Rambler's Top100
 
Статьи ИКС № 3 2007
А. НИКИШИН  01 марта 2007

ИТ-безопасность – на аутсорсинг?/!

Споры на «территории безопасности» особенно горячи. Казалось бы, вполне логично отдавать на аутсорсинг системы, контактирующие с внешним миром, настроить доступ к которым извне проще всего. Наиболее распространены, а следовательно, представлены на рынке услуги по аутсорсингу защиты почтового трафика. Однако оппоненты аутсорсинга утверждают, что через почтовый сервер организации проходят очень важные сведения и вопрос о передаче сторонней организации на обслуживание таких систем в принципе стоять не должен. Попробуем их переубедить.

А. Никишин Доверяйте, но проверяйте...

С точки зрения безопасности отправка электронного сообщения очень похожа на пересылку поздравительной открытки обычной почтой: e-mail, как и открытку, может прочитать кто угодно. При необходимости передать по e-mail конфиденциальную информацию сообщения шифруются – и уже никто, кроме адресата, их прочитать не сможет. Более того, аутсорсеры, заключая договор на обслуживание, в обязательном порядке оговаривают вопросы конфиденциальности и гарантируют, что не станут источником утечки информации. Сотрудничество с заказчиком для аутсорсера – вопрос доверия, и ни один аутсорсер не будет рисковать своей репутацией ради сиюминутной выгоды. Можно также учесть, что подавляющее большинство утечек конфиденциальных данных происходит по вине сотрудников компаний, а вот фактов утечек по вине аутсорсеров не зафиксировано. А если бы и появились, то пункт о неразглашении позволяет при необходимости предъявить к ним претензии в судебном порядке.

...и считайте деньги

Оценить выгоду того или иного решения можно по двум параметрам – ROI (Return of Investments, срок возврата инвестиций) и TCO (Total Cost of Ownership, совокупная стоимость владения). Чтобы подсчитать ROI, нужно понять, какие выгоды несет решение и сколько можно сэкономить на его внедрении. Рассчитать выгоду от антивирусного решения довольно сложно, поскольку сложно подсчитать вероятный ущерб и необходимые для восстановления системы затраты. Если предположить, что всегда есть актуальная резервная копия для восстановления как рабочих станций, так и серверов, то минимальный ущерб, нанесенный компании, – это стоимость рабочего времени ИТ-специалиста, затраченного на восстановление всех рабочих станций и серверов в компании, плюс потери на время простоя. Это минимум на одну эпидемию. В реальной жизни бывают сложные ситуации: отсутствие резервных копий, потеря важных данных и т.д., и в этих случаях потери будут больше.

Проще подсчитать ущерб от спама. В среднем каждый сотрудник получает около 100 писем в сутки. Чтобы понять, является ли послание спамом, требуется около 5 секунд. Примерно 80% почтового потока – спам, на удаление которого один сотрудник тратит 40 рабочих часов в год. Умножив эту цифру на число сотрудников в компании и среднюю заработную плату, получим потери, нанесенные спамом. Кроме того, спам – это дополнительный трафик. По статистике, средний размер спамерского письма 17 кбайт. Умножаем 17 на 80 (количество спам-писем на одного сотрудника) и на число сотрудников – получаем ежедневный «мусорный» трафик. А это тоже деньги. Наконец, спам надо хранить. 80% дискового пространства, выделенного под хранение почты, – спам. При этом мы не учитываем риски удаления нужного письма вместе со спамом. В результате, например, компания из 100 сотрудников со среднегодовой заработной платой в $10 тыс. ежегодно теряет от спама $6 668 (!). И это только прямые потери от одной угрозы – спама.

TCO – это сумма материальных и временны’х затрат, связанных с приобретением, развертыванием,конфигурированием и обслуживанием программного и аппаратного обеспечения. ТСО можно разложить на две большие составляющие: прямые затраты (стоимость аппаратного и программного обеспечения, активного сетевого оборудования, каналов связи и др.) и косвенные (простои системы, непродуктивная работа, обновление ПО и оборудования, обучение, обслуживание, администрирование и техническая поддержка и др.). Косвенные затраты обычно «не видны». Мало кто считает потерями время системного администратора, затраченное на мониторинг антиспам-системы или скачивание и установку новой версии антивируса. А ведь все это выливается в десятки часов, которые можно перераспределить. По своей сути, основная идея аутсорсинга – минимизация участия клиента в процессе – и есть минимизация косвенных затрат. Время на обслуживание процесса, отданного на аутсорсинг, будет сведено к минимуму, и, соответственно, уменьшится итоговая TCO. И чем дольше пользоваться услугами аутсорсинга, тем ниже оказывается совокупная стоимость владения и выгоднее аутсорсинг.

Но чтобы пользование услугами аутсорсера было выгодным, необходимо, чтобы аутсорсер был «правильным».

Как распознать «правильного» аутсорсера ИТ-безопасности

Бизнес провайдера услуг аутсорсинга ИТ-безопасности (и не только) можно представить в виде пирамиды, состоящей из четырех слоев (см. рисунок).

Вершина пирамиды – стандартное (или слегка модифицированное) ПО, которое используется у провайдера (антивирусы, антиспам, системы предотвращения вторжений, VPN и др.). Эти программы можно самостоятельно приобрести и установить.

Второй слой – инфраструктура, на которой работает оборудование (серверы, рутеры, межсетевые экраны, дата-центры), – уже сложнее воспроизвести у клиента. Да и есть ли необходимость в развертывании нескольких территориально распределенных дата-центров для почтовой инфраструктуры предприятия? Для очень крупной компании такой шаг, может быть, оправдан, для остальных – нет. А для провайдера услуг это необходимое условие надежной работы.

Третий слой – специальное ПО, некое ноу-хау, которое позволяет добиться особенных результатов по срав нению со стандартными программами. Обычно эти системы содержат патентованные технологии и тщательно охраняются от утечки. Обычным пользователям эти технологии уже не доступны.

Самый важный слой – основание пирамиды, люди, обслуживающие сервисы. У «правильного» провайдера работают «правильные» сотрудники. Для них ИТ-безопасность – основная профессиональная деятельность, они постоянно отслеживают угрозы и могут быстро модифицировать сервисы, с тем чтобы клиенты все время находились под защитой. Одним словом, эксперты по ИТ-безопасности.

Выбирая провайдера аутсорсинга ИТ-безопасности, посмотрите, какие люди работают в компании, являются ли они экспертами в области информационной безопасности или это просто ИТ-специалисты, которые смогли грамотно настроить стандартные программы. Обратите внимание на инфраструктуру провайдера – обеспечит ли она повышенную отказоустойчивость и надежность по сравнению с вашей. Так же внимательно отнеситесь и к ПО, используемому провайдером: специализированное оно или лишь стандартный набор программ? В любом случае потенциальный клиент имеет право знать все эти детали до заключения договора.

На российском рынке

сегодня можно выделить несколько предложений по аутсорсингу систем ИТ-безопасности. Не претендуя на полноту обзора, остановимся на услугах по защите корпоративной почты как наиболее распространенных и востребованных клиентами.

Услуга Secure SMTP Relay от Orange Business Services (специализация компании – оказание ИТ-услуг, в том числе по аутсорсингу ИТ-безопасности) заключается в предоставлении в пользование клиенту и обслуживании почтового сервера, оснащенного защитой от спама и антивирусной защитой, в режиме пересылки почтовых сообщений (relay-сервер). Услуга базируется на серверной платформе HP Proliant DL и использует ПО RH Enterprise Linux WS, Kaspersky SMTP Gateway, Kaspersky AntiSpam Server, Postfix и Webmin. Серверы подключены к централизованной системе мониторинга Orange Business Services. Имеется круглосуточная служба поддержки.

Услуга «Антиспам-Пост» от компании «Инкап» (разработка и внедрение ПО для управления бизнесом) обеспечивает защиту от спама и вирусов. Основной сервер фильтрации расположен на площадке PeterHost в Москве, местоположение резервного сервера не указано.

Разработчик решения «Спаморез» компания «Аутком» (разработка и внедрение защищенных инфраструктурных ИТ-решений, средств защиты информации и оказание услуг ИТ-аутсорсинга) позиционирует его как комплексную защиту корпоративной электронной почты от спама. Решение можно использовать и как сервис, и как продукт, устанавливаемый у клиента. Декларируется обнаружение 97% спама и всех известных вирусов.

Сервис «Защищенная почта» от «ДиалогНауки» (системный интегратор и поставщик комплексных решений в сфере защиты информации) базируется на хорошо зарекомендовавшем себя корпоративном антиспамовом решении «Спамооборона» (разработчик – «Яндекс»). Антивирусной или другой функциональности нет.

Услуга Kaspersky Hosted Security: mailDefend от «Лаборатории Касперского» (российский разработчик антивирусного и антиспамового ПО) – это комплексная система безопасности почтового трафика, обеспечивающая защиту от любых почтовых угроз – вирусов, спама, атак хакеров, мошеннических писем. Система основана на продуктах «Антивирус Касперского» и Kaspersky Anti-Spam. Как дополнительное средство защиты используется Kaspersky BitHunt – система раннего обнаружения ИТ-угроз, разработанная специально для защиты электронной почты. Возможность обнаружения 100% почтовых вирусов и 95% спама. Дата-центры компании расположены в Москве и Голландии.

Система защиты почтового трафика MessageLabs британской компании MessageLabs, работающей на рынке аутсорсинга ИТ-безопасности (в портфолио компании – сервисы по защите не только почтового трафика от вирусов, спама, фишинга и др., но и веб-трафика и трафика систем мгновенного обмена сообщениями), использует несколько антивирусов (F-Secure и Symantec) и Symantec Brightmail Anti-Spam. Но ее основой является система проактивной защиты Skeptik. MessageLabs гарантирует в SLA 100%-ный уровень защиты от почтовых вирусов, 95%ный уровень обнаружения спама и очень низкий уровень ложных тревог. Серверы расположены в 9 центрах обработки в Европе, Азии и США.

Разница в предложениях от ведущих западных поставщиков услуг аутсорсинга ИТ-безопасности и российских, к сожалению, довольно заметна. Но разрыв между ними сокращается с каждым днем. Если еще недавно российские системы были абсолютно неконкурентоспособны, то сегодня уже есть предложения, которые лишь немногим уступают зарубежным конкурентам. Уверен, что в скором времени отечественные поставщики смогут предложить вполне конкурентные решения как по качеству обслуживания, так и по количеству услуг.

***

В России аутсорсинг ИТ-безопасности только зарождается. Первые шаги довольно трудны для поставщиков услуг: требуется преодолеть настороженное отношение к аутсорсингу со стороны потенциальных заказчиков. На Западе на преодоление недоверия ушло более пяти лет. У нас такого временно’го запаса нет. Если отечественные компании хотят быть в авангарде мирового бизнеса, нам просто необходимо использовать аутсорсинг как инструмент, позволяющий фокусироваться на бизнесе не в ущерб второстепенным задачам.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: