Рубрикатор |
Статьи | ИКС № 2-3 2009 |
Александр АСМОЛОВСКИЙ  Дмитрий УСТЮЖАНИН  | 10 марта 2009 |
Безопасность — на аутсорсинг
Четыре года назад «ВымпелКом» первым, наверное, в России привлек аутсорсера к мониторингу информационной безопасности. Дмитрий УСТЮЖАНИН, руководитель департамента ИБ, и Александр АСМОЛОВСКИЙ, руководитель службы контроля ИБ, не сомневаются, что профессиональные аутсорсеры в вопросах безопасности эффективнее внутренней ИТ-службы.
Заплатил аутсорсеру – и спи спокойно?Представления о том, что можно отдавать стороннему исполнителю, а что нельзя, постепенно меняются. Одним из драйверов, добавивших бизнесу адреналина и заставивших всех по-новому взглянуть на себя, стал кризис. От принципа «ключевые сайты, т.е. здания, где размещается критически важная для бизнеса инфраструктура, должны быть в собственности компании», пришлось отказаться и подумать: может, не покупать огромный дата-центр за сотни миллионов долларов, а взять его в аренду?
«ВымпелКом», работающий по международным стандартам, считает, что отдавать бизнес-процессы на аутсорсинг не только допустимо, но в ряде случаев и экономически обоснованно. Это распространяется и на область информационной безопасности. Аутсорсинг хорош своей прозрачностью: определив, что делает поставщик услуг, и прописав SLA, заказчик может сравнить, сколько придется платить «на сторону» и в какую сумму обошлись бы собственные специалисты.
Поэтому отдельные компоненты единого центра оценки состояния информационной безопасности «ВымпелКома» (Security Operating Center, SOC), обеспечивающего доступность 24×7, было решено подключить к ресурсам консалтинговой группы IBM по вопросам безопасности (Internet Security System, ISS). Все процессы в ней открыты и прозрачны: о выявленных инцидентах и процедурах составляются отчеты, доступные заказчику в любое время; на границе SOC ведется реальный мониторинг событий.
Начиная проект с ISS, мы подсчитали, что содержание этой службы своими силами обошлось бы нам на 30% дороже. Но главное, необходимый высокий уровень качества обеспечить «за свой счет» просто нереально: у нас нет таких специалистов, их нужно учить (а после обучения думать, как бы они не ушли к конкуренту). Однако без четкого управления поставщиком услуг со стороны внутренней службы ИБ и контроля за соблюдением обязательств и SLA не обойтись. Ответственность за безопасность компании никому делегировать нельзя. Аутсорсер может только помочь выполнить эту задачу эффективнее.
Знания и опыт напрокат
К услугам ИТ-консалтинга приходится обращаться, когда у компании недостаточно компетенций в какой-то области. Так было, например, когда «ВымпелКом» решал задачу разделения обязанностей и минимизации полномочий персонала по доступу к финансовым системам и ресурсам. Это требование пришло к нам вместе с законом Сарбейнса–Оксли (SOX), выполнять который мы должны, поскольку акции компании торгуются на американской бирже. Таких знаний тогда не было не только у «ВымпелКома», но и вообще ни у кого в России (за исключением, наверное, банковской сферы).
База знаний, используемая сегодня, создана «большой четверкой» американских аудиторских компаний. Работавший непосредственно с «ВымпелКомом» российский интегратор на проектной стадии привлекал заокеанских специалистов, разбирающихся и в финансах, и в ИТ, и в безопасности. Провести такую экспертизу внутри телеком-компании практически невозможно.
АнтиКризис В кризис должны перестраиваться все. Интеграторы, которые оперируют старыми понятиями о ценах на свои услуги, просто не выживут. Им нужно показать готовность к взаимовыгодному сотрудничеству и демонстрировать возможность роста практически с нуля. |
SAS 70 – идея хорошая, ее надо развивать, но не просто копируя на российскую почву. Можно создать российский аналог такой сертификации – чтобы законодательно обязать поставщиков соблюдать правила, предъявляемые к операторам персональных данных. Например, продавать программные продукты, в которых были бы изначально заложены функции соответствия ФЗ 152 «О персональных данных». Необходимо выстраивать систему сертификации поставщиков услуг, программных решений и т.д. Тогда в процесс будут вовлечены все – сейчас же ответственность только на операторе связи.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!