Аутсорсинг сервисов информационной безопасности

Тренд передачи всего и вся на аутсорсинг прочно укрепился в бизнес-средах самого разного профиля. В принципе, это здравая идея — сосредоточиться на своем бизнесе, а все сопутствующие проблемы переложить на организации, которые специализируется на их решении. Деятельность в области обеспечения информационной безопасности организации тоже не избежала внимания аутсорсеров.

Что такое аутсорсинг и его основные признаки

Но прежде, чем обсуждать вопросы передачи сервисов ИБ на аутсорсинг, стоит разобраться в понятийном аппарате.

Удивительно, но несмотря на то, что принцип организации деятельности, который сейчас принято называть аутсорсингом, был известен ещё во времена Аристотеля, общее определение этого понятия найти оказалось непросто. Среди экономистов отсутствует какой-либо очевидный консенсус в отношении того, как определять аутсорсинг, и международные стандарты также содержат мало ориентиров в части того, что следует понимать под аутсорсингом. В ряде определений[1] в качестве признаков аутсорсинга используются следующие:

1) наличие внешнего для покупателя (заказчика) лица (аутсорсера), то есть лица, которое не является работником последнего и поэтому обладает значительной свободой воли, передающего покупателю (заказчику) определенное благо (совершающего для него определенные действия);

2) существование у соответствующего блага (действия) характера определенной функции (процесса), исполнявшейся ранее покупателем (заказчиком) самостоятельно.

Иные источники[2] определяют другой, более широкий список признаков аутсорсинга:

1) контроль за функцией подразделения покупателя (заказчика), переданной в аутсорсинг, возлагается на внешнюю организацию (аутсорсера);

2) переданная аутсорсеру функция внутреннего подразделения покупателя (заказчика) не является для последнего основной, что не создает стимулов к привлечению специалистов высокого уровня для её осуществления в рамках организационной структуры покупателя (заказчика), то есть для повышения качества исполнения данной функции;

3) аутсорсер, как специалист в своей сфере, способен увеличить не только качество исполнения, но и уменьшить затраты на соответствующую функцию, что обычно недостижимо при самостоятельном её исполнении покупателем (заказчиком);

4) срок, на который передается исполнение функций, достаточно большой (возникают длящиеся долгосрочные обязательства с периодическим исполнением, то есть аутсорсер осуществляет не некоторое разовое исполнение или несколько отдельных таких исполнений, а постоянно участвует в текущей деятельности покупателя/заказчика).

Исходя из перечисленных признаков можно утверждать, что далеко не каждый договор на предоставление услуг можно признать аутсорсинговым. Как минимум необходимо, чтобы:

· передаваемая на исполнение внешнему подрядчику функция ранее исполнялась или планировалась к исполнению заказчиком, то есть эта функция, как минимум определена и имеет установленную, хотя и не ключевую, роль, значимость и ценность для бизнеса заказчика;

· контроль за процессом исполнения функции, переданной внешнему подрядчику, полностью осуществляется исполнителем, заказчик же получает и может оценить только конечный результат исполнения, что, как минимум, требует от заказчика понимания того, что из себя этот результат представляет и как оценить его качество;

· исполнение этой функции самостоятельно заказчику экономически нецелесообразно.

Ситуация, при которых все три условия выполнялись бы, возникает, как правило, в следующих случаях:

1) для выполнения функции необходимы уникальные навыки, получение которых не позволяет соответствующему специалисту совмещать их с другими видами деятельности (узкопрофильный специалист) или требуется уникальное оборудование, при этом обязательность для бизнеса результата такой функции совершенно не означает, что его нужно много, и содержание узкопрофильного специалиста, как и приобретение уникального оборудования при их неполной загрузке становится экономически нецелесообразным;

2) для выполнения функции требуется персонал не очень высокой квалификации, но специфика работы требует большого количества такого персонала, что создает неприемлемые сопутствующие расходы на его найм, обучение и содержание (например, покупка на рынке сформировавшегося специалиста слишком накладна, а найм неквалифицированного персонала требует его длительного обучения, после которого, в условиях текучки кадров, далеко не факт, что молодой специалист останется на предприятии).

Есть третья ситуация, оправдывающая использование аутсорсинга — запрос заказчиком сервиса, под которым можно понимать самостоятельные функции, обладающие измеряемыми показателями срока исполнения, стоимости и качества получаемого на выходе результата. Ключевым отличием сервиса от услуги является то, что услуга заказывается, потом начинает исполняться и только потом результат становится доступным заказчику. Результат сервиса предоставляется заказчику по его требованию сразу или в оговоренный срок, который всегда меньше времени, необходимого для производства, требуемого заказчику блага. Именно существенное снижение лага времени между запросом на получение блага и его реальным предоставлением делает покупку сервиса таким притягательным для бизнеса. При этом часто необходимость в таком благе возникает в той или иной степени неожиданно, то есть определить безусловную необходимость блага для бизнеса не составляет проблемы (исполнение первого условия оправданности передачи функции на аутсорсинг), но вот определить, когда именно он понадобится, составляет определённую сложность. Для бизнеса важен срок получения и качество блага, а не способ его производства (исполнение второго условия). Если срок производства становится для бизнеса неприемлемым, а его сокращение приводит к снижению качества, то стоит задуматься о применении сервисной модели получения необходимого результата. Далее вступает в силу банальная экономика, готов ли заказчик поддерживать цикл производства какого-либо блага даже в том случае, если это благо на данный момент не востребовано, но приостановка цикла его производства может привести к неприемлемым для бизнеса задержкам в получении этого блага? То есть определить, выполняется ли третье условие применимости аутсорсинговой модели в этой ситуации.

Конечно, всегда есть исключения из правил экономической целесообразности, например, когда владелец бизнеса вынужден самостоятельно выполнять определённый бизнес-процесс, даже если расходы на это существенно выше стоимости передачи его на аутсорсинг. И чаще всего соображения, которые вынуждают владельца понижать эффективность своего бизнеса, принято связывать с понятиями безопасности.

Сервис информационной безопасности — миф или реальность?

Мы пришли к необходимости рассмотрения понятия «сервис информационной безопасности». И в первую очередь должны понять — а можно ли вообще использовать понятие «сервис» в сочетании с понятием «информационная безопасность»?

Ответ на этот вопрос связан с определением целей и задач, которые руководство организации ставит перед службой ИБ. Учитывая, что реализация мер защиты информации, обеспечивающих ИБ организации, является обязанностью каждого её сотрудника, то функции службы ИБ должны заключаться в управлении и координации этого процесса. Ответственность за ИБ бизнеса организации лежит на её руководителе, который определяет для руководителей нижележащих уровней управления меру ответственности за ИБ своих бизнес-процессов и вверенных им активов. В таком понимании организации процессов обеспечения ИБ предприятия службе ИБ делегируются те или иные обязанности и полномочия руководителей разного уровня, в том числе самого высокого. Можно ли считать управленческую (менеджерскую) функцию руководителя сервисом? Согласится ли уважаемый руководитель с утверждением, что его подчиненные являются потребителями сервиса управления, которые он им предоставляет. И что потребители этого сервиса будут оценивать качество результата сервиса управления и, если результат их не устроит, сменят его поставщика? Думаю, что такая схема может иметь право на существование, но не в нашей реальности. Таким образом, сервисная модель в процессе обеспечения ИБ предприятия не работает.

А возможна ли ситуация, когда функция управления может быть передана на аутсорсинг в принципе? Выполняются ли условия применимости аутсорсинговой модели для функции управления? Во-первых, функция управления постоянно востребована, что оправдывает наличие в штате специалиста соответствующего уровня, так как он будет гарантированно полностью загружен. Во-вторых, для организации важен не только результат управления, но и то, какими средствами он достигается, а факт потери контроля над процессами управления является определяющим для идентификации ситуации потери бизнеса его владельцем. Последнее утверждение делает бессмысленным расчет экономической целесообразности. Таким образом, использование аутсорсинговой модели для обеспечения ИБ предприятия абсолютно невозможно.

И тут возникает вопрос, каким же образом существует огромное количество организаций, успешно оказывающих аутсорсинговые услуги в области защиты информации? Никакого противоречия здесь нет. Такие услуги оказываются в области предоставления сервисов по защите информации, а не информационной безопасности организации заказчика.

Многие руководители организаций ошибочно смешивают понятия реализации мер защиты информации (см., к примеру, приказы ФСТЭК России от 10.02.2013 № 17, 18.02.2013 № 21, 14.03.2014 № 31) и обеспечения ИБ организации. Второе, как правило, практически недостижимо без первого, но если реализация мер защиты информации может осуществляться с использованием аутсорсинговой модели, по крайней мере частично, то обеспечение ИБ как управленческой функции передаваться на исполнение аутсорсеру не может ни при каких обстоятельствах.

Описанное выше заблуждение часто приводит к наделению службы ИБ чисто инженерными функциями, такими как создание и обслуживание средств защиты информации, мониторинг событий информационной безопасности и даже внесение изменений в настройки информационных систем, например, в части изменений политик разграничения доступа. Зачастую в процессе выполнения этих функций специалисты по компьютерной безопасности (специалист по безопасности компьютерных систем и сетей, специалист по защите информации в автоматизированных системах, специалист по технической защите информации и т. п.[3]), включённые в штат службы ИБ, вступают в конфликт интересов со специалистами подразделений информационных технологий. Таким образом, служба ИБ не только не обеспечивает эффективной защиты бизнеса, но прямо вредит его нормальному функционированию. Служба ИБ не является сервисным подразделением, она должна осуществлять функции управления в области обеспечения ИБ, которые ей делегированы руководителями организации.

Так называемые сервисы ИБ по своей сути являются результатом деятельности информационных систем и средств вычислительной техники, к которым относятся и средства защиты информации. Их разработка, внедрение, настройка и дальнейшее обслуживание (администрирование) может и должно передаваться на внутренний (например, силами ИТ-подразделений) или внешний аутсорсинг.

Что можно и нужно передать на аутсорсинг?

Определить, что можно, а что нельзя передать на аутсорсинг из функций, которые по тем или иным причинам попали в обязанности службы ИБ, достаточно просто — посмотрите, что включено в трудовую функцию специалистов компьютерной безопасности 5-го, 6-го и, частично, 7-го уровня квалификации в соответствии с их профессиональными стандартами[4], и смело передавайте их аутсорсеру (внутреннему или внешнему). Очищение службы ИБ от специалистов, которых там быть не должно, только увеличит эффективность подразделения. Или покажет, если в службе ИБ никого не останется, что она была создана по принципу «у всех есть и нам надо», а не для решения действительно стоящих перед бизнесом задач по обеспечению ИБ организации.

Ниже приведён перечень функций, которые часто приписывают службе ИБ и которые можно и нужно передать на исполнение в другое подразделение (как правило ИТ) или внешнему аутсорсеру:

1. Обслуживание систем защиты информации в автоматизированных системах.

2. Обеспечение защиты информации в автоматизированных системах в процессе их эксплуатации.

3. Внедрение систем защиты информации автоматизированных систем.

4. Разработка систем защиты информации автоматизированных систем.

5. Проведение работ по установке и техническому обслуживанию защищённых технических средств обработки информации.

6. Проведение работ по установке и техническому обслуживанию защищённых технических средств обработки информации.

7. Производство, сервисное обслуживание и ремонт средств защиты информации.

8. Проведение контроля защищённости информации.

9. Разработка средств защиты информации.

10. Проектирование объектов в защищённом исполнении.

11. Проведение аттестации объектов на соответствие требованиям по защите информации.

12. Проведение сертификационных испытаний средств защиты информации на соответствие требованиям по безопасности информации.

13. Обслуживание средств защиты информации в компьютерных системах и сетях.

14. Администрирование средств защиты информации в компьютерных системах и сетях.

15. Оценивание уровня безопасности компьютерных систем и сетей.

16. Выполнение комплекса мер по обеспечению функционирования средств связи сетей электросвязи (СССЭ), за исключением сетей связи специального назначения, и средств их защиты от несанкционированного доступа (НСД).

17. Обеспечение защиты от НСД сооружений и СССЭ, за исключением сетей связи специального назначения, в процессе их эксплуатации.

18. Обеспечение функционирования средств связи сетей связи специального назначения.

19. Разработка средств защиты СССЭ, за исключением сетей связи специального назначения, от НСД.

20. Обеспечение защиты средств связи сетей связи специального назначения от НСД.

21. Применение информационно-аналитических систем (ИАС) в защищённом исполнении в процессах автоматизации информационно-аналитической деятельности (АИАД), при этом сама информационно-аналитическая деятельность должна осуществляться службой ИБ без передачи в аутсорсинг.

22. Проектирование ИАС в защищённом исполнении.

23. Эксплуатация ИАС в защищённом исполнении.

Учитывая специфику деятельности в области обеспечения информационной безопасности, большинство вышеперечисленных функций в той или иной степени относятся к лицензируемым видам деятельности[5], что накладывает определенные ограничения к выбору аутсорсера.

Что же касается трудовых функций специалистов по защите информации 8-го уровня квалификации и оставшейся части функций специалистов 7-го уровня квалификации, то большая их часть относится к функциям управления. Руководителю организации (или менеджеру по ИБ, если таковой назначен) следует с осторожностью подходить к вопросу передачи этих функций на аутсорсинг. В большинстве случаев их выполнение требует знаний особенностей бизнеса организации, что указывает на необходимость исполнения их силами менеджера по ИБ и его подчиненных экспертов-аналитиков.

Можно ли передать на аутсорсинг функцию, исполнение которой требует от исполнителя глубокого знания «внутренней кухни» бизнеса заказчика? Сотрудник аутсорсера становится носителем сокровенного знания об особенностях бизнеса определённого заказчика. Только этот специалист аутсорсера будет привлекаться для выполнения работ, переданных этим заказчиком на аутсорсинг. Как было сказано выше, функция управления востребована постоянно, что не позволит привлекать такого сотрудника на другие проекты аутсорсера без существенного снижения качества его работы. Фактически речь идет об аутстаффинге, а это уже совершенно иная экономическая модель взаимодействия заказчика и исполнителя.

Иная картина наблюдается в том случае, когда существует некая группа заказчиков, имеющих похожий или тесно связанный бизнес. Речь идёт о предприятиях какой-либо конкретной отрасли. В этом случае сотрудник или группа сотрудников аутсорсера становятся носителями сокровенного знания бизнеса целой отрасли, в которой присутствует довольно большое количество потенциальных заказчиков. Это может оправдать вложения в создание и развитие рынка услуг по аутсорсингу функции управления ИБ предприятий конкретной отрасли. Ещё лучше ситуация у аутсорсеров, круг заказчиков которых определяется предприятиями крупных холдингов. В этом случае речь идет о фактически внутреннем аутсорсинге, так как, как правило, аутсорсинг тех или иных функций, в том числе функций управления, для всех предприятий холдинга обеспечивается либо управляющей компанией, либо специально созданной для этой цели организацией, которая также входит в структуру холдинга. Такой аутсорсер имеет доступ к общекорпоративной нормативной базе, что облегчает процесс изучения «сокровенного знания», а также пользуется покровительством корпоративного руководства. Руководство холдинга тоже заинтересовано в таком «карманном» аутсорсере, так как при всех преимуществах вывода из предприятий холдинга функций, не относящихся к их основному бизнесу, главный недостаток аутсорсинговой схемы не появляется, поскольку определённый контроль за ходом исполнения процессов, переданных на аутсорсинг, сохраняется.

Следует отметить, что бизнес внутрихолдингового аутсорсера далеко не всегда приносит прибыль. Экономическая целесообразность передачи функций на внутрихолдинговый аутсорсинг определяется снижением затрат на поддержку их исполнения в остальных организациях холдинга, которое с лихвой покрывает убытки аутсорсера. Как правило, для упрощения финансового управления предприятиями холдинга стоимость услуг внутрихолдингового аутсорсера искусственно устанавливают выше рынка, обеспечивая ему хотя бы минимальную прибыль. При этом, конечно, возникают определённые сложности при проведении конкурсных процедур по выбору аутсорсера, но это не самая высокая цена за получение принципиальной возможности передачи на аутсорсинг функций управления.

Таким образом, отраслевому или внутрихолдинговому аутсорсеру могут быть переданы на исполнение следующие функции:

1. Формирование требований к защите информации в автоматизированных системах.

2. Организация и проведение работ по технической защите информации.

3. Разработка (управление разработкой) программно-аппаратных средств защиты информации компьютерных систем и сетей.

4. Управление развитием средств и систем защиты СССЭ от НСД.

5. Экспертиза проектных решений в сфере защиты СССЭ от НСД.

6. Организационное управление в ИАС в защищенном исполнении.

7. Проведение исследований в области эффективных технологий АИАД, а также сама информационно-аналитическая деятельность.

Кроме того, исключительно внутрихолдинговому аутсорсеру может быть передан весь перечень функций, выполняемых менеджером по ИБ, а именно: координация деятельности по ИБ представителями различных подразделений организаций холдинга с соответствующими ролями и должностными обязанностями, выполнение роли единого контактного лица, занимающегося вопросами ИБ всего холдинга, к которому могут обращаться все заинтересованные сотрудники любой организации холдинга, организация взаимодействия с внешними по отношению к холдингу специалистами по безопасности или группами специалистов, включая соответствующие органы, чтобы находиться в курсе отраслевых тенденций, осуществлять мониторинг стандартов и методов оценки и обеспечивать адекватные точки контакта при обработке инцидентов ИБ, а также выполнение обязанностей, которые ему могут быть делегированы руководством холдинга, в том числе распределение обязанностей по обеспечению ИБ, определение зон ответственности и необходимого уровня полномочий должностных лиц холдинга, включая руководителей отдельных предприятий, выдача разрешений на использование новых средств обработки информации, организация и проведение внутренних и внешних аудитов и многое другое[6].

Сухой остаток

Служба ИБ должна выполнять только функции управления в области обеспечения ИБ бизнеса организации в целом и его отдельных бизнес-процессов в частности.

Если службе ИБ по каким-либо причинам были переданы инженерные функции, связанные с обеспечением предоставления каких-либо сервисов, в том числе сервисов по защите информации, эффективность подразделения в части исполнения своего основного предназначения снижается, а в некоторых случаях приводит к конфликту интересов с другими подразделениями организации. Передача инженерных функций из службы ИБ на внутренний или внешний аутсорсинг и очищение её от специалистов, не имеющих управленческих (менеджерских) компетенций, позволит существенно повысить эффективность подразделения.

Передача функций управления ИБ на аутсорсинг возможна только отраслевым или внутрихолдинговым аутсорсерам, обладающим знаниями особенностей управления бизнесом, специфичными для конкретной отрасли или холдинга. Руководители организаций, передающих такие функции на аутсорсинг, должны осознавать, что специалисты аутсорсера получат не только большой объем знаний об организации, включая доступ к сведениям конфиденциального характера, но и возможность напрямую влиять на бизнес предприятия.

Полная передача функций службы ИБ на аутсорсинг возможна только аутсорсеру, входящему в структуру холдинга.