Аутсорсинг: преимущества и недостатки

Мир информационных технологий развивается стремительно. А вместе с ним развиваются и сервисы информационной безопасности. Аутсорсинг услуг информационной безопасности зарекомендовал себя как надежный способ обезопасить свой бизнес от кибер рисков.

Целью использования услуг аутсорсинга является привлечение квалифицированного персонала, использование готовых процессов и развитой методологии, а также средств, систем и технологий обеспечения ИБ. При этом под аутсорсингом понимаются взаимоотношения закрепленные на договорной основе

Предпосылками к аутсорсингу ИБ являются:

• необходимость обеспечения мониторинга информационных ресурсов организации в круглосуточном режиме (24/7);
• отсутствие в штате организации должностей для узкоспециализированных специалистов, имеющих высокий уровень компетенций в отдельных областях обеспечения ИБ;
• необходимость немедленного обеспечения ИБ организации («здесь и сейчас»);
• необходимость масштабирования мер ИБ организации в зависимости от различных параметров (сезонность, важные мероприятия и т.д.).

Аутсорсинг может показаться серебряной пулей. Однако, чтобы выстроить качественный жизненный цикл предоставления и использования аутсорсинга информационной безопасности, необходимо придерживаться следующих правил:

• обязательность Соглашения об уровне предоставляемых услуг с третьей стороной, предоставляющей услуги аутсорсинга ИБ, в котором определены описание услуги, права, обязанности и ответственность сторон, согласованный уровень качества предоставления данной услуги (перечень параметров качества, методов и средств их контроля), а также штрафные санкции за нарушение этого соглашения;
• наличие Соглашения о неразглашении конфиденциальной информации с поставщиком услуг, в котором указаны сведения, являющиеся конфиденциальными, дано определение разглашению конфиденциальной информации, а также установлены меры ответственности за нарушение данного соглашения;
• компетенция поставщика услуг должна соответствовать сложности возлагаемой на него задачи;
• строгое выполнение политики безопасности организации со стороны поставщика услуг. Принятие рисков ИБ является компетенцией организации.

При этом выбранный поставщик услуг обязан соблюдать следующие принципы аутсорсинга информационной безопасности:

• соответствие предоставляемых услуг требованиям действующего законодательства Российской Федерации;
• распределение ответственности, в том числе на субподрядчиков поставщика услуг;
• обеспечение конфиденциальности, целостности и доступности обрабатываемой, хранимой и передаваемой информации со стороны поставщика услуг;
• определения порядка действий в критических ситуаций (определение перечня критичных ресурсов, поддержка которых осуществляется в первую очередь, возможность делегирования рисков поставщику услуг в критических ситуациях).

Использование аутсорсинга информационной безопасности является признаков зрелости процессов информационной безопасности вашего бизнеса. Привлечению поставщика услуг должна предшествовать оценка рисков ИБ организации с целью формирования перечня требований ИБ, выполнение которых позволит исключить или минимизировать ущерб в результате нарушения ИБ организации.

Результаты деятельности поставщика услуг должны подвергаться регулярному анализу со стороны организации с целью контроля качества и полноты предоставляемых услуг по обеспечению ИБ.

Использование аутсорсинга ИБ предоставляет некоторые преимущества организации:

• минимизация угроз и рисков (финансовых, репутационных и т.д.) из-за нарушения ИБ;
• использование опыта поставщика услуг по обеспечению ИБ;
• повышение качества обеспечения ИБ в связи с выполнением работ сертифицированными специалистами специализированной организации (при оказании услуг в области шифрования и технической защите конфиденциальной информации в соответствии со ст. 12 Федерального закона «О лицензировании отдельных видов деятельности» № 99-ФЗ от 04.05.2011 у поставщика услуг обязательно наличие лицензии на оказание услуг в области шифрования (лицензия ФСБ России) и услуг по технической защите конфиденциальной информации (лицензия ФСТЭК России)).

Вместе с тем аутсорсинг ИБ несет в себе дополнительные риски:

• расширение круга лиц, допущенных в информационную инфраструктуру организации;
• раскрытие архитектуры информационной инфраструктуры организации;
• подключение к инфраструктуре недоверенных средств вычислительной техники, угрозы при удаленном доступе и администрировании, неизвестный круг третьих лиц, получающих доступ к информационной инфраструктуре организации;
• неизвестная защищенность инфраструктуры поставщика услуг при отсутствии результатов аттестации систем поставщика и/или проведения периодического аудита на соответствие требованиям законодательства, лучшим практик;
• отсутствие контроля над регламентами и их исполнением на стороне поставщика услуг;
• деятельность злоумышленников внутри поставщика услуг (инсайдеров).

Отдавать обеспечение информационной безопасности на аутсорсинг или нет решать Вам.

Команда "Киберзащиты" готова взять на себя Вашу безопасность и защитить Вас от кибер угроз!