Статья

Аутсорсинг ИБ: заказчику и исполнителю есть повод договориться

Безопасность Аутсорсинг Стратегия безопасности

Минувший год оказался богатым на прогнозы и амбициозные заявления российских интеграторов, причем самые смелые касались сегмента аутсорсинговых услуг. Именно эта ниша казалась той самой "землей обетованной", десантировать на которую стремился чуть ли не каждый поставщик ИТ-сервисов. И впрямь, количество заключенных контрактов в 2008 году заметно возросло (при значительном снижении стоимости самих контрактов), но всегда ли их можно отнести в копилку аутсорсинга, решают ли они вопросы информационной безопасности, и существует ли рынок аутсорсинга ИБ в чистом виде на российских просторах?

Наиболее перспективным направлением в этой области является защита персональных данных в соответствии с требованиями ФЗ № 152 "О персональных данных". Вероятные заказчики подобного рода услуг - крупные и средние компании, которые заинтересованы в соблюдении действующего законодательства. По мнению начальника аналитического отдела компании “ЕВРААС. Информационные технологии" Максима Ворожцова, проекты по защите персональных данных являются самыми перспективными, поскольку эта тема поддерживается регуляторами. Интерес к аутсорсингу защиты персональных данных проявляют те организации и предприятия, для которых содержание собственной развитой службы ИБ не оправдано с точки зрения бизнеса. Например, это касается государственных учреждений, компаний среднего и малого бизнеса, крупных предприятий, не имеющих больших подразделений ИБ или желающих повысить их эффективность. Как правило, такие компании не могут похвастаться наличием штатного квалифицированного персонала и возможностью внедрения дорогостоящих систем защиты информации. Кроме того, они испытывают определенные трудности с получением ряда лицензий, которые необходимы при организации и хранении защиты персональных данных.

Передача сервисов ИБ глазами заказчика

Заместитель директора департамента информационной безопасности финансовой корпорации "Открытие" Игорь Калганов отмечает, как минимум, три проблемы, c которыми чаще всего могут столкнуться потенциальные заказчики аутсорсинга услуг ИБ, обратившись в компанию-интегратор впервые. Прежде всего, это отсутствие, либо фрагментарное отражение актуальной информации об изменениях в системе ИБ заказчика. Как результат, договоры об аутсорсинге зачастую не могут иметь ссылок на какие-либо значимые документы компании.

Второй проблемой является отсутствие, как у исполнителя, так и у заказчика метрик, при помощи которых можно было бы измерить качество услуг или определить явным образом факт того, что услуга оказана.

Третья проблема связана с привлечением сторонних компаний, которые выступают в качестве подрядчиков интегратора. Кредит доверия, как и риск потери контроля над конфиденциальной информацией для заказчика в этом случае возрастает. Такая практика работы аутсорсера воспринимается негативно и сотрудничество с ним не продлевается.

Для решения указанных проблем Игорь Калганов рекомендует компаниям, заинтересованным в услугах аутсорсинга ИБ более тщательно документировать ИТ- и ИБ-процессы: отслеживать все текущие изменения в передаваемых на аутсорсинг сервисах (чтобы сохранить жизнеспособность проекта даже при смене подрядчика); разрабатывать и совершенствовать всеми участниками взаимоотношений систему оценки услуг по аутсорсингу ("метрик").


Подписание SLA cводит риски срыва работ к минимуму

При построении системы контроля услуг аутсорсинга важно помнить, что она должна охватывать как свои (внутренние) процессы, так и сервисы, являющиеся смежными, переданными на поддержание аутсорсеру. Необходимо не только отображать текущее состояние процессов и сервисов, но и прогнозировать развитие ситуации хотя бы в краткосрочной перспективе.

Выбор аутсорсера ИБ. Как не ошибиться?

Решая передать часть задач ИБ под ответственность аутсорсера, заказчик должен понимать, что полностью исключить риски некорректной работы с информационными данными, равно как и затраты на персонал и поддержку задач ИБ, ему не удастся. При аутсорсинге вместо одних рисков возникают другие, а на смену бюджетам ИБ приходят затраты на оплату услуг поставщика сервиса. Что выгоднее? Ответ на этот вопрос может дать лишь сама организация с учетом специфики своего бизнеса, внутренних ИТ-ресурсов и стратегических целей.

Процесс выбора исполнителя такой сложной задачи базируется, прежде всего, на доверии, кредит которого может складываться как по результатам уже реализованных проектов, так и по формальным признакам. Например, репутация и порядочность исполнителя – не что иное, как качество работы вполне определенных людей, поэтому заказчик может обратить внимание на наличие квалифицированных специалистов в штате аутсорсера. Сюда же следует отнести опыт работы в данной сфере и наличие успешно реализованных проектов, отзывы клиентов.

Кроме того, заказчик должен получить действительные свидетельства наличия у исполнителя материально-технической базы, позволяющей предоставлять услуги по аутсорсингу в требуемом объёме и соответствующего качества. При необходимости желательно разобраться с полномочиями и компетенцией вероятного субподрядчика.

Инициируя аутсорсинговый проект, компании важно уже на предварительном этапе отбора исполнителя определить критерии и правила предоставления услуг, а также обязанности всех участников взаимодействия. В подробный SLA, который сводит риски срыва работ к минимуму, включается специально-разработанная система "метрик" (она закрепляет объем и качество услуг).

Генеральный директор компании "Диалог-Наука" Виктор Сердюк отмечает основные положения типичного договора аутсорсинга: описание функциональных задач, выполнение которых берет на себя подрядчик; ответственность заказчика и исполнителя; меры по обеспечению информационной безопасности при взаимодействии заказчика и исполнителя; порядок предоставления отчетности, содержащей результаты выполненной работы; стоимость оказания услуги аутсорсинга.

Как видим, ключевым моментом при оформлении договоренностей между сторонами выступает ответственность исполнителя. Тем не менее, успех проекта определяется не только хорошо проработанными механизмами контроля, но и готовностью заказчика выстраивать длительное сотрудничество, отражая текущие изменения (как позитивные, так и негативные) в системе ИБ. Основным же мотивом передачи функций ИБ аутсорсеру должно оставаться стремление сделать бизнес более управляемым путем вывода непрофильных направлений из деятельности компании. В этой ситуации, когда все участники рынка ИБ готовы приступить к конструктивному диалогу и инициировать сделки по аутсорсингу, особенно важны единодушие и общие правила игры, в процессе которой могла бы строиться эффективная система предоставления услуг, а не Вавилонская башня, символизирующая сумятицу и отсутствие взаимопонимания.

Елена Гущина / CNews