|
|
  |
Главная страница / Архитектура отрасли Аутсорсинг системы информационной безопасностиПрежде всего отметим специфику работы российских компаний, которые зачастую с высокой степенью недоверия относятся не только к новым партнерам, но и к государству. При передаче системы ИБ в аутсорсинг на одной чаше весов оказываются дополнительные риски, связанные с обеспечением конфиденциальности, целостности и доступности информации при ее обслуживании третьей стороной, а также риски, обусловленные ИТ-процессами обеспечения безопасности, например, управлением инцидентами или управлением изменениями. На другой чаше весов повышение эффективности работы и уменьшение совокупной стоимости владения системой ИБ, а, следовательно, и улучшение общих финансовых показателей компании. Современные системы ИБ реализуют принцип defense-in-depth, или «многоэшелонированной» защиты. Они включают подсистемы сетевой безопасности (часто гетерогенные с позиций используемого оборудования), антивирусные подсистемы, подсистемы строгой аутентификации, подсистемы резервного копирования, мониторинга и др. Создание и поддержка этих подсистем требуют приобретения довольно дорогих программно-аппаратных комплексов и привлечения высококвалифицированных специалистов. В крупных компаниях, имеющих большой штат ИТ-департамента, проблема аутсорсинга не стоит так остро, как для компаний среднего и малого бизнеса. В России ситуация осложняется еще и тем, что найти на рынке недорогой высококвалифицированный персонал сейчас очень тяжело. С другой стороны, «отдать на откуп» только систему информационной безопасности практически невозможно – она тесно интегрирована с самой ИТ-системой предприятия. Поэтому на аутсорсинг нередко передается какая-нибудь из подсистем ИБ, например антивирусная или сетевой безопасности. Мировая статистика по привлечению сторонних организаций для выполнения услуг по аутсорсингу ИБ свидетельствует, что такого рода услугами пользуются пока только 2% компаний (по данным IDC, 2005). На российском рынке сегодня более востребована услуга аутстаффинга, или расширенной технической поддержки с минимальным временем реакции. Итак, если компания все-таки решила воспользоваться услугами аутсорсинга системы ИБ или одной из ее подсистем, какими принципами необходимо руководствоваться, на что стоит обратить внимание? Ответы можно найти в стандартах по управлению ИБ, например, в ISO 17799:2005; ISO 13335-3; NIST SP800-35 Guide to Information Technology Security Services или в Cobit 4.0. В контрактах по аутсорсингу необходимо обратить внимание в первую очередь на следующие вопросы. 1. Юридические аспекты, соответствие законодательным требованиям. Например, обеспечение сохранности персональных данных (особенно актуально для бизнеса e-commerce). 2. Распределение ответственности, в том числе на субподрядчиков компании-аутсорсера. 3. Обеспечение компанией-аутсорсером конфиденциальности, целостности и доступности обрабатываемой, хранимой и передаваемой информации (в том числе необходимо определить, какие логические и физические средства контроля и контрмеры будут применены). 4. Сервисы и мероприятия, которые будут поддерживаться в случае возникновения чрезвычайных ситуаций, например катастрофы. 5. Возможность проведения независимого аудита системы ИБ третьей стороной (к примеру, в соответствии со стандартом SAS 70). 6. Уровень предоставляемого аутсорсером сервиса (SLA). При заключении контракта на аутсорсинг следует также определить, каким образом можно будет комбинировать риски и стратегии управления ИБ двух разных организаций. Особое внимание стоит уделить, как упоминалось, вопросам распределения ответственности. На основании рекомендаций стандарта ISO 13335 можно построить следующую диаграмму. Главная страница / Архитектура отрасли |