10 июля 2025 г.

Продолжение. Начало тут и тут

Недавно в «СёрчИнформ» подсчитали, что 58% российских заказчиков либо уже практикуют аутсорсинг своей информационной безопасности, либо заинтересованы в такой услуге и подыскивают доверенного партнёра, который мог бы её оказать. Какие вызовы возникают для поставщика столь чувствительного сервиса — аутсорсинга ИБ, в том числе внутренней?

Здесь безопасно!

Как резонно замечает Андрей Кельманзон, управляющий партнёр дивизиона «Аутсорсинг и сервисы» компании IBS, все вопросы, связанные с безопасностью и надёжностью взаимодействия в ИТ-аутсорсинге, полностью регулируются контрактными обязательствами и юридическими документами: «Законодательная база в России сегодня позволяет заключать договоры, включая аспекты информационной безопасности, на уровне, который удовлетворяет даже самым строгим корпоративным требованиям. Существует широкий спектр лицензирующих и регулирующих организаций, которые обеспечивают необходимый контроль и гарантируют соответствие поставщиков нужному уровню. Это устоявшаяся практика, существующая на рынке уже много лет — никаких принципиальных изменений здесь не произошло. Попытки внутри неспециализированной компании создать аналогичную по качеству компетенцию в области ИТ-услуг, систем или процессов неизбежно приведут к кратному увеличению затрат — в 3–4 раза выше текущих расходов — при отсутствии гарантированного результата. В этом нет экономического смысла».

«Аутсорсинг информационной безопасности (ИБ) в России действительно набирает обороты, — подтверждает Евгений Бандеев, коммерческий директор компании „Снежный Барс“ (Улан-Удэ). — Это связано с:

  • ростом киберугроз и, в частности, количества атак;
  • дефицитом кадров;
  • ужесточением требований регуляторов.

Однако заказать такую услугу для клиента — вовсе не то же самое, что просто передать на аутсорсинг какую-то рутинную задачу. Здесь необходимо доверие к партнёру в вопросах стратегической важности, где даже небольшая ошибка может привести к серьёзным последствиям. Это и есть главный вызов в данном вопросе: предоставить и реализовать грамотное решение для заказчика, который уверен, что его данные и система находятся в надёжных руках. Компания „Снежный барс“ с недавнего времени развивает мониторинг безопасности (SOC как услуга). Также мы улучшаем наши компетенции по ИБ и готовы консультировать заказчиков по множеству вопросов».

Помимо необходимости обеспечить высокий уровень доверия между заказчиком и провайдером российские ИБ-аутсорсеры компании сталкиваются с рядом иных вызовов, — на это обращает внимание Александр Гольцов, генеральный директор АМТ-ГРУП: «Поставщики должны быть готовы к быстрой адаптации под специфические требования клиентов и изменения в законодательстве, соответствовать стандартам и нормативам, уверенно управлять рисками, располагать чёткими протоколами реагирования на инциденты и современной технологической базой, включая возможности интеграции с системами заказчика; иметь документированные политики и процедуры обеспечения ИБ, проводить их регулярное обновление и аудит. Наличие опытных специалистов с соответствующими сертификатами, а также объём реализованных проектов в области информационной безопасности — особенно в схожих отраслях — также повышают степень доверия заказчика».

Исходя из практического опыта перевода заказчиков на аутсорсинг ИБ, Алексей Морозков, руководитель центра управления кибербезопасностью ICL Services, среди основных вызовов перечисляет следующие:

  • «Сложность интеграции новых процессов, внедряемых провайдером, с существующей ИТ-инфраструктурой и бизнес-процессами заказчика — ради обеспечения высокой операционной эффективности, ухода от дублирования усилий и неэффективного использования ресурсов.
  • Отсутствие у компаний автоматизации, которая помогает снизить трудозатраты и влияние человеческого фактора: это автоматическое поднятие и назначение инцидентов, рассылка уведомлений, формирование отчётности из разных источников.
  • Сопротивляемость проводимым изменениям, когда сотрудники компании не готовы привыкать к переменам в повседневной деятельности или могут опасаться потери рабочих мест. На этот случай у нас есть свои „лайфхаки“, как можно нивелировать опасения и сгладить такие ситуации.
  • Корпоративная культура: что для одной компании является нормой, для другой может быть категорически неприемлемо. Поэтому важно иметь между заказчиком и сервис провайдером регулярную площадку для обсуждения вопросов и обратной связи, и совместно работать над повышением эффективности взаимодействия.
  • Отсутствие чёткого плана перехода — с чего начинать в первую очередь с точки зрения рисков и имеющихся возможностей. Поверхностное планирование может обернуться недооценкой рисков и неоптимальным выбором решений для защиты, а также нецелесообразным расходом ресурсов.
  • Размытая ответственность, отсутствие чёткого описания объёма работ и сложности контроля их качества.
  • Требования регуляторов: постоянно обновляющееся законодательство в области ИБ, требует соответствующей адаптации внутренних процессов, документов и регламентов. И если в штате нет специалистов, которые мониторят и адаптируют такие изменения, это превращается в серьёзную проблему».

Впрочем, эксперт сразу же советует, как с этими вызовами справляться:

  • «Начинать любые трансформации с аудита или обследования; разработать дорожную карту, которая позволит правильно расставить приоритеты по закрытию «проблемных» зон и разумным инвестициям.
  • Для ознакомления мы рекомендуем передать на аутсорсинг одну простую функцию ИБ — например, управление антивирусной поддержкой, — или же привлечь сервис-провайдера для консалтинга либо проектов в областях, где не хватает собственной экспертизы.
  • Предоставлять заказчикам детальное описание услуг, проговорить основные параметры: SLA, какие метрики и KPI будет использоваться, зачем они нужны, какова отчётность по ним и как часто её формируют.
  • Хорошая практика, помимо внедрения СЗИ, внедрять и типовые процессы ИБ: например, управление уязвимостями, управление привилегированным доступом, управление инцидентами ИБ и т. д., которые обеспечивают базовую организационную безопасность. Рабочий тандем технологий и организационных мер кратно увеличивает способность системы управления ИБ противостоять угрозам.
  • Создайте совместную рабочую группу с участием представителей обеих сторон, разработайте детальный план перехода и адаптации, а также регламент взаимодействия, и чем детальнее он описан, тем быстрее и лучше будут реагировать команды заказчика и сервис провайдера на внешние киберугрозы. Каждый участник такого взаимодействия будет чётко понимать свою роль и необходимые шаги.

Как считает Акмал Болтаев, руководитель управления ИТ-сервисов компании «Онланта» (входит в группу ЛАНИТ), основной вызов — это вопрос доверия: «Чтобы преодолеть сомнения, необходимо обеспечить полную прозрачность процессов. Мы, например, используем защищённые рабочие станции, ведём логирование всех действий, внедряем многоступенчатую аутентификацию. В ходе коммуникации с потенциальными клиентами важно продемонстрировать, как мы работаем, предоставить обратную связь от референсных заказчиков. И, конечно же, длительный стаж работы без серьёзных инцидентов — это репутация компании, на которой изначально и выстраивается доверие».

Сергей Матусевич, директор по развитию ИИ и web-технологий Artezio (входит в группу ЛАНИТ), обращает внимание на такую принципиальную особенность: «Если в других областях ИТ-аутсорсинга заказчик может позволить себе некоторые эксперименты, то в ИБ цена ошибки критична. Один серьёзный инцидент может разрушить репутацию и провайдера, и клиента. Особенно остро этот вопрос стоит при аутсорсинге внутренней безопасности — DLP-систем, мониторинга действий сотрудников, расследования инцидентов. Второй серьёзный вызов — это ответственность: SLA в сфере ИБ кардинально отличаются от обычных ИТ-услуг — здесь речь идёт не просто о времени восстановления, а о репутационных и финансовых рисках. Третий момент — это кадровый вопрос. Специалисты по информационной безопасности — это особая каста в ИТ. Они должны не только разбираться в технологиях, но и понимать бизнес-процессы, уметь мыслить, как злоумышленники, знать правовые аспекты. Найти и удержать таких людей очень сложно, а клиенты справедливо требуют, чтобы с их проектами работали топовые эксперты».

Максим Афонасьев, генеральный директор АКСУС, особенно отмечает рост востребованности аутсорсинга ИБ в СМБ-сегменте, где содержать собственный ИБ-отдел экономически нецелесообразно: «Основные вызовы:

  • Недостаточная зрелость процедур у заказчика, особенно в части разграничения доступа и классификации данных;
  • Сложность формализации SLA по ИБ — клиент хочет „гарантированной безопасности“, но редко готов к реальной оценке рисков;
  • Повышенные требования к квалификации персонала, вплоть до лицензий ФСТЭК и ФСБ».

Вот и по мнению экспертов компании «Акцент», аутсорсинг ИБ осложняется необходимостью завоевания доверия заказчиков, высокой ответственностью за сохранность их данных, требованием постоянного совершенствования профессиональных навыков — и, вместе с тем, ограниченностью финансовых ресурсов клиентов: «Эффективное решение этих проблем требует качественного изучения особенностей каждой компании, поддержания высоких стандартов профессиональной подготовки, регулярных проверок и подтверждения соответствия международным стандартам».

Сергей Астахов, руководитель управления инфраструктуры технической дирекции «Кит-системс», отмечает: «ИБ-аутсорсеру необходимо ещё „на берегу“ обсудить с заказчиком все аспекты будущего сотрудничества, назначить ответственных представителей с обеих сторон, определить их полномочия и регламент взаимодействия. Не менее важно заранее решить вопрос распределения рисков. Например, риски по защите персональных данных вообще не могут делегироваться сервис-провайдеру. Однако лучшие практики предусматривают взаимоприемлемое разграничение зон ответственности, оговариваемое в соглашении об уровне сервиса».

Продолжение следует

Источник: Максим Белоус, IT Channel News