Rambler's Top100
Статьи ИКС № 2-3 2009
Александр АСМОЛОВСКИЙ  Дмитрий УСТЮЖАНИН  10 марта 2009

Безопасность — на аутсорсинг

Четыре года назад «ВымпелКом» первым, наверное, в России привлек аутсорсера к мониторингу информационной безопасности. Дмитрий УСТЮЖАНИН, руководитель департамента ИБ,  и Александр АСМОЛОВСКИЙ, руководитель службы контроля ИБ, не сомневаются, что профессиональные аутсорсеры в вопросах безопасности эффективнее внутренней ИТ-службы.

Дмитрий УСТЮЖАНИН, ВымпелКомАлександр АСМОЛОВСКИЙ, ВымпелКомЗаплатил аутсорсеру – и спи спокойно?

Представления о том, что можно отдавать стороннему исполнителю, а что нельзя, постепенно меняются. Одним из драйверов, добавивших бизнесу адреналина и заставивших всех по-новому взглянуть на себя, стал кризис. От принципа «ключевые сайты, т.е. здания, где размещается критически важная для бизнеса инфраструктура, должны быть в собственности компании», пришлось отказаться и подумать: может, не покупать огромный дата-центр за сотни миллионов долларов, а взять его в аренду?

«ВымпелКом», работающий по международным стандартам, считает, что отдавать бизнес-процессы на аутсорсинг не только допустимо, но в ряде случаев и экономически обоснованно. Это распространяется и на область информационной безопасности. Аутсорсинг хорош своей прозрачностью: определив, что делает поставщик услуг, и прописав SLA, заказчик может сравнить, сколько придется платить «на сторону» и в какую сумму обошлись бы собственные специалисты.

Поэтому отдельные компоненты единого центра оценки состояния информационной безопасности «ВымпелКома» (Security Operating Center, SOC), обеспечивающего доступность 24×7, было решено подключить к ресурсам консалтинговой группы IBM по вопросам безопасности (Internet Security System, ISS). Все процессы в ней открыты и прозрачны: о выявленных инцидентах и процедурах составляются отчеты, доступные заказчику в любое время; на границе SOC ведется реальный мониторинг событий.

Начиная проект с ISS, мы подсчитали, что содержание этой службы своими силами обошлось бы нам на 30%  дороже. Но главное, необходимый высокий уровень качества обеспечить «за свой счет» просто нереально: у нас нет таких специалистов, их нужно учить (а после обучения  думать, как бы они не ушли к конкуренту). Однако без четкого управления поставщиком услуг со стороны внутренней службы ИБ и контроля за соблюдением обязательств и SLA не обойтись. Ответственность за безопасность компании никому делегировать нельзя. Аутсорсер может только помочь выполнить эту задачу эффективнее.

Знания и опыт напрокат

К услугам ИТ-консалтинга приходится обращаться, когда у компании недостаточно компетенций в какой-то области. Так было, например, когда «ВымпелКом» решал задачу разделения обязанностей и минимизации полномочий персонала по доступу к финансовым системам и ресурсам. Это требование пришло к нам вместе с законом Сарбейнса–Оксли (SOX), выполнять который мы должны, поскольку акции компании торгуются на американской бирже. Таких знаний тогда не было не только у «ВымпелКома», но и вообще ни у кого в России (за исключением, наверное, банковской сферы).

База знаний, используемая сегодня, создана «большой четверкой» американских аудиторских компаний. Работавший непосредственно с «ВымпелКомом» российский интегратор на проектной стадии привлекал заокеанских специалистов, разбирающихся и в финансах, и в ИТ, и в безопасности. Провести такую экспертизу внутри телеком-компании практически невозможно.

 АнтиКризис

В кризис должны перестраиваться все. Интеграторы, которые оперируют старыми понятиями о ценах на свои услуги, просто не выживут. Им нужно показать готовность к взаимовыгодному сотрудничеству и демонстрировать возможность роста практически с нуля.
По законодательству США, функционирование системы контроля качества услуг компании должно подтверждаться независимым аудитом, для которого обязательно наличие сертификации по американскому стандарту качества услуг SAS 70 (Statement on Auditing Standards № 70). Данное требование распространяется и на аутсорсера. Если у него нет заключения внешних аудиторов о качестве внутренних процессов, в том числе об обеспечении безопасности его систем, компенсирующие меры контроля ИБ должен внедрить оператор.

SAS 70 – идея хорошая, ее надо развивать, но не просто копируя на российскую почву. Можно создать российский аналог такой сертификации – чтобы законодательно обязать поставщиков соблюдать правила, предъявляемые к операторам персональных данных. Например, продавать программные продукты, в которых были бы изначально заложены функции соответствия ФЗ 152 «О персональных данных». Необходимо выстраивать систему сертификации поставщиков услуг, программных решений и т.д. Тогда в процесс будут вовлечены все – сейчас же ответственность только на операторе связи.  
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!