Аутсорсинг ИБ — краткий обзор рынка

В статье рассказывается о состоянии и тенденциях рынка аутсорсинга информационной безопасности в России и в мире. Приводятся основные игроки рынка и перечень услуг, которые могут, или напротив, не должны отдаваться на аутсорсинг. Дополнительно в статье рассказывается о механизме предоставления такого рода услуг.

1. Новые вызовы информационной безопасности

2. Рынок аутсорсинга информационной безопасности

3. Принципы аутсорсинга информационной безопасности

4. Современные тенденции в аутсорсинге информационной безопасности

Новые вызовы информационной безопасности

Согласно ежегодному отчету корпорации Symantec об угрозах интернет-безопасности Internet Security Threat Report 2014 современные кибер-атаки становятся все более таргетированными, а их проведение заметно упрощается и уже не требует от злоумышленников высокой квалификации.

Корпорация IBM в своем отчете Cyber Security Intelligence Index 2014 отмечает, что количество инцидентов информационной безопасности с каждым годом неуклонно растет. В 2013 году у различных компаний по всему миру было похищено более 500 млн записей с конфиденциальной информацией клиентов, включая адреса электронной почты, номера банковских карт и пароли.

Практически все крупные организации с числом сотрудников от 1000 до 5000 человек многократно сталкиваются с угрозами безопасности в течение года. По статистике IBM среднее количество событий (security events) для каждой компании за год превышает 91 млн, что выливается в среднем в 110 инцидентов информационной безопасности.

Рынок аутсорсинга информационной безопасности

Исходя из существующего уровня угроз, современные системы ИБ реализуют принцип defense-in-depth, или «многоэшелонированной» защиты. Они включают подсистемы сетевой безопасности (часто гетерогенные с позиций используемого оборудования), антивирусные подсистемы, подсистемы строгой аутентификации, резервного копирования, мониторинга и др. Их создание и поддержка требуют приобретения довольно дорогих программно-аппаратных комплексов и привлечения высококвалифицированных специалистов.

В крупных компаниях, имеющих большой штат ИТ-департамента, проблема подбора высококлассных специалистов не стоит так остро, как в организациях среднего и малого бизнеса. Однако большая инертность крупного бизнеса не позволяют быстро реагировать на новые угрозы и нанимать нужных специалистов. В России ситуация осложняется еще и тем, что найти на рынке недорогой высококвалифицированный персонал в принципе очень тяжело.

Аутсо́рсинг (от англ. outsourcing: (outer-source-using) использование внешнего источника/ресурса) — передача организацией, на основании договора, определённых бизнес-процессов или производственных функций на обслуживание другой компании, специализирующейся в соответствующей области. В отличие от услуг сервиса и поддержки, имеющих разовый, эпизодический, случайный характер и ограниченных началом и концом, на аутсорсинг передаются обычно функции по профессиональной поддержке бесперебойной работоспособности отдельных систем и инфраструктуры на основе длительного контракта (не менее 1 года).

Наличие бизнес-процесса является отличительной чертой аутсорсинга от различных других форм оказания услуг и абонентского обслуживания. Целью настоящего обзора является определение, что представляет собой аутсорсинг вообще и системы информационной безопасности (ИБ) в частности, востребован ли подобный сервис на российском рынке, какие дополнительные риски вносит такая модель поддержки системы ИБ предприятия.

Базовое преимущество аутсорсинга для деятельности организации состоит в том, что аутсорсинг оптимизирует эту деятельность за счет того, что позволяет сосредоточить функционирование на основном, первостепенном направлении. За счет такой практической ценности аутсорсинг быстро и успешно прижился в бизнес-сфере как технология, помогающая решить проблему сокращения скрытых издержек, увеличения адаптации к меняющимся условиям внешней среды, улучшения качества выпускаемой продукции и услуг, квалифицированного управления рисками.

В ведущих мировых странах уже давно существуют компании, специализирующиеся только на предоставлении услуг по аутсорсингу ИБ. Такие компании называются Managed Security Service Providers (MSSP) и предоставляют услуги аутсорсинга всех подсистем ИБ, например:

• управление межсетевыми экранами;
• управление системами обнаружения и предотвращения вторжений (IPS/IDS);
• управление системами защиты от DDoS;
• управление системами контентной фильтрации электронной почты и веб-трафика;
• анализ уязвимостей и тестирование системы (включая проведение тестов на проникновение);
• управление антивирусными системами;
• управление системами система сбора и обработки информации об инцидентах (SIEM);
• управление системами аутентификации и авторизации;
• управление криптографическими системами, включая построение виртуальных частных сетей (VPN) и инфраструктуры открытых ключей (PKI).

Необходимо помнить, что сервис-провайдер управляет инфраструктурой ИБ, ее сегментами или некоторыми процессами системы управления ИБ, но не несет ответственности за разработку корпоративной политики ИБ или требований к системе ИБ, хотя обязан им следовать.

В частности при использовании аутсорсинга ИБ рекомендуется придерживаться следующих правил:

1. Нельзя передавать на аутсорсинг задачу без метрик результативности и без понимания четкого результата.
2. Нельзя передавать на аутсорсинг задачу, размер которой не соответствует размеру бизнеса сервис-провайдера.
3. Нельзя передавать сервис-провайдеру функцию «принятия рисков».

При выполнении этих трех условий проекты по аутсорсингу информационной безопасности не должны вызвать проблем на стороне клиента.

Что касается самих сервис-провайдеров, то уже сформирована достаточно большая группа компаний, которые предоставляют подобные услуги на международном уровне. Согласно отчету Gartner Magic Quadrant for Global MSSPs 2014 к лидерам этого рынка можно отнести такие компании как: IBM, Dell SecureWorks, Symantec, HP, CSC, Trustwave, Qualys, Verizon, AT&T, BT, Orange Bussiness Services и другие (см. Рисунок 1).

Рисунок 1. Gartner Magic Quadrant for Global MSSPs 2014

В России рынок услуг MSSP также развивается, хотя и не такими быстрыми темпами, как в Европе и США. Это связано с рядом вполне очевидных факторов, например, «отдать на откуп» только систему информационной безопасности часто довольно сложно − она тесно интегрирована с самой ИТ-системой предприятия. Поэтому на аутсорсинг нередко передается какая-нибудь из подсистем ИБ, например антивирусная или система сетевой безопасности. Другим вариантом может выступать расширенная техническая поддержка решений на стороне заказчика, которая выполняется внешними специалистами.

Мировая статистика по привлечению сторонних организаций для выполнения услуг по аутсорсингу ИБ свидетельствует, что такого рода услугами пользуются все большее число компаний и темпы роста этого рынка очень высокие. Так аналитическое агентство Frost & Sullivan в своем отчете Global Managed Security Service Providers Market оценило глобальный рынок услуг MSSP в 2011 году в $6.6 млрд. Ожидается, что к 2016 году этот рынок вырастет до $15.63 млрд. Таким образом, в течение пяти лет рынок будет расти в среднем на 27% ежегодно.

Российский рынок традиционно отстает. На нем сегодня более востребована услуга аутстаффинга, или расширенной технической поддержки с минимальным временем реакции. Чаще всего эти услуги так или иначе связаны с Big Data, SaaS, разработкой ПО или дата-центрами. Однако в последние несколько лет на российский рынок со своими услугами активно приходят западные компании, а российские игроки выстаивают собственные центры реагирования на инциденты. Но обо всем по порядку, сначала рассмотрим саму механику, принципы оказания такого рода услуг.

Принципы аутсорсинга информационной безопасности

Итак, какими принципами необходимо руководствоваться, на что стоит обратить внимание? Ответы можно найти в стандартах по управлению ИБ, например, в ISO 27001:2013; ISO 13335-3; NIST SP800-35 Guide to Information Technology Security Services или в Cobit 4.0 и 5.0. В контрактах по аутсорсингу необходимо обратить внимание в первую очередь на следующие вопросы.

1. Юридические аспекты, соответствие национальным законодательным требованиям и требованиям внутренних регуляторов. Например, обеспечение сохранности персональных данных (особенно актуально для бизнеса e-commerce), сохранность и целостность данных клиентов банков (требования Банка России) и т.д.
2. Распределение ответственности, в том числе на субподрядчиков сервис-провайдера.
3. Обеспечение сервис-провайдером конфиденциальности, целостности и доступности обрабатываемой, хранимой и передаваемой информации (в том числе необходимо однозначно определить и согласовать, какие логические, программно-технические и физические средства контроля и контрмеры будут применены).
4. Сервисы и мероприятия, которые будут поддерживаться в случае возникновения чрезвычайных ситуаций, например катастрофы (определение участия в планах DCP и DRP в части поддержания этих планов и уровня ответственности сторон).
5. Возможность проведения независимого аудита системы ИБ третьей стороной (к примеру, в соответствии со стандартом SAS 70, PCI DSS и т.д.).
6. Уровень предоставляемой сервис-провайдером услуги, закрепленный документально (SLA).
7. Возможность делегирования рисков сервис-провайдеру в случае возникновения критических ситуаций.

На последних двух пунктах стоит остановиться поподробнее.

SLA или Соглашение об уровне предоставления услуги (англ. Service Level Agreement (SLA)) — термин методологии ITIL, обозначающий формальный договор между заказчиком (в рекомендациях ITIL заказчик и потребитель — разные понятия) услуги и её поставщиком, содержащий описание услуги, права и обязанности сторон и, самое главное, согласованный уровень качества предоставления данной услуги. В таком соглашении может содержаться детальное описание предоставляемого сервиса, в том числе перечень параметров качества, методов и средств их контроля, времени отклика поставщика на запрос от потребителя, а также штрафные санкции за нарушение этого соглашения. Для того, чтобы соблюсти SLA, поставщик услуг в свою очередь заключает операционное соглашение об уровне услуг (OLA) с другими внутренними подразделениями от которых зависит качество предоставления услуг. В идеале SLA определяется как особый сервис. Это позволяет сконфигурировать аппаратное и программное обеспечение для максимизации способности удовлетворять SLA. Параметры качества услуги, указанные в SLA, должны быть измеримыми, то есть представимыми в виде числовых метрик. Например, для услуги доступа в Интернет это может быть максимальное время недоступности, максимальное суммарное время недоступности за период (например, за месяц). Скорость доступа при этом является плохим параметром, поскольку зависит не только от оператора, но и от других операторов, от загруженности сервера сайта и т. п., на что, как правило, поставщик повлиять не может.

К сожалению, развитой практики составления SLA и контроля его исполнения в странах СНГ пока нет, а использование KPI в этом случае часто вызывает непонимание.

При заключении контракта на аутсорсинг следует также определить, каким образом можно будет комбинировать риски и стратегии управления ИБ двух разных организаций − Заказчика и Исполнителя.

Топ-менеджеры компаний − потенциальных заказчиков традиционно ожидают, что все критические инциденты информационной безопасности будут выявляться в круглосуточном режиме и длительность реакции на них составит минуты, но никак не часы или дни. Наряду с этим в рамках подразделения ИБ практически никогда не создается полноценная дежурная смена, функционирующая в режиме 24х7 и готовая выдерживать высокий уровень сервисов по анализу инцидентов.

В свою очередь, расширение подразделения, необходимое для создания подобной смены, практически не удаётся обосновать перед руководством, так как инциденты, происходящие вне стандартных пределов рабочего времени, не слишком часты, а расходы на персонал, напротив, очень существенны. Аргументом выступает фраза: «У нас есть хелп-деск, это его задача».

Современные тенденции в аутсорсинге информационной безопасности

Одним из важнейших сегментов, для которых вопросы безопасности являются архиважными, является банковский сектор, а также ритейл и критически-важные объекты инфраструктуры. Так информационной безопасности в банковской сфере должно уделяться максимум внимания, а значит, и средств. Но ситуация, сложившаяся в России, вызывает удивление. На поддержку и развитие ИБ банки выделяют недостаточно средств, считая это непроизводительными тратами, а борьба с основным источником информационных потерь − инсайдерами − практически не ведется. Ситуация коренным образом стала меняться лишь в последние 2−3 года, когда атаки стали таргетированными и защита интеллектуальной собственности и имиджа компании стала злободневной темой.

Защита информации остается для банков самой критичной проблемой − любая утечка данных может привести как к прямым материальным потерям, так и к ухудшению репутации на долгосрочную перспективу. В этой связи банковский сектор считается главным потребителем систем информационной безопасности, а бюджет, выделяемый на них в кредитных организациях, значительно превышает ИБ-бюджеты компаний нефинансового сектора.

Российским банкам нужен Государственный центр реагирования на компьютерные инциденты, полагает исполнительный директор Ассоциации российских банков (АРБ) Валерий Шипилов. О планах создания такого центра он рассказал на VI Уральском форуме «Информационная безопасность банков» в Магнитогорске.

По всей видимости, такой Центр в России будет создан: эту идею поддержали первый зампред ЦБ РФ Георгий Лунтовский, начальник Главного управления безопасности и защиты информации ЦБ РФ Олег Крылов и представители Департамента национальной платежной системы ЦБ РФ.

Исходя из официального сообщения АРБ, Центр реагирования должен помочь оперативному взаимодействию и обмену информацией между кредитными организациями, регуляторами, банковскими ассоциациями и правоохранительными органами. Создание независимого органа реакции на инциденты ИБ позволит реально оценивать угрозы и риски банковского сектора без сокрытия «нежелательной информации в имиджевых целях». В этой связи появилась явная тенденция передачи части функций ИБ — обработки инцидентов и анализа рисков хотя бы в одном из важнейших сегментов, который может стать двигателем развития аутсорсинга.

Вторым важным аспектом, который окажет, безусловно, влияние на этот рынок − создание внешних центров реагирования на инциденты ИБ, так называемые Security Operation Center (далее SOC). И, если на Западе этот сегмент достаточно хорошо представлен (например, бывший ЦОД Bunker, который превратился в хорошо оснащенный SOC и одним из первых получил сертификат PCI DSS), то в нашей стране «первые ростки» в виде SOC стали появляться только сейчас.

Первым стартапом в этой области является JSOC (Jet Security Operation Center), принадлежащий компании «Инфосистемы Джет» − одному из крупнейших российских системных интеграторов. Он стал первым в России коммерческим Центром мониторинга и реагирования на инциденты ИБ. Сейчас он обрабатывает миллиарды событий, выявляет из них тысячи подозрительных активностей, идентифицирует сотни атак, дежурные смены в круглосуточном режиме их разбирают, расследуют, вырабатывают сценарии реагирования и отражают их. Распределенная архитектура как ЦОД, так и офисов (специалисты JSOC базируются не только в Москве, но и в Нижнем Новгороде) позволяют клиентам получить непрерывные и бесперебойные сервисы ИБ. Услуги оказываются на основании подписки без необходимости капитальных стартовых вложений. Для организаций, нацеленных на обеспечение круглосуточного мониторинга инцидентов, передача этой задачи на аутсорсинг в JSOC позволит существенно снизить прямые затраты на создание инфраструктурных решений, в том числе соответствующих требованиям стандарта PCI DSS, — и что самое сложное — обеспечить исполнение соответствующих процедур.

Какие еще преимущества может дать работа с подобным сервис-провайдером? В первую очередь, – прозрачность и управляемость расходов на обеспечение услуги. В случае подписания сервисного контракта все вопросы подбора персонала, его адаптации и обучения, контроля эффективности работы и поиска замен на время болезней или отпусков перестают быть задачами компании-Заказчика. Сервис-провайдер отвечает за определённое качество услуг, в том числе материально и репутационно. В то же время SOC внешнего сервис-провайдера использует и учитывает накопленный опыт сразу нескольких проектов, что повышает эффективность выявления и обработки инцидентов, повышает качество решений по их эскалации. В частности, в случае атаки на одну из защищаемых им компаний сервис-провайдер предпримет все усилия для того, чтобы быть готовым к аналогичным атакам на других своих заказчиков и противодействовать им с максимальной эффективностью.

Подобная сервисная модель существенно снижает риски, связанные с простым размещением оборудования в ЦОД (обслуживание своими силами порождает риски, связанные с отказами оборудования — как физическими, так и логическими, низким временем реакции на инциденты ИБ, а это ключевые параметры качества!), поэтому крупным организациям нужно очень серьезно оценить эту новую услугу. Это в духе предписаний международных стандартов безопасности, которые   требуют, чтобы организация определяла внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от системы менеджмента информационной безопасности.

Как показывает практика, если у компании нет стойкого неприятия идеи использования внешних подрядчиков в вопросах обеспечения информационной безопасности, то указанный вариант является одним из оптимальных путей по запуску Security Operation Center и переходу к оперативному и эффективному управлению инцидентами информационной безопасности, как этого сегодня требует окружающая обстановка.