|
|
|
Аутсорсинг ИБ не допустит распыления ресурсовКоличество и качество атак на ИТ–системы предприятий стремительно растут. Размеры и род деятельности компании-жертвы при этом не играют никакой роли. Всё чаще и чаще представители бизнес-сообщества приходят к выводу: самим с этой эпидемией не справиться. Во-первых, потому, что на кону зачастую самое «дорогое» — конфиденциальная информация. А во-вторых, любую работу лучше всего делают профессионалы. Как же найти баланс между желанием надежно защититься и не допустить распыления ресурсов компании на не профильные виды деятельности? Рецепт один — аутсорсинг элементов систем информационной безопасности. В настоящее время обеспечение информационной безопасности является одной из наиболее актуальных задач для большинства российских компаний. Эффективное решение этой задачи возможно только при условии применения комплексного подхода, предусматривающего использование современных программных и программно-аппаратных средств защиты, создание системы управления на основе мониторинга рисков информационной безопасности, а также применение нормативных документов, регламентирующих вопросы защиты информации. На сегодняшний день лишь небольшая часть компаний может позволить себе иметь в штате службу информационной безопасности, способную самостоятельно и квалифицировано решать все задачи в области защиты информации. В первую очередь это обусловлено нехваткой финансовых ресурсов, квалифицированных кадров, отсутствием необходимого оборудования и т.д. Одним из возможных вариантов решения данной проблемы является передача задач по обеспечению информационной безопасности внешним компаниям на аутсорсинг, различные виды которого рассматриваются в данной статье. Что такое аутсорсинг ИБ? Аутсорсинг (от англ. «outsourcing») это процесс передачи стороннему подрядчику ряда внутренних услуг или внутренних сервисов компании-заказчика, исходя из его кадровых ресурсов, программных продуктов, технических средств и элементов инфраструктуры. В области информационной безопасности можно выделить следующие основные виды услуг аутсорсинга: проведение внешнего и внутреннего аудита информационной безопасности с целью выявления и устранения имеющихся уязвимостей; разработка нормативных документов, формализующих процессы защиты информационных ресурсов компании; создание системы управления информационной безопасностью компании в соответствии с процессным подходом; техническое сопровождение средств защиты информации, установленных на площадке заказчика; защита почтового трафика компании от вирусов и спама; мониторинг информационных атак, направленных на ресурсы автоматизированной системы заказчика. Как правило, основным мотивом к использованию аутсорсинга в области информационной безопасности является минимизация затрат на решение задач по защите информации. При этом экономия может выражаться, например, в сокращении штата специалистов, отвечающих за обеспечение информационной безопасности компании. А также в сокращении затрат на обучение по вопросам информационной безопасности или минимизации затрат на закупку дорогостоящих средств защиты информации. Кроме того, сокращаются затраты на техническое обслуживание и поддержку средств защиты информации и др. Таким образом, аутсорсинг позволяет компании-заказчику снизить затраты на решение задач по обеспечению информационной безопасности посредством их делегирования внешним специализированным организациям. При этом он также предоставляет возможность сконцентрировать основные ресурсы компании на реализации ключевых бизнес-процессов, связанных с профильной деятельностью предприятия. Аутсорсинг аудита информационной безопасности Аудит представляет собой независимый и документированный процесс, основной целью которого является получение оценки текущего уровня защищённости от возможных внешних и внутренних угроз. Как правило, аудит предполагает проведение оценки операционных рисков, связанных с возможным нарушением информационной безопасности и разработку предложений по их минимизации до приемлемого уровня. В рамках аутсорсинга для проведения аудита могут привлекаться внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может являться руководство предприятия, служба автоматизации или служба информационной безопасности. В настоящее время можно выделить следующие основные виды аудита информационной безопасности: аудит безопасности интернет-систем (penetration testing), позволяющий оценить защищенность компании от внешних информационных атак; оценка соответствия рекомендациям международных и российских стандартов в области информационной безопасности; инструментальный анализ защищённости, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы; комплексный аудит, базирующийся на процедуре оценке рисков информационной безопасности. В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач. На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. На втором этапе, в соответствии с согласованным регламентом, осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств. Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня безопасности предприятия. По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости компании от угроз информационной безопасности. Аутсорсинг задач по техническому сопровождению систем безопасности Техническая поддержка является одной из наиболее распространенных услуг аутсорсинга, в рамках которой внешняя компания берет на себя функции сопровождения средств защиты, установленных на площадке заказчика. Техническая поддержка может включать в себя такие сервисы, как мониторинг работоспособности решения с использованием удаленного доступа; удаленное администрирование систем защиты, установленных у заказчика, предоставление доступ к базе знаний о продуктах, которые установлены у заказчика; предоставление информации обо всех исправлениях и новых версиях продуктов; консультации по функциональным возможностям продукта, а также установке и эксплуатации программного обеспечения, настройке и оптимизации работы продуктов. Консультации предоставляются по электронной почте или по телефону. Техподдержка может оказываться и с использованием удаленного доступа. В зависимости от уровня оказываемой технической поддержки она может предусматривать выделенного специалиста, ответственного за оказание технической поддержки заказчику; либо наличие выделенного номера, по которому может обращаться представитель заказчика; либо возможность оказания круглосуточной технической поддержки и др. Аутсорсинг функций защиты почтового трафика от спама Сервис аутсорсинга функций защиты почтовой системы предполагает использование средств безопасности, установленных на площадке внешней компании для защиты почтового трафика от спама. В зарубежных странах данный сервис оказывается такими компаниями, как MessageLabs, FrontBridge и др. Клиентами являются предприятия государственного сектора, а также коммерческие организации, включая Bank of New York, McDonalds, BMW, British American Tobacco, Toshiba и др. Примерами аналогичного сервиса в России являются услуга «Защищенная почта» (www.mail-security.ru) компании «ДиалогНаука» и сервис «Kaspersky Hosted Security» (www.hostedsecurity.ru) от Лаборатории Касперского. Услуги данного типа реализуются посредством перенаправления почтового трафика через внешнюю защищённую площадку, на которой установлены средства защиты от спама и вирусов. Клиенту в итоге поступает почтовый трафик, очищенный от нежелательной корреспонденции. Процедура перенаправления реализуется путём изменения адреса почтового сервера, указанного в MX-записи службы доменных имён DNS. Фактически в данном случае заказчик заключает договор на аренду приложений по защите от вирусов и спама, установленных на площадке аутсорсинговой компании. Сервис обеспечивает дополнительный уровень защиты от возможных сетевых атак. Поскольку в MX-записи указан адрес узла сервиса, то делает корпоративную сеть невидимой при поиске по зоне DNS. Организация-клиент остается невидимой для нежелательных сообщений отправителей или сообщений с вредоносным кодом, так как поиск по DNS указывает на адрес сервиса. Таким образом, организация получает входящий SMTP-трафик только от серверов, обеспечивающих работу сервиса, что позволяет ограничить перечень возможных источников SMTP-трафика на межсетевом экране. Использование сервиса аутсорсинга позволяет существенно снизить затраты на внедрение и сопровождение системы защиты. Это обусловлено тем, что применение сервиса не требует закупки дополнительного программного или аппаратного обеспечения, а также обучения ИТ-специалистов. Аутсорсинг задач по разработке политики безопасности Одним из возможных вариантов аутсорсинга является привлечение внешней компании для разработки Политики безопасности, представляющей собой официально принятую систему взглядов на цели, задачи, основные принципы и направления деятельности в области защиты от возможных внешних и внутренних угроз. Политика разрабатывается в виде внутрикорпоративного нормативного документа, который утверждается на уровне руководства организации. Все положения Политики носят долгосрочный характер и действуют в течение нескольких лет с момента её официального утверждения. Положения и требования Политики должны распространяться на все центральные и региональные объекты автоматизации компании, в которых осуществляется хранение, обработка и передача информационных ресурсов, потенциально подверженных информационным атакам. Политика также относится и к подразделениям, осуществляющим сопровождение, обслуживание и обеспечение функционирования информационной системы предприятия. Основная цель Политики заключается в создании нормативной базы для обеспечения комплексной защиты от угроз безопасности, предусматривающей применение как организационных, так и программно-технических методов защиты. В рамках работ по созданию Политики безопасности аутсорсинговая компания, как правило, выполняет мероприятия по систематизации и анализу угроз безопасности с целью создания модели, позволяющей описать характеристики тех информационных атак, от которых должна быть защищена компания; оценке текущего состояния информационной безопасности предприятия на основе имеющейся информации о структуре автоматизированной системы, а также установленных средствах защиты; определению стратегии создания, функционирования и развития комплексной системы информационной безопасности; разработке концептуальных подходов к защите типовых объектов автоматизации предприятия от возможных угроз безопасности. В результате выполненных работ аутсорсинговая компания может предоставить заказчику полный пакет нормативных документов, включая политику безопасности, регламенты, процедуры, инструкции и др. Эти документы могут служить основой для создания полноценной системы управления информационной безопасностью компании. Как правильно выбрать аутсорсинговую компанию и оценить эффективность её работы? Одним из основных факторов, влияющих на выбор компании, оказывающей услуги в области аутсорсинга, является уровень доверия к поставщику услуг. Это объясняется тем, что в большинстве случаев аутсорсинговой компании предоставляется доступ к конфиденциальной информации заказчика. Поэтому в этом аспекте к ней предъявляются повышенные требования. В общем случае при выборе компании необходимо учитывать такие факторы, как узнаваемость бренда компании на рынке информационной безопасности; количество лет, в течение которых она работает на рынке безопасности; число и масштаб аналогичных реализованных проектов в области аутсорсинга; а также наличие необходимых лицензий. Основным инструментом для контроля качества предоставляемых услуг является соглашение SLA, включающее в себя набор ключевых показателей KPI, на основе которых контролируется работа поставщика услуги. В типовом соглашении SLA должны быть описаны функциональные задачи, выполнение которых берет на себя аутсорсинговая компания; ответственность заказчика и исполнителя; меры по обеспечению информационной безопасности при взаимодействии заказчика и исполнителя; порядок предоставления отчетности, содержащей результаты выполненной работы; и стоимость оказания услуги аутсорсинга. Аутсорсинг все чаще называют одним из наиболее перспективных направлений развития услуг в области защиты информации, поскольку он позволяют привлекать для решения проблемы обеспечения безопасности внешних высококвалифицированных специалистов, в то время как штатные сотрудники компаний могут сконцентрироваться на решении профильных для них задач. С одной стороны, сокращаются затраты на выполнения задач защиты информации, а с другой — качественно повышается уровень информационной безопасности компании. Виктор Сердюк, к.т.н. |