Минувший год оказался богатым на прогнозы и амбициозные заявления российских интеграторов, причем самые смелые касались сегмента аутсорсинговых услуг. Именно эта ниша казалась той самой "землей обетованной", десантировать на которую стремился чуть ли не каждый поставщик ИТ-сервисов. И впрямь, количество заключенных контрактов в 2008 году заметно возросло (при значительном снижении стоимости самих контрактов), но всегда ли их можно отнести в копилку аутсорсинга, решают ли они вопросы информационной безопасности, и существует ли рынок аутсорсинга ИБ в чистом виде на российских просторах?
Как показывает практика, решение о передаче специфических задач ИТ под ответственность аутсорсера чаще всего принимают руководители с западным типом мышления. Их выделяет умение делегировать принятие ответственных решений своим лучшим сотрудникам и желание выстраивать более гибкие бизнес-модели, что вполне отвечает концепции аутсорсинга. В какой-то степени – это один из показателей зрелости компании: чем лучше проработан какой-либо из ее внутренних процессов, тем легче и эффективнее переложить контроль за его выполнением сторонней организации.
Как показывает практика, решение о передаче специфических задач ИТ под ответственность аутсорсера чаще всего принимают руководители с западным типом мышления. Их выделяет умение делегировать принятие ответственных решений своим лучшим сотрудникам и желание выстраивать более гибкие бизнес-модели, что вполне отвечает концепции аутсорсинга. В какой-то степени – это один из показателей зрелости компании: чем лучше проработан какой-либо из ее внутренних процессов, тем легче и эффективнее переложить контроль за его выполнением сторонней организации.
Аутсорсинг ИБ: необъяснимо, но факт
Умение говорить на одном языке с заказчиком – первый шаг на пути к выгодному контракту, но в сфере аутсорсинга ИБ, по всей видимости, он еще не сделан, так как поставщики зачастую путают его с таким направлением, как консалтинг. Например, в перечне предоставляемых услуг в рамках аутсорсинга ИБ некоторые компании декларируют проведение внешнего и внутреннего аудита с целью выявления и устранения имеющихся уязвимостей (в том числе: тест на проникновение, инструментальный контроль защищенности систем, анализ информационных рисков) – традиционно консалтинговые услуги. В данном случае вполне очевидное желание ИТ-компании расширить бизнес-портфель и заявить о себе как об аутсорсере оборачивается против всех участников рынка: с одной стороны, в профессиональной сфере активно обсуждается потенциальный спрос на решения, а с другой – размываются границы понятий и отсутствует понимание того, что товар можно продавать лишь тогда, когда он имеет вполне конкретное объяснение и характеристики. Ключевые из них содержатся в определении – с точки зрения маркетинга так наиболее проще выйти на заказчика и донести до него рыночную выгоду от сделки.
Что же говорят интеграторы и заказчики об ИТ-аутсорсинге ИБ? В первую очередь, они трактуют его как процесс передачи ряда внутренних функций сторонней организации с целью минимизации затрат на решение задач ИБ. И на этом единодушие заканчивается, так как начинается расхождение в вопросе того, что именно и на какой период перекладывается в зону ответственности аутсорсера. Смещение акцентов в сторону консалтинга, о котором уже говорилось, здесь не случайно – аутсорсинг в чистом виде связан с реализацией постоянных функций и бизнес-процессов предприятия (а не разовых проектов или заданий) на долгосрочной основе, но законодательная база и ситуация на отечественном рынке существенно тормозят развитие, казалось бы, перспективного и долгожданного явления.
Аутсорсер.В результате, типичный аутсорсер в лице генерального директора компании "Онланта" (ГК "Ланит") Сергея Тарана в свою трактовку термина вынужден добавить: "Данный вид услуги относится к тем функциям, которые не затрагивают ключевые процессы ИБ, а являются вспомогательными и находятся, если можно так сказать, снаружи "периметра безопасности" предприятия".
Заказчик. Вполне состоявшийся потенциальный заказчик услуг по аутсорсингу ИБ более скептичен. Так, по мнению заместителя директора департамента информационной безопасности финансовой корпорации "Открытие" Игоря Колганова, в российской практике передать такие основополагающие функции ИБ, как определение перечня и категорий конфиденциальной информации, документированное введение ограничений для конфиденциальной информации, назначение лиц, ответственных за защиту информации вообще невозможно. А без реализации указанных действий система защиты конфиденциальной информации, в соответствии с отечественным законодательством, будет нелегитимной.
В бизнес-портфель российского аутсорсера ИБ иногда попадают и чисто консалтинговые услуги
Таким образом, говорить об аутсорсинге в полном понимании данного термина не приходится ни поставщику услуг, ни заказчику. В российской действительности при употреблении термина "аутсорсинг ИБ" речь чаще всего идет о передаче под управление одного или нескольких групп сервисов. Реализовать аутсорсинг процесса ИБ по циклу Шухарта-Деминга (Plan-Do-Check-Act) в сегодняшних условиях практически невозможно. В период кризиса такое положение досадно вдвойне – ИТ-компаниям необходим стимул и средства для развития, а их клиентам – возможность экономии издержек на поддержание непрофильных активов. Тем не менее, оперируя хоть и условной терминологией, игроки рынка отлично понимают, что не выдают желаемое за действительность, а возможный заказчик достаточно зрел и относится к российскому аутсорсингу ИБ со здравой долей скепсиса.
Бизнес-портфель российского аутсорсера ИБ
В типичном портфеле аутсорсера ИБ (если не брать уже рассмотренные выше услуги в области консалтинга, которые декларируются как аутсорсинговые) присутствуют такие виды сервисов, как: управление межсетевыми экранами; управление системами обнаружения и предотвращение вторжений; управление антивирусными системами; защита корпоративного почтового трафика от спама; мониторинг информационных атак, направленных на ресурсы автоматизированной системы; управление криптографическими системами, включая построение виртуальных частных сетей и инфраструктуры открытых ключей; оказание технической поддержки по вопросам эксплуатации средств защиты, установленных на площадке заказчика.На аутсорсинг передаются лицензируемые функции безопасности, но работа с внутренними инцидентами и распределение прав доступа, контроль ключевых систем защиты организация всегда оставляет за собой.
Наиболее перспективным направлением в этой области является защита персональных данных в соответствии с требованиями ФЗ № 152 "О персональных данных". Вероятные заказчики подобного рода услуг - крупные и средние компании, которые заинтересованы в соблюдении действующего законодательства. По мнению начальника аналитического отдела компании “ЕВРААС. Информационные технологии" Максима Ворожцова, проекты по защите персональных данных являются самыми перспективными, поскольку эта тема поддерживается регуляторами. Интерес к аутсорсингу защиты персональных данных проявляют те организации и предприятия, для которых содержание собственной развитой службы ИБ не оправдано с точки зрения бизнеса. Например, это касается государственных учреждений, компаний среднего и малого бизнеса, крупных предприятий, не имеющих больших подразделений ИБ или желающих повысить их эффективность. Как правило, такие компании не могут похвастаться наличием штатного квалифицированного персонала и возможностью внедрения дорогостоящих систем защиты информации. Кроме того, они испытывают определенные трудности с получением ряда лицензий, которые необходимы при организации и хранении защиты персональных данных.
Передача сервисов ИБ глазами заказчика
Заместитель директора департамента информационной безопасности финансовой корпорации "Открытие" Игорь Колганов отмечает, как минимум, три проблемы, c которыми чаще всего могут столкнуться потенциальные заказчики аутсорсинга услуг ИБ, обратившись в компанию-интегратор впервые. Прежде всего, это отсутствие, либо фрагментарное отражение актуальной информации об изменениях в системе ИБ заказчика. Как результат, договоры об аутсорсинге зачастую не могут иметь ссылок на какие-либо значимые документы компании.Второй проблемой является отсутствие, как у исполнителя, так и у заказчика метрик, при помощи которых можно было бы измерить качество услуг или определить явным образом факт того, что услуга оказана.
Третья проблема связана с привлечением сторонних компаний, которые выступают в качестве подрядчиков интегратора. Кредит доверия, как и риск потери контроля над конфиденциальной информацией для заказчика в этом случае возрастает. Такая практика работы аутсорсера воспринимается негативно и сотрудничество с ним не продлевается.
Для решения указанных проблем Игорь Колганов рекомендует компаниям, заинтересованным в услугах аутсорсинга ИБ более тщательно документировать ИТ- и ИБ-процессы: отслеживать все текущие изменения в передаваемых на аутсорсинг сервисах (чтобы сохранить жизнеспособность проекта даже при смене подрядчика); разрабатывать и совершенствовать всеми участниками взаимоотношений систему оценки услуг по аутсорсингу ("метрик").
Подписание SLA cвоит риски срыва работ к минимуму
Выбор аутсорсера ИБ. Как не ошибиться?
Решая передать часть задач ИБ под ответственность аутсорсера, заказчик должен понимать, что полностью исключить риски некорректной работы с информационными данными, равно как и затраты на персонал и поддержку задач ИБ, ему не удастся. При аутсорсинге вместо одних рисков возникают другие, а на смену бюджетам ИБ приходят затраты на оплату услуг поставщика сервиса. Что выгоднее? Ответ на этот вопрос может дать лишь сама организация с учетом специфики своего бизнеса, внутренних ИТ-ресурсов и стратегических целей. Процесс выбора исполнителя такой сложной задачи базируется, прежде всего, на доверии, кредит которого может складываться как по результатам уже реализованных проектов, так и по формальным признакам. Например, репутация и порядочность исполнителя – не что иное, как качество работы вполне определенных людей, поэтому заказчик может обратить внимание на наличие квалифицированных специалистов в штате аутсорсера. Сюда же следует отнести опыт работы в данной сфере и наличие успешно реализованных проектов, отзывы клиентов.
Кроме того, заказчик должен получить действительные свидетельства наличия у исполнителя материально-технической базы, позволяющей предоставлять услуги по аутсорсингу в требуемом объёме и соответствующего качества. При необходимости желательно разобраться с полномочиями и компетенцией вероятного субподрядчика.
Инициируя аутсорсинговый проект, компании важно уже на предварительном этапе отбора исполнителя определить критерии и правила предоставления услуг, а также обязанности всех участников взаимодействия. В подробный SLA, который сводит риски срыва работ к минимуму, включается специально-разработанная система "метрик" (она закрепляет объем и качество услуг).
Генеральный директор компании "Диалог-Наука" Виктор Сердюк отмечает основные положения типичного договора аутсорсинга: описание функциональных задач, выполнение которых берет на себя подрядчик; ответственность заказчика и исполнителя; меры по обеспечению информационной безопасности при взаимодействии заказчика и исполнителя; порядок предоставления отчетности, содержащей результаты выполненной работы; стоимость оказания услуги аутсорсинга.
Как видим, ключевым моментом при оформлении договоренностей между сторонами выступает ответственность исполнителя. Тем не менее, успех проекта определяется не только хорошо проработанными механизмами контроля, но и готовностью заказчика выстраивать длительное сотрудничество, отражая текущие изменения (как позитивные, так и негативные) в системе ИБ. Основным же мотивом передачи функций ИБ аутсорсеру должно оставаться стремление сделать бизнес более управляемым путем вывода непрофильных направлений из деятельности компании. В этой ситуации, когда все участники рынка ИБ готовы приступить к конструктивному диалогу и инициировать сделки по аутсорсингу, особенно важны единодушие и общие правила игры, в процессе которой могла бы строиться эффективная система предоставления услуг, а не Вавилонская башня, символизирующая сумятицу и отсутствие взаимопонимания.
![Reblog this post [with Zemanta]](http://img.zemanta.com/reblog_e.png?x-id=969ddadf-ef18-4354-8a17-7fa5c055f8af)
