоративных сетей и систем. Компании, предоставляющие подобные услуги, стали заниматься такого рода аутсорсингом совсем недавно, им предстоит еще приобрести серьезный опыт.
Принимая решение об аутсорсинге ИБ, клиент должен рассмотреть такие вопросы, как степень устойчивости его компании к рискам, определить реальность экономии затрат по сравнению с обеспечением безопасности собственными силами, сопоставить потенциальные затраты с ожидаемыми преимуществами, разработать стратегию аутсорсинга, предусмотреть необходимые инструменты для «управления отношениями» с поставщиком услуг (средства аудита и мониторинга). Как видим, проблем немало, а выгоды отнюдь не очевидны.
Между тем сегодня трудно найти крупную компанию, которая при проведении работ по обеспечению ИБ не обращалась бы к помощи внешних организаций, будь то проектирование, создание регламентов или внедрение средств защиты. Отечественные компании, специализирующиеся в данной сфере, давно предлагают такие услуги, однако как услуги аутсорсинга они обычно не рассматриваются. Обеспечение ИБ — один из видов сервиса в комплекте услуг хостинга или центров обработки данных. Примеров предоставления аутсорсинга ИБ как самостоятельного вида услуг в России совсем немного, да и в странах с практикой более открытого ведения бизнеса они пока не распространены.
По мнению Руфата Кримана, руководителя направления сервисных решений компании Lucent Technologies, многие проблемы развития аутсорсинга услуг ИБ в России связаны с отсутствием необходимых юридических норм, что существенно затрудняет работу поставщиков услуг. Что касается доверия к поставщику, то, по данным Lucent Technologies, большинство опрошенных клиентов называют в числе основных факторов наличие профессионального опыта в соответствующей сфере и финансовую устойчивость.
Проблемой остается и страхование рисков ИБ. Методология оценки рисков и практика их страхования активно развиваются, но и здесь предстоит накопить опыт, разработать подходящие методики.
ДОВЕРЯЙ, НО ПРОВЕРЯЙ
При аутсорсинге ИБ поставщик услуг получает доступ к информационной среде организации. Это делает актуальной проблему доверия к поставщику услуг, на которого будет возложена задача частичной или полной защиты корпоративной сети, а также проблему четкого регламентирования прав доступа внешней компании к критически важной информации и разделение полномочий без нарушения принятых в организации стандартов, что требует высокой квалификации как персонала заказчика, так и специалистов исполнителя, обязанных хорошо разбираться во внутренней политике безопасности клиента.
Доверие к поставщику услуг не исключает необходимости мониторинга его действий по обеспечению ИБ. Лишь это позволит судить, действительно ли предоставляются те услуги, за которые клиент платит. Да и грамотно составить контракт совсем не просто. Он должен предусматривать как ответственность поставщика в случае инцидентов с ИБ, так и защищать клиента от неправомочного использования его данных и сети. В противном случае риск может не уменьшиться, а возрасти. Вместе с тем, согласно статистике, большинство случаев нарушения конфиденциальности данных связано с деятельностью сотрудников самой компании, а опасность поручения ИБ внешней организации часто преувеличена.
Так или иначе, речь идет о достижении баланса и правильном выборе того, что именно следует передать на аутсорсинг, в зависимости от стратегии и вида деятельности компании. Как обеспечить защиту корпоративной сети и данных, не передавая посторонним «ключ от квартиры, где деньги лежат»? Клиенту придется решить, подходит ли ему вообще такой вид услуг, выбрать подходящего поставщика и не передавать ему права доступа к ключевой информации (к данным о клиентах, если это финансовое учреждение, хотя могут быть гораздо менее очевидные случаи). И, конечно, необходимо предусмотреть процессы аудита для контроля деятельности поставщика услуг и соблюдения политики безопасности.
Аутсорсинг ИБ нередко логически следует за другими услугами, например услугами по сопровождению крупных СУБД, и входит в пакет услуг по аутсорсингу информационной инфраструктуры, а для потребителей обеспечение физической и информационной безопасности собственных систем становится частью оказываемых сторонней организацией услуг аутсорсинга ИТ. Сервис в таком случае регламентируется соглашением о его уровне (SLA). Аутсорсинг безопасности — вынужденная мера, если компания использует схему аутсорсинга ИТ, поэтому SLA, включая вопросы безопасности, разрабатываются по каждому конкретному проекту. К такой практике прибегает, в частности, IBS/DataFort. Однако готовых тиражируемых решений у нее пока нет.
ПРЕДЕЛЫ АУТСОРСИНГА
По мнению целого ряда экспертов, услуги аутсорсинга имеет смысл рассматривать в комплексе, не выделяя ИБ как отдельный их вид. Кроме того, многие виды угроз связаны с внутренними, применяемыми в компании технологиями, поэтому аутсорсинг может оказаться невозможным в принципе. Поставщику крайне сложно обеспечить комплексность защиты информации, поэтому следует говорить лишь о частичном аутсорсинге ИБ. Сегодня предлагаются в основном мониторинг и управление средствами защиты периметра сети, реже — такими внутренними средствами, как система обнаружения вторжений (IDS). Осуществляя мониторинг системы безопасности клиента, поставщик услуг ИБ гарантирует определенный уровень защищенности. Это дает возможность передать на аутсорсинг часть типичных задач. Собственно же технологии и прикладной уровень остаются на попечении службы ИБ компании-заказчика.
Критерии выбора поставщика услуг аутсорсинга ИБ и набор требований еще не сложились. Далеко не просто определить, какие именно обязанности по обеспечению ИБ выгоднее передать внешней организации, а какие поручить собственным сотрудникам. Четкого разделения пока не проведено, и модели отношений между службами безопасности предприятий и подрядчиками только разрабатываются.
Если для малых и средних компаний аутсорсинг ИБ — это, прежде всего, сокращение операционных расходов, то для крупных (банки, государственные организации) очень важное значение имеет сохранение конфиденциальности, поэтому последние передают на аутсорсинг далеко не ключевые части своей системы.
НА ПУТИ К ЗРЕЛОСТИ
Российский рынок аутсорсинга услуг ИБ остается крайне незрелым, а компании, их предоставляющие, исчисляются единицами. Основной аргумент в пользу аутсорсинга состоит в экономической привлекательности решения, поэтому развитие рынка, увеличение поставщиков услуг будут способствовать снижению цен на данные виды сервиса, сделают его более доступным для средних и малых компаний, ведь ресурсов многих из них не хватает на развертывание комплексных систем защиты. Вместе с тем, обслуживание малого предприятия не всегда выгодно, поскольку требует выделения дополнительного персонала и других средств, что затрудняет предоставление подобных услуг клиентам такого уровня, ведь именно они в наибольшей степени нуждаются в соответствующем сервисе. Очевидно, это потребует создание технологий, удобных для заказчиков и недорогих для поставщиков. В конце концов, многие пользователи ПК давно прибегают к услугам «аутсорсинга ИБ», даже не задумываясь об этом, ведь производители антивирусных программ, как правило, предусматривают средства автоматического обновления по Internet антивирусных баз и антивирусного ПО, но опасений по поводу возможной кражи конфиденциальных данных ни у кого не возникает.
По словам Сергея Мацоцкого, генерального директора IBS, рост внешних угроз по отношению к информационным системам — один из факторов, который должен способствовать развитию рынка аутсорсинга ИТ. Компании просто не будут успевать квалифицированно выстраивать систему эксплуатации, отвечающую требованиям безопасности. Аутсорсинг информационных систем можно рассматривать как способ защиты от угроз. Характерно, что, по данным Point Topic, услуги по защите информации составили в прошлом году основную долю дополнительных предложений провайдеров США (34%), опередив по доходам интерактивные игры, обслуживание домовых сетей и IP-телефонию.
Сергей Орлов — обозреватель «Журнала сетевых решений/LAN». С ним можно связаться по адресу: osrlov@lanmag.ru.