+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Аутсорсинг информационной безопасности

Содержание

Защита информации

Аутсорсинг информационной безопасности

Одним из условий эффективной деятельности любой компании на современном рынке является ее информационная безопасность. Постоянно возрастающая конкуренция порождает множество способов нечестного соперничества между предприятиями. По этой причине отечественный и зарубежный бизнес непрерывно повышает степень защищенности коммерческих сведений.

Усилия высшего менеджмента направлены на предотвращение несанкционированного доступа к таким данным посторонних лиц. Решить эту задачу помогает интенсивное развитие технологий. Аппаратные и программные средства защиты информации можно приобрести с помощью ИТ-аутсорсинга, который обеспечивает сразу несколько преимуществ. Воспользоваться ими позволит правильный выбор поставщика услуг.

Компания «ИТ-РП» обладает всем арсеналом средств для обеспечения эффективной защиты информации. Мы пользуемся хорошей репутацией среди клиентов, так как полностью решаем поставленные перед нами задачи, устраняем любые проблемы.

Для поддержания высокой степени информационной безопасности наши специалисты применяют свой обширный опыт и глубокие знания.

В результате заказчик получает желаемый результат, навсегда забывает о рисках, связанных с утечкой коммерческих сведений.

Как защитить информацию от несанкционированного доступа

Стандартные технологии, предлагаемые в рамках массового хостинга, не подходят для коммерческих организаций. Они предъявляют повышенные требования в сфере конфиденциальности информации.

Удовлетворить их сможет только хороший IT-аутсорсер, который направляет на решение постановленных задач все свои ресурсы.

По ответственному отношению компании к проблеме защиты данных можно отличить настоящих профессионалов от недостаточно квалифицированных специалистов.

Обеспечение информационной безопасности в рамках ИТ-аутсорсинга основывается на ряде принципов:

  • сочетание программных и аппаратных средств с административными и организационными методами;
  • разделение пользователей на группы для безопасной работы с коммерческими сведениями;
  • понятные и эффективные способы защиты данных для сотрудников каждого заказчика;
  • оперативное выявление вероятных угроз, их предотвращение и устранение;
  • постоянная работа в интересах клиента с предоставлением полной и открытой отчетности.

Информационная безопасность предполагает необходимость создания многоступенчатой системы защиты. Она включает в себя несколько элементов:

  • технические средства – сетевые экраны, мониторинг вторжений, многоуровневая архитектура, изоляция портов;
  • антивирусная защита, обеспечение надежного хранения архивов, ведение журнала событий и ограниченный список доступа;
  • физические методы – защитный периметр, контроль прохода в технические помещения, видеонаблюдение, биометрическая аутентификация;
  • организационные действия – разработка регламента мониторинга угроз, реагирования на них, обустройство надежного хранилища;
  • внутрикорпоративные способы – строгий порядок хранения и передачи данных, доступа к ним, обновления программ, паролей.

Эффективность IT-аутсорсинга в сфере обеспечения безопасности инфраструктуры многократно подтверждена на практике. Для защиты данных сегодня нужно использовать высокотехнологичные методы, которые доступны только профессионалам. Они специализируются на этой деятельности, обладают необходимыми навыками и опытом. Именно такие сотрудники обслуживают клиентов компании «ИТ-РП».

Особенности передачи функций по защите информации IT-аутсорсеру

Отечественные компании постепенно отказываются от попыток самостоятельного обеспечения информационной безопасности. Количество предприятий, полностью передающих данные функции на аутсорсинг, стремительно возрастает.

Это может показаться рискованным решением, так как сотрудники обслуживающей компании получают доступ к конфиденциальным сведениям. Одновременно этими данными пользуются штатные работники клиента. При таком подходе риски разглашения или утечки могут увеличиться вдвое.

Но на практике разграничить ответственность внешних и внутренних специалистов непросто.

Описанные угрозы не останавливают современных предпринимателей, которые передают сторонним организациям всю ИТ-инфраструктуру своего бизнеса. Но определенная степень недоверия к внешним системным администраторам еще сохраняется.

Для многих компаний этот фактор является главным препятствием на пути к использованию всех преимуществ IT-аутсорсинга. Чаще всего проблемы возникают с техническим руководством заказчика, так как отечественные менеджеры высшего звена и владельцы предприятий по-прежнему не доверяют своим партнерам.

Они считают, что такое обслуживание только повысит вероятность кражи информации.

Но плюсы полной передачи функций по защите информации специализированной компании чаще всего перевешивают такие опасения. К обеспечению безопасности коммерческих сведений можно привлечь лучших специалистов данной сферы.

Они помогут спроектировать и реализовать эффективную систему хранения и передачи данных, будут поддерживать ее в течение неограниченного периода времени.

таких профессионалов в штате заказчика вызвало бы гораздо более крупные издержки.

Результаты исследований этой проблемы демонстрируют повышение эффективности обеспечения информационной безопасности при привлечении ИТ-аутсорсера. Одновременно снижаются суммарные расходы на решение указанной задачи. Дополнительным плюсом для клиента является оптимизация всей системы защиты данных, ее быстрое масштабирование при необходимости.

Полностью исключить проблемы, связанные с вероятностью утечки или разглашения данных, заказчик не сможет. Сотрудничество с профильной компанией будет обосновано при условии отсутствия у поставщика услуг высокой текучести кадров. Этому требованию полностью соответствует компания «ИТ-РП», которая имеет сплоченный и стабильный штат специалистов.

Как контролировать работу IT-аутсорсера

Заказчик не может контролировать ситуацию с персоналом IT-аутсорсера, поэтому он вынужден искать другие способы снижения рисков. Если у привлеченной компании высокая текучесть кадров, то возникает вероятность утечки конфиденциальной информации.

Защиту от этих угроз может обеспечить специальное соглашение об уровне сервиса – SLA. Его всегда заключают в дополнение к основному контракту.

В нем должны присутствовать пункты об ответственности за нарушение коммерческой тайны, составлению которых следует уделить пристальное внимание.

Одновременно в указанном соглашении фиксируются способы контроля заказчика над работой привлеченной компании. Стороны согласовывают размер компенсации, которую аутсорсер заплатит при утечке данных по его вине.

Но основные угрозы информационной безопасности часто находятся внутри организации. Конфликт любого штатного сотрудника с руководством может привести к разглашению коммерческих сведений.

Подобные ситуации невозможны при полной передаче этих функций на ИТ-аутсорсинг, так как системные администраторы не состоят в трудовых отношениях с клиентом.

Правильно составленное соглашение об уровне сервиса фиксирует обязательства каждой стороны. Оно регулирует взаимоотношения с клиентом при экстремальных ситуациях, включая временную недоступность IT-сервисов.

Размер штрафов для поставщика услуг многократно превышает степень ответственности штатного системного администратора. По этой причине аутсорсер стремится выполнять свою работу более качественно.

К работнику же можно предъявить лишь те требования, которые предусмотрены трудовым законодательством.

Дополнительные услуги для защиты информации

Профессиональные аутсорсеры, которые специализируются на защите информации, обычно решают дополнительные задачи, связанные с работой персонала в сети. Их перечень включает несколько услуг:

  • обеспечение безопасности серверов, шлюзов;
  • отслеживание входящего и исходящего трафика;
  • формирование VPN-сетей и управление ими;
  • предотвращение угроз корпоративной почте.

Квалифицированные системные администраторы постоянно выявляют и устраняют внешние сетевые угрозы. Новейшее программное обеспечение позволяет выполнять большую часть необходимых операций дистанционно.

Контролировать интернет-трафик помогают прокси-серверы, которые расположены на территории привлеченной организации. Они гарантируют быстрое реагирование специалиста на проблему в случае ее обнаружения.

Любой вероятный риск оценивается в зависимости от степени его влияния на доступность необходимых клиенту сервисов.

Как влияет на безопасность передача серверов IT-аутсорсеру

Серверы любого заказчика могут передаваться на постоянное обслуживание в центр обработки данных IT-аутсорсера. Такое решение всегда повышает устойчивость оборудования к широкому спектру угроз.

Профессиональные помещения оборудованы системами для поддержки микроклимата, способствующего бесперебойной работе таких устройств. В них устанавливаются специальные системы пожаротушения без применения воды для ликвидации очага возгорания.

В результате аппаратура остается в целости при любых обстоятельствах. За ней организуется регулярное видеонаблюдение, дополненное строгим контролем доступа.

Одним из наиболее популярных способов внешнего воздействия для вывода из строя серверов являются DDoS-атаки. От них нередко страдают крупнейшие мировые корпорации, которые несут огромные финансовые потери.

Центр обработки данных привлеченной компании оборудован резервными каналами, принадлежащими разным провайдерам.

Это мешает злоумышленникам, которые пытаются своими действиями вызвать неполадки в функционировании всей системы.

Еще одним аргументом в пользу передачи оборудования IT-аутсорсеру является сложность обустройства и содержания собственного серверного помещения. Его нужно оснащать по последнему слову техники, что приводит к дополнительным расходам.

Услуги профильной компании являются намного более выгодными для любого заказчика. Для особо важных сведений, которые имеют колоссальное значение для клиента, можно сделать исключение.

Их хранение на территории предприятия организуется с применением специальных мер безопасности.

Если руководство предприятия стремится к сохранению коммерческой тайны, то ему следует проверить специализацию ИТ-аутсорсера перед заключением договора. В сферу интересов привлеченной компании должно входить обеспечение информационной безопасности клиентов.

Предыдущие заказчики смогут пояснить, насколько хорошо исполнитель справляется с такими задачами. Только после этого следует делать окончательный выбор в пользу конкретной организации.

Подрядчик должен обладать квалифицированным персоналом, положительными отзывами и технической базой, позволяющей реализовывать масштабные проекты.

Компания «ИТ-РП» полностью соответствует всем перечисленным требованиям. Мы оказываем широкий перечень услуг в сфере проектирования, создания и поддержки информационной инфраструктуры. Для начала сотрудничества достаточно обратиться к нашему менеджеру. После определения потребностей, целей и задач заказчика мы сможем подобрать лучшие решения для развития его бизнеса.

Источник: http://pksecurity.ru/business/it-security.html

Защита информации: аутсорсинг может помочь

Аутсорсинг информационной безопасности

Возможно, у кого-то возникнут сомнения: ну какая же это защита информации, если её обеспечивает посторонняя организация? Однако, взвесив все «за» и «против» эта мысль станет для вас наиболее рациональной, так как очевидно, что защита информации требует высокой компетенции и профессионализма. Мы лишь предоставим вам пищу для размышлений и объективные факты. 

Итак, защита информации.

На сегодняшний день уже никто не станет отрицать, что бизнес поплатился за использование информационных технологий, их удобство, высокую скорость и универсальность тем, что число угроз для конфиденциальной информации значительно возросло.

Самая серьезная из них – это утечки коммерческих и кадровых секретов. Далее следуют заказные попытки взлома (промышленный шпионаж), чрезвычайные ситуации (пожары, затопление помещений), человеческий фактор, а также, сбои оборудования, вирусные и спам-атаки. 

Защита информации – кто даст серьезные гарантии?

Более всего руководителя любой коммерческой фирмы волнует утечка конфиденциальной информации. И это вполне оправдано. Ведь от того, насколько качественно организована защита информации зависит деловая и финансовая стабильность предприятия. Вполне понятно, что вы относитесь с опаской к той мысли, чтобы передать защиту информации аутсорсинговой компании.

Однако давайте посмотрим правде в глаза. На сегодняшний день основная проблема, которую решает защита информации – это эффективное противостояние внутренним угрозам.

80 % инцидентов с утечками информации приходится на её хищение собственными нелояльными сотрудниками, внедрение ими же «чужих» программных средств, халатность, намеренное и непреднамеренное удаление/искажение данных, серьезные сбои в работе оборудования и ПО.

По сути, оградить вашу фирму от подобной угрозы призван узкий круг пользователей – системных администраторов,- который пользуется неограниченными и никем не контролируемыми правами в вашей информационной сети. Эти права необходимы им для выполнения своих служебных обязанностей, куда, в частности, входит и защита информации.

Однако представьте на минутку, что ваш системный администратор не доволен текущей зарплатой, одержим местью руководителю или просто обижен недооценкой своих возможностей. Известно много случаев, когда администраторы использовали свое служебное положение, продавали коммерческую информацию конкурентам или устраивали «диверсии» в компьютерных сетях, приводящие к утрате важных сведений. Застрахована ли ваша фирма от такого поворота событий?

В свою очередь, аутсорсинговая компания, осуществляя защиту информации, действует в рамках заключенного с вами договора, четко выполняя его условия. Компания-аутсорсер заинтересована в том, чтобы защита информации была организована на высшем уровне, ведь в этой области всего один скандал с утечкой информации может поставить «крест» на её деловой репутации. 

Защита информации требует компетентного и всестороннего подхода

Посмотрим на вопрос с другой стороны. Защита информации – это целый комплекс разноплановых мероприятий по обеспечению информационной безопасности. Физические методы защиты, программные, электронные, административные.

Профессионалы говорят, что защита информации – это цепочка, каждое звено которой должно быть одинаково крепким, только тогда она имеет смысл.

Задумайтесь, достаточно ли у вашего системного администратора знаний и навыков, чтобы обеспечить защиту информации на всех направлениях должным образом? Это должен быть универсальный и высококлассный специалист, который вряд ли будет работать рядовым системным администратором. 

Для компаний малого и среднего бизнеса аутсорсинг информационной безопасности оказывается практически единственной возможностью привлечь для решения этого вопроса грамотных и компетентных специалистов.

Защита информации является частью нашей профессиональной деятельности, которая тесно перекликается с аудитом ИТ и обслуживанием компьютерных сетей.

Мы работаем по следующим ключевым направлениям:

  • Определение угроз и разработка комплекса мер в рамках общей стратегии защиты безопасности.
  • Аудит сетей, операционных систем, программного обеспечения, приложений и контроль над их работой.
  • Аудит пользовательской среды и контроль над работой пользователей.
  • Аудит каналов передачи информации, организация контроля за процессами с помощью ограничений и специализированного ПО.
  • Выявление возможных каналов утечки информации, устранение угроз.
  • Аудит хранилищ информации. Защита информации от копирования.

Использование этих меры в целом позволяют нам говорить о высоком уровне защиты информации в сетях наших клиентов.

Источник: http://www.easy-tech.ru/articles/zashchita_informatsii_autsorsing_mozhet_pomoch/

Аутсорсинг ИБ: заказчику и исполнителю есть повод договориться

Аутсорсинг информационной безопасности

Минувший год оказался богатым на прогнозы и амбициозные заявления российских интеграторов, причем самые смелые касались сегмента аутсорсинговых услуг. Именно эта ниша казалась той самой «землей обетованной», десантировать на которую стремился чуть ли не каждый поставщик ИТ-сервисов.

И впрямь, количество заключенных контрактов в 2008 году заметно возросло (при значительном снижении стоимости самих контрактов), но всегда ли их можно отнести в копилку аутсорсинга, решают ли они вопросы информационной безопасности, и существует ли рынок аутсорсинга ИБ в чистом виде на российских просторах? 

Как показывает практика, решение о передаче специфических задач ИТ под ответственность аутсорсера чаще всего принимают руководители с западным типом мышления.

Их выделяет умение делегировать принятие ответственных решений своим лучшим сотрудникам и желание выстраивать более гибкие бизнес-модели, что вполне отвечает концепции аутсорсинга.

В какой-то степени — это один из показателей зрелости компании: чем лучше проработан какой-либо из ее внутренних процессов, тем легче и эффективнее переложить контроль за его выполнением сторонней организации. 

Аутсорсинг ИБ: необъяснимо, но факт

Умение говорить на одном языке с заказчиком — первый шаг на пути к выгодному контракту, но в сфере аутсорсинга ИБ, по всей видимости, он еще не сделан, так как поставщики зачастую путают его с таким направлением, как консалтинг.

Например, в перечне предоставляемых услуг в рамках аутсорсинга ИБ некоторые компании декларируют проведение внешнего и внутреннего аудита с целью выявления и устранения имеющихся уязвимостей (в том числе: тест на проникновение, инструментальный контроль защищенности систем, анализ информационных рисков) — традиционно консалтинговые услуги.

В данном случае вполне очевидное желание ИТ-компании расширить бизнес-портфель и заявить о себе как об аутсорсере оборачивается против всех участников рынка: с одной стороны, в профессиональной сфере активно обсуждается потенциальный спрос на решения, а с другой — размываются границы понятий и отсутствует понимание того, что товар можно продавать лишь тогда, когда он имеет вполне конкретное объяснение и характеристики. Ключевые из них содержатся в определении — с точки зрения маркетинга так наиболее проще выйти на заказчика и донести до него рыночную выгоду от сделки.

Что же говорят интеграторы и заказчики об ИТ-аутсорсинге ИБ? В первую очередь, они трактуют его как процесс передачи ряда внутренних функций сторонней организации с целью минимизации затрат на решение задач ИБ. И на этом единодушие заканчивается, так как начинается расхождение в вопросе того, что именно и на какой период перекладывается в зону ответственности аутсорсера.

Смещение акцентов в сторону консалтинга, о котором уже говорилось, здесь не случайно — аутсорсинг в чистом виде связан с реализацией постоянных функций и бизнес-процессов предприятия (а не разовых проектов или заданий) на долгосрочной основе, но законодательная база и ситуация на отечественном рынке существенно тормозят развитие, казалось бы, перспективного и долгожданного явления. 

Аутсорсер. В результате, типичный аутсорсер в лице генерального директора компании «Онланта» (ГК «Ланит») Сергея Тарана в свою трактовку термина вынужден добавить: «Данный вид услуги относится к тем функциям, которые не затрагивают ключевые процессы ИБ, а являются вспомогательными и находятся, если можно так сказать, снаружи «периметра безопасности» предприятия».

Заказчик. Вполне состоявшийся потенциальный заказчик услуг по аутсорсингу ИБ более скептичен.

Так, по мнению заместителя директора департамента информационной безопасности финансовой корпорации «Открытие» Игоря Колганова, в российской практике передать такие основополагающие функции ИБ, как определение перечня и категорий конфиденциальной информации, документированное введение ограничений для конфиденциальной информации, назначение лиц, ответственных за защиту информации вообще невозможно. А без реализации указанных действий система защиты конфиденциальной информации, в соответствии с отечественным законодательством, будет нелегитимной.

Помимо этого, Игорь Колганов отмечает недостаточную проработанность законодательства России в вопросах защиты коммерческой тайны в части защиты от конкурентной разведки.

Доказать в суде, что основные свойства (конфиденциальность, доступность, целостность) какой-либо информации были нарушены или утрачены посредством использования уязвимостей в системе её защиты, а также получить какие-либо существенные компенсации в России практически невозможно.

Поэтому компания всегда оставит у себя небольшой штат специалистов в области ИТ и ИБ для обеспечения конфиденциальности критически важной для ее бизнеса информации.

Таким образом, говорить об аутсорсинге в полном понимании данного термина не приходится ни поставщику услуг, ни заказчику.

В российской действительности при употреблении термина «аутсорсинг ИБ» речь чаще всего идет о передаче под управление одного или нескольких групп сервисов.

Реализовать аутсорсинг процесса ИБ по циклу Шухарта-Деминга (Plan-Do-Check-Act) в сегодняшних условиях практически невозможно.

В период кризиса такое положение досадно вдвойне — ИТ-компаниям необходим стимул и средства для развития, а их клиентам — возможность экономии издержек на поддержание непрофильных активов. Тем не менее, оперируя хоть и условной терминологией, игроки рынка отлично понимают, что не выдают желаемое за действительность, а возможный заказчик достаточно зрел и относится к российскому аутсорсингу ИБ со здравой долей скепсиса. 

Бизнес-портфель российского аутсорсера ИБ

В типичном портфеле аутсорсера ИБ (если не брать уже рассмотренные выше услуги в области консалтинга, которые декларируются как аутсорсинговые) присутствуют такие виды сервисов, как: управление межсетевыми экранами; управление системами обнаружения и предотвращение вторжений; управление антивирусными системами; защита корпоративного почтового трафика от спама; мониторинг информационных атак, направленных на ресурсы автоматизированной системы; управление криптографическими системами, включая построение виртуальных частных сетей и инфраструктуры открытых ключей; оказание технической поддержки по вопросам эксплуатации средств защиты, установленных на площадке заказчика. 

На аутсорсинг передаются лицензируемые функции безопасности, но работа с внутренними инцидентами и распределение прав доступа, контроль ключевых систем защиты организация всегда оставляет за собой.

Наиболее перспективным направлением в этой области является защита персональных данных в соответствии с требованиями ФЗ № 152 «О персональных данных». Вероятные заказчики подобного рода услуг — крупные и средние компании, которые заинтересованы в соблюдении действующего законодательства.

По мнению начальника аналитического отдела компании «ЕВРААС. Информационные технологии» Максима Ворожцова, проекты по защите персональных данных являются самыми перспективными, поскольку эта тема поддерживается регуляторами.

Интерес к аутсорсингу защиты персональных данных проявляют те организации и предприятия, для которых содержание собственной развитой службы ИБ не оправдано с точки зрения бизнеса.

Например, это касается государственных учреждений, компаний среднего и малого бизнеса, крупных предприятий, не имеющих больших подразделений ИБ или желающих повысить их эффективность.

Как правило, такие компании не могут похвастаться наличием штатного квалифицированного персонала и возможностью внедрения дорогостоящих систем защиты информации. Кроме того, они испытывают определенные трудности с получением ряда лицензий, которые необходимы при организации и хранении защиты персональных данных.
 

Передача сервисов ИБ глазами заказчика

Заместитель директора департамента информационной безопасности финансовой корпорации «Открытие» Игорь Колганов отмечает, как минимум, три проблемы, c которыми чаще всего могут столкнуться потенциальные заказчики аутсорсинга услуг ИБ, обратившись в компанию-интегратор впервые. Прежде всего, это отсутствие, либо фрагментарное отражение актуальной информации об изменениях в системе ИБ заказчика. Как результат, договоры об аутсорсинге зачастую не могут иметь ссылок на какие-либо значимые документы компании.

Второй проблемой является отсутствие, как у исполнителя, так и у заказчика метрик, при помощи которых можно было бы измерить качество услуг или определить явным образом факт того, что услуга оказана. 

Третья проблема связана с привлечением сторонних компаний, которые выступают в качестве подрядчиков интегратора. Кредит доверия, как и риск потери контроля над конфиденциальной информацией для заказчика в этом случае возрастает. Такая практика работы аутсорсера воспринимается негативно и сотрудничество с ним не продлевается.

Для решения указанных проблем Игорь Колганов рекомендует компаниям, заинтересованным в услугах аутсорсинга ИБ более тщательно документировать ИТ- и ИБ-процессы: отслеживать все текущие изменения в передаваемых на аутсорсинг сервисах (чтобы сохранить жизнеспособность проекта даже при смене подрядчика); разрабатывать и совершенствовать всеми участниками взаимоотношений систему оценки услуг по аутсорсингу («метрик»).

При построении системы контроля услуг аутсорсинга важно помнить, что она должна охватывать как свои (внутренние) процессы, так и сервисы, являющиеся смежными, переданными на поддержание аутсорсеру. Необходимо не только отображать текущее состояние процессов и сервисов, но и прогнозировать развитие ситуации хотя бы в краткосрочной перспективе.

Выбор аутсорсера ИБ. Как не ошибиться?

Решая передать часть задач ИБ под ответственность аутсорсера, заказчик должен понимать, что полностью исключить риски некорректной работы с информационными данными, равно как и затраты на персонал и поддержку задач ИБ, ему не удастся.

При аутсорсинге вместо одних рисков возникают другие, а на смену бюджетам ИБ приходят затраты на оплату услуг поставщика сервиса.

Что выгоднее? Ответ на этот вопрос может дать лишь сама организация с учетом специфики своего бизнеса, внутренних ИТ-ресурсов и стратегических целей.

Процесс выбора исполнителя такой сложной задачи базируется, прежде всего, на доверии, кредит которого может складываться как по результатам уже реализованных проектов, так и по формальным признакам.

Например, репутация и порядочность исполнителя — не что иное, как качество работы вполне определенных людей, поэтому заказчик может обратить внимание на наличие квалифицированных специалистов в штате аутсорсера.

Сюда же следует отнести опыт работы в данной сфере и наличие успешно реализованных проектов, отзывы клиентов.

Кроме того, заказчик должен получить действительные свидетельства наличия у исполнителя материально-технической базы, позволяющей предоставлять услуги по аутсорсингу в требуемом объёме и соответствующего качества. При необходимости желательно разобраться с полномочиями и компетенцией вероятного субподрядчика.

Инициируя аутсорсинговый проект, компании важно уже на предварительном этапе отбора исполнителя определить критерии и правила предоставления услуг, а также обязанности всех участников взаимодействия. В подробный SLA, который сводит риски срыва работ к минимуму, включается специально-разработанная система «метрик» (она закрепляет объем и качество услуг).

Генеральный директор компании «Диалог-Наука» Виктор Сердюк отмечает основные положения типичного договора аутсорсинга: описание функциональных задач, выполнение которых берет на себя подрядчик; ответственность заказчика и исполнителя; меры по обеспечению информационной безопасности при взаимодействии заказчика и исполнителя; порядок предоставления отчетности, содержащей результаты выполненной работы; стоимость оказания услуги аутсорсинга.

Как видим, ключевым моментом при оформлении договоренностей между сторонами выступает ответственность исполнителя.

Тем не менее, успех проекта определяется не только хорошо проработанными механизмами контроля, но и готовностью заказчика выстраивать длительное сотрудничество, отражая текущие изменения (как позитивные, так и негативные) в системе ИБ.

Основным же мотивом передачи функций ИБ аутсорсеру должно оставаться стремление сделать бизнес более управляемым путем вывода непрофильных направлений из деятельности компании.

В этой ситуации, когда все участники рынка ИБ готовы приступить к конструктивному диалогу и инициировать сделки по аутсорсингу, особенно важны единодушие и общие правила игры, в процессе которой могла бы строиться эффективная система предоставления услуг, а не Вавилонская башня, символизирующая сумятицу и отсутствие взаимопонимания.

Елена Гущина. CNews

Источник: http://www.Basis-IT.ru/content/autsorsing-ib-zakazchiku-i-ispolnitelyu-est-povod-dogovoritsya

Поддержание информационной безопасности в рамках ИТ аутсорсинга

Аутсорсинг информационной безопасности

IT Аутсорсинг > ИТ сервис > Поддержание информационной безопасности в рамках ИТ аутсорсинга

Информационная безопасность компании в наши дни является одним из непреложных условий не только ее успешности, но и самого выживания на рынке.

Высокая конкуренция и применяемые в связи с этим порой нечестные методы вынуждают как отечественные, так и зарубежные предприятия постоянно наращивать свой арсенал средств борьбы с угрозами несанкционированного доступа и разглашения секретной информации.

Развитие технологий позволяет максимально автоматизировать эту задачу, сделав ее решение наиболее эффективным. ИТ аутсорсинг в этом случае становится одним из самых правильных решений, несущих в себе немалые выгоды. Главное – изначально верно выбрать поставщика ИТ услуг.

Компания ALP Group давно зарекомендовала себя в качестве сильного игрока на рынке, способного устранять самые серьезные проблемы и полностью удовлетворять потребности заказчиков. Наши специалисты всегда готовы применить на практике свой опыт и знания, встав на защиту информационной безопасности вашей организации. И для этого мы обладаем всеми необходимыми средствами и возможностями.

Как защититься от чужого вторжения?

Типовые решения, обычно использующиеся при массовом хостинге, изначально не могут быть рассчитаны на обслуживание предприятий, имеющих специальные требования к уровню конфиденциальности и защиты информации.

Если потенциальный клиент обращается к ответственному аутсорсеру, со стороны последнего уделяется особое внимание обеспечению максимально высокого уровня информационной безопасности.

Серьезность отношения к этому вопросу можно считать одним из индикаторов, с помощью которых можно определить качество работы внешнего поставщика ИТ услуг.

Ключевые принципы построения политики безопасности при ИТ аутсорсинге:

  • задействование комплекса специальных аппаратных, программных, административных и организационных средств и методов обеспечения для организации безопасной работы с секретными данными для различных групп пользователей;
  • обеспечение защиты их прав;
  • формирование прозрачной и эффективной системы безопасности для персонала предприятия-заказчика;
  • быстрое реагирование на возможность угрозы вторжения в систему и предупреждение вероятности ее возникновения;
  • открытая политика предоставления отчетности заказчику и защита его интересов.

В наше время информационную безопасность невозможно представить без создания многоуровневой системы защиты. В большинстве случаев она состоит из следующих элементов:

  • технические средства, необходимые для того, чтобы можно было обеспечить безопасность корпоративных данных: сетевые экраны (firewall), сканеры сетевых вторжений (IDS), многоуровневая архитектура сети с изоляцией портов и сформированным списком доступа, журнала событий, ведение постоянного мониторинга, антивирусная защита, способы повышения надежности хранения конфиденциальных данных;
  • средства физической защиты, включая контролирование доступа в техзоны, создание защитного периметра и пропускной системы, видеонаблюдение, биометрическую аутентификацию операторов сетей;
  • организационные действия и процедуры, обеспечивающие наивысшую безопасность данных, в частности, создание регламента мониторинга и реакции на появившуюся опасность, организация хранилища конфиденциальных сведений;
  • меры по обеспечению собственной безопасности, куда входит формирование внутреннего порядка хранения, обновления, а также передачи паролей и соблюдения прав доступа для персонала компании.

На практике доказано, что ИТ аутсорсинг помогает повысить уровень безопасности ИТ инфраструктуры организации с помощью высокотехнологичных методов защиты данных, которые эффективно могут использовать только профессионалы, имеющие специализацию в данной сфере и накопленные опыт и знания. Всем этим требованиям в полной мере отвечает и компания ALP Group.

Передача на ИТ аутсорсинг функций по обеспечению ИБ (информационной безопасности)

В последние десятилетия уже достаточно большое число отечественных организаций пошли на довольно-таки, как может сначала показаться, рискованный шаг: они передали на ИТ аутсорсинг полное обслуживание своей информационной системы, фактически предоставив сотрудникам компании-аутсорсера доступ к конфиденциальным сведениям.

Одновременно критически значимая информация остается доступной и для ряда штатных сотрудников предприятия-заказчика. Это означает, что связанные с опасностью разглашения или даже хищения данных риски могут практически удвоиться.

Вместе с тем, степень ответственности внутренних и внешних структур не всегда возможно определить с большой точностью.

Несмотря на это, передача каких-либо функций или же всей ИТ структуры сторонним поставщикам ИТ услуг становится все более и более распространенной.

Однако для немалого числа потенциальных заказчиков аутсорсеров одним из главных препятствий на пути к широкому использованию услуг ИТ аутсорсинга по-прежнему остается проблема поддержания информационной безопасности.

В большинстве случаев она возникает из-за пристрастного отношения технического руководства, поскольку невысокий уровень доверия к внешней бизнес-среде все же наблюдается еще у многих топ-менеджеров и владельцев компаний. В связи с этим ИТ аутсорсинг и воспринимается как увеличение риска кражи ценной информации.

В то же время задачу обеспечения ИБ можно поручить внешней фирме, специализирующейся на этих услугах. Это поможет привлечь к проектированию, реализации и в последующем поддержке систем безопасности данных специалистов с самой высокой квалификацией, чье содержание в штате обошлось бы заказчику намного дороже, чем услуги аутсорсера.

Как показывают исследования данного вопроса, привлечение внешнего поставщика ИТ услуг приводит к повышению эффективности функционирования системы безопасности и понижению суммарных затрат. К тому же клиентское предприятие получает недоступную прежде возможность быстрой оптимизации и при необходимости масштабирования своей системы ИБ.

Конечно, проблемы с соблюдением конфиденциальности, сохранением доступа и целостности важных данных полностью исключать нельзя. Услуги аутсорсера в сфере поддержания секретности коммерческой информации будут наиболее безопасными, если в этой организации нет текучести кадров.

Именно так обстоит дело у ALP Group, поэтому не нужно сомневаться в том, что нам можно доверить информационную защиту вашего предприятия, и мы полностью оправдаем это доверие.

Как контролировать аутсорсера?

Понятно, что заказчику будет очень трудно проконтролировать ситуацию с персоналом у аутсорсера. Если она высока, информационная безопасность клиентской организации может быть под угрозой.

По этой причине необходимо уделить повышенное внимание разработке пунктов, касающихся возможного нарушения конфиденциальности в SLA – Соглашении об уровне сервиса, которое обязательно составляется при заключении договора между аутсорсинговой фирмой и ее заказчиком.

В нем должны быть предусмотрены способы контроля над деятельностью провайдера услуг со стороны ее клиента, а также размеры компенсации, если утечка информации все же произошла. В то же время не стоит забывать о том, что угрозы внутри компании могут быть намного опаснее, чем даже внешние.

Иногда конфликтующий с руководством сотрудник способен причинить вред родному предприятию специально. Вот и еще одно преимущество ИТ аутсорсинга: при нем такое невозможно, так как специалисты не имеют прямых трудовых отношений с организацией-заказчиком, состоя в штате специализированной фирмы.

Плюс грамотно составленное SLA поможет регламентировать взаимные обязательства обеих сторон при, например, временной недоступности ИТ сервисов. При этом степень ответственности провайдера услуг может многократно превышать степень ответственности системного администратора, работающего в штате заказчика. А это заставляет аутсорсера стремиться выполнять свои обязательства как можно лучше.

Полный контроль над системой

Аутсорсинговые организации, специализирующиеся в сфере ИБ, во многих случаях отвечают и за работу системы защиты периметра информационных сетей. Сюда входит и контроль интернет-трафика, и поддержание безопасности шлюзов и серверов, и формирование и управление VPN сетей. Самой востребованной услугой в настоящий момент является защита корпоративной почты, что вполне объяснимо.

Аутсорсерам поручается и задача выявления внешних сетевых угроз. С помощью новейших программно-аппаратных средств многие функции можно выполнять максимально эффективно даже в удаленном режиме.

Для того, чтобы держать под контролем интернет-трафик, широко используются прокси-серверы, находящиеся на территории аутсорсера, что помогает ускорить реакцию ИТ специалистов при возникновении каких-либо сбоев.

К тому же наиболее часто встречающимся критерием оценки вероятных рисков по-прежнему остается доступность сервисов, переданных на ИТ аутсорсинг.

Влияние передачи серверов на обслуживание в ЦОД на уровень ИБ

Как показывает практика, передача серверов компании на обслуживание в ЦОД аутсорсера способна в значительной степени повысить их устойчивость к различного рода угрозам.

Каждый дата-центр должен быть снабжен системой обеспечения требуемого для бесперебойной работы устройств микроклимата и эффективной системой пожаротушения, не использующей жидкость для ликвидации очага возгорания, а значит, и не способной повредить оборудование ЦОД.

Плюс центры обработки данных принято оснащать новейшими системами видеонаблюдения для постоянного контроля доступа к действующей аппаратуре.

Пожалуй, даже неспециалистам хорошо известно, что в последнее время одним из самых распространенных способов вывода из строя серверного оборудования стало применение DDoS-атак.

Даже крупнейшие мировые корпорации не раз подвергались нападениям злоумышленников и несли существенные убытки. Наличие же резервных каналов от различных интернет-провайдеров в ЦОД аутсорсера может помешать любой попытке вызвать отказ при обслуживании информационной системы.

К тому же далеко не каждая организация может позволить себе иметь собственное серверное помещение, оснащенное по последнему слову техники. Это еще одна важная причина, делающая ИТ аутсорсинг еще более выгодным для заказчика.

Исключением в этом случае может стать только критически важная информация, для хранения которой приходится предпринимать особые меры безопасности.

Если руководство компании больше всего заинтересовано в сохранении своих коммерческих тайн, ему придется досконально выяснить, является ли поддержание информационной безопасности одной из ключевых специализаций аутсорсера и насколько хорошо он справляется с этой задачей. От этого напрямую должен зависеть окончательный выбор аутсорсинговой компании, у которой, как говорится, «по умолчанию» должна быть и соответствующая реализуемым проектам техническая база, и высококвалифицированный персонал, и хорошие отзывы клиентов.

Все это присутствует у ALP Group. Мы всегда готовы предложить вам свои услуги в сфере обслуживания ИТ инфраструктуры – обращайтесь в нашу компанию, и мы вместе подберем наиболее подходящее для осуществления ваших бизнес-задач и достижения важных целей решение.

Источник: https://www.alp.ru/itsm/podderzhanie_informatcionnoi_bezopasnosti_v_ramkakh_it_autsorsinga

Обзор: Средства защиты информации и бизнеса 2014, Российский аутсорсинг ИБ-услуг не спешит расти

Аутсорсинг информационной безопасности

Число инцидентов в области информационной безопасности ежегодно растет. Уходящий год ознаменовался целой серией громких скандалов, связанных с утечкой конфиденциальных данных. В сентябре 2014 г. в открытом доступе были опубликованы пароли от почтовых ящиков «Яндекса» и Mail.ru, затем база пополнилась 5 млн паролей пользователей почтового сервиса Google. И эти случаи далеко не единичны.

Как отмечают специалисты IBM в своем отчете Cyber Security Intelligence Index 2014, практически для всех крупных компаний (это организации с числом сотрудников от 1 до 5 тыс. человек) среднее количество ИБ-событий за год превышает 91 млн.

По оценкам аналитического центра Zecurion Analytics, потери российских и зарубежных компаний в 2013 г. превысили $25 млрд.

При этом угрозу для бизнеса представляют не только сторонние злоумышленники и инсайдеры, но и вполне лояльные сотрудники, чья невнимательность и необдуманность действий нередко становятся причиной утечек информации.

В Zecurion Analytics посчитали, что по сравнению с 2012 г. в 2013 г. общий ущерб от внутренних инцидентов информационной безопасности вырос на 25%.

Впрочем, вопросы ИБ становятся все актуальнее не только из-за увеличивающейся цены халатности работников и роста активности злоумышленников. Существенное влияние оказывают и другие факторы.

Среди них – продвижение компаний в социальных сетях, распространение облачных сервисов и мобильных приложений и, наконец, усиливающийся тренд BYOD.

ИТ-специалистам приходится все больше времени посвящать вопросам информационной безопасности. При этом одни стремятся переложить часть ответственности на плечи сторонних подрядчиков, другие уверены, что эта функция неотделима от основного бизнеса.

Например, Евгений Зубов, руководитель отдела информационной безопасности департамента сетевой интеграции компании «Ланит», уверен, что аутсорсинг информационной безопасности как услуга не оправдан.

«Если взглянуть на проблему глубже, то окажется, что смысл даже не в том, чтобы снять с себя бремя управления сложной инфраструктурой ИБ, а в том, чтобы переложить ответственность за инциденты на поставщика услуги. И здесь важно четко понимать, сколько стоит такая ответственность.

Думаю, что не дешевле собственного штата специалистов, лично отвечающих за все. Давайте представим на секунду, что какой-то банк отдал сервис проверки своей почтовой корреспонденции на спам кому-то «на стороне». Согласитесь, звучит более чем странно», – говорит он.

Российский рынок ИБ-аутсорсинга – миф или реальность

В России рынок аутсорсинга информационной безопасности ежегодно растет, хотя и не такими темпами, как на Западе. По оценкам ИТ-компаний, пока он находится только на начальной стадии развития.

«Как и рынок ИТ-аутсорсинга в целом, рынок аутсорсинга ИБ находится в стадии становления, т.е.

, еще только определяются критерии качества и размер стоимости услуги, формируется портфель», – говорит Андрей Мелузов, руководитель департамента ИТ-аутсорсинга компании «Корус Консалтинг».

Число компаний, предлагающих услуги по аутсорсингу информационной безопасности, пока еще невелико.

По словам Владимира Дрюкова, руководителя направления аутсорсинга ИБ Центра информационной безопасности компании «Инфосистемы Джет», уже само их наличие говорит о том, что сам рынок есть, и он имеет все предпосылки для быстрого роста.

«Сегодняшний рынок уже делает первые шаги к массовым и унифицированным услугам. До этого большая часть сервисов делалась «на заказ», – подчеркивает Владимир Дрюков.

– Кроме того, на рынке мы наблюдаем интересную тенденцию: некоторые компании активно ищут возможности для получения услуги ИБ-аутсорсинга в России и, не найдя их (а нужно сказать, что предложение отечественных компаний далеко не полное), уходят к крупным иностранным MSSP-провайдерам. При этом уровень доверия к западным услугам, а тем более западным «облакам» невысок».

Кто формирует спрос на услуги

По мнению участников рынка, дефицит квалифицированных специалистов – один из основных факторов развития аутсорсинга информационной безопасности. Особенно актуальна эта проблема для предприятий малого и среднего бизнеса.

Как правило, услугой активно пользуется малый и средний бизнес, – не сомневается Роман Романов, CEO PentestIT LLC. Небольшие компании, предоставляющие услуги в сети интернет, не могут себе позволить содержание специалиста по ИБ.

Как правило, интернет-ресурсы именно таких компаний становятся целью злоумышленников.

Что касается крупных холдингов, то, с одной стороны, публичные компании очень серьезно относятся к сохранению коммерческой тайны, поскольку любая утечка данных может негативно сказаться на их репутации и стоимости акций. С другой стороны, масштабы бизнеса и темпы его развития зачастую не позволяют им оперативно реагировать на новые угрозы.

Первыми компаниями, пришедшими к необходимости аутсорсинга, стали крупные нефтяные корпорации. Сегодня также сервис пользуется спросом, в частности, у банковского сектора, телекома, ритейла.

«Аутсорсинг ИБ в некоторой части крупного бизнеса – следствие стремления увеличить свою капитализацию и выработку из расчета на одного сотрудника, – комментирует Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.».

– Средние и мелкие компании, не имеющие штата своих сотрудников, обращаются к поставщикам услуг по ИБ, заключают с ними договора и тем самым закрывают все актуальные вопросы. Если говорить о федеральных органах, то у них, как правило, есть свой собственный штат специалистов по ИБ, и на аутсорсинг они отдают только некоторые виды услуг».

Российские компании, как правило, не передают сторонним подрядчикам сервисы информационной безопасности, критичные для бизнеса.

«Стандарты и регламенты, аудит бизнес-процессов, приведение документации вполне могут быть проведены на стороне, – говорит Максим Волков, директор департамента информационных технологий «СБ Банка».

– А сбор, анализ и использование не обезличенных данных, связанных с наблюдением за состоянием инфраструктуры, должны оставаться в банке». Стандартной практикой стала передача бизнесом на аутсорсинг рутинных операций и процессов, требующих круглосуточного мониторинга.

Решение, что именно передавать на аутсорсинг, зависит от ряда факторов. Например, передав на аутсорсинг поддержку антивируса, предприятие может без труда поменять одного провайдера услуг на другого. В других случаях возникает риск, что компания попадет в зависимость от провайдера.

«Сейчас рынок аутсорсинга ИБ сильно фрагментирован, на нем преобладает технический аутсорсинг определенных подсистем (межсетевого экранирования и т.п.) и аутсорсинг консалтинговых услуг (например, в области персональных данных, PCI DSS т.п.

)», – делится мнением Дмитрий Дудко, руководитель проектов по информационной безопасности Центра компетенции информационной безопасности компании «АйТи».

Сложности оценки

Один из основных факторов, сдерживающих развитие аутсорсинга информационной безопасности – отношение со стороны заказчиков. «Передача на аутсорсинг процессов ИБ – это скорее вопрос доверия.

Например, в принципе невозможно передать аутсорсеру ответственность за риски при защите персональных данных, – делится мнением Юрий Соловкин, начальник управления организации проектов банка «Интеркоммерц».

В банках, как и других организациях, есть контуры, не связанные с доступом к персональным данным. В данном случае передача процессов на аутсорсинг имеет право на существование.

К примеру, могут быть переданы системы предотвращения вторжений, межсетевые экраны, серверы антивирусной поддержки, средства фильтрации вредоносного контента и т.д., расположенные по периметру корпоративной сети».

Нередко проблемы связаны со сложностью выбора провайдера и отсутствием четких критериев оценки эффективности оказанных услуг.

Оценить эффективность аутсорсинга информационной безопасности сложно, а количество выявленных инцидентов и времени реагирования не всегда отражают уровень защищенности и качество оказанных услуг. Кроме того, важно понимать, что даже договор SLA не дает полной гарантии.

«Рынок только развивается, есть много недобросовестных компаний, – говорит Алексей Сабанов. – Для того чтобы сформулировать способы оценки, необходимо начать с определения критериев оценки, а их пока нет.

В связи с отсутствием четких критериев, правил и регламентов качество оценивается исключительно субъективно. Иногда в качестве способа оценки можно встретить метод оценки степени удовлетворенности клиентов».

Несмотря на осторожное отношение компаний к перспективам передачи информационной безопасности на аутсорсинг, рынок продолжит расти.

«Сами компании (их бизнес) взрослеют от года к году, а вместе с этим приходят управление на базе риск-менеджмента, комплексный подход компаний к оптимизации бизнес-процессов, – комментирует Павел Моисеев, директор по качеству компании «Онланта». Это ведет к тому, что начинает использоваться более зрелая модель управления в части информационной безопасности».

Кроме того, аутсорсинг информационной безопасности имеет все шансы стать повсеместным трендом, если будут внесены изменения в действующее законодательство. Например, как это постепенно происходит с вопросами защиты персональных данных.

Виктория Холина

Источник: http://www.cnews.ru/reviews/security2014/articles/rossijskij_autsorsing_ibuslug_ne_speshit_rasti

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.